Henrik Larsen, der er chef for DKCERT, skriver hver måned på Computerworld Online om aktuelle spørgsmål om informationssikkerhed.
I min sidste klumme advokerede jeg for, at vi i højere grad skulle til at tale om, hvordan vi taler og kommunikerer om informationssikkerhed. Nu er der opstået en god anledning til lige netop det, idet Politiets efterretningstjeneste (PET) og Uddannelses- og forskningsministeriet (UFM) i fællesskab har udgivet en fremragende publikation om trusselsbilledet på forskningsområdet og råd til forskere om håndtering af risikoen for udenlandsk indblanding og spionage. Publikationen hedder ”Er jeres forskning i fare? – Gode råd til forskere og medarbejdere om håndtering af udenlandsk indblanding og spionage”.
Vi har længe vidst, at forsknings- og uddannelsessektoren er under angreb fra cyberkriminalitet. Nylige eksempler herpå kan findes både i udlandet, hvor forskningsnettet i Belgien netop blev lagt ned af et massivt DDoS-angreb (der muligvis var politisk motiveret), og et universitet i Tyskland blev ramt af ransomware i en sådan grad, at universitetet selv på fjerde uge ikke er tilbage i fuld drift. Og herhjemme hvor vi så det mod Aalborg Universitet i sommeren 2020, og for nylig med angreb på et andet universitet i Danmark.
Men der er også andre trusler.
Den nye publikation fra PET og UFM ligger fint i tråd med DKCERT’s trusselsvurdering, som er en del af vores Trendrapport, hvori vi betoner alvoren fra truslen fra cyberspionage. I trusselsvurderingen har vi sat truslen fra cyberspionage til meget høj, da vi vurderer, at det er sandsynligt, at fremmede stater, kommercielle virksomheder og konkurrerende forskergrupper har særlig interesse i de dele af sektoren, der producerer eller har adgang til forskningsdata eller intellektuel ejendom. Dette understøttes både af en stigning i rapporter om cyberspionagehændelser og af en vurdering fra ENISA (European Union Agency for Cybersecurity), som har været involveret i efterforskningen af en række cyber/industrispionagesager mod fx Visma i Norge, Airbus i Frankrig og flere tyske selskaber som fx BASF, Siemens og Henkel.
I Danmark oplevede vi selv i efteråret 2020 en ny kampagne fra gruppen Silent Librarian, som har specialiseret sig i at indhente værdifuld information som forskere og studerende har brugt ressourcer og tid på at udvikle. Kampagnen var målrettet uddannelses- og forskningsinstitutioner i den vestlige verden, og universiteter i Tyskland, Danmark, Norge, Sverige og Holland har alle set angreb fra gruppen.
Er jeres forskning i fare?
Lige akkurat dette er i fokus i den eminente publikation fra PET og Uddannelses- og forskningsministeriet, der udkom i starten af denne måned.
Selv om svaret på det spørgsmål publikationens titel ”Er jeres forskning i fare?” giver sig selv set fra min stol, er det ikke indlysende for dem, der i bogstaveligste forstand sidder med guldet mellem deres hænder. Men det er vigtigt lige netop for disse personer at forstå, at de måske arbejder med noget, som er guld værd. Tænk blot på hvor meget Pfizer/BioNTech-vaccinen er værd. Og det er efter min opfattelse det mest centrale budskab i publikationen. Her står der nemlig følgende i råd nr. to af publikationens otte:
”Det er forskerne selv, der er de bedste til at vurdere værdien og anvendelsesmuligheder af et forskningsprojekt. Den ansvarlige forsker bør derfor overveje, om forskningsresultater er kommercielt interessant, er relateret til sikkerheds- og forsvarsteknologier, har både civile og militære anvendelsesmuligheder mm”
Ja, jeres forskning er i fare
Netop dette udsagn er kernen i al informationssikkerhedsarbejde. Og så er det i øvrigt fuldstændig ligegyldigt, om man arbejder med forskning, udvikling, nye produkter, administration, regnskab, politik, journalistik, skoleopgaven eller hvad ved jeg. Den, der sidder med informationerne er den nærmeste til at vurdere anvendelsesmulighederne af dem, og derfor også den, der har pligt til at tage stilling til, hvor meget det skal beskyttes. Hvordan det skal beskyttes, kan man få hjælp til, men hvilke af informationerne, der er særligt vigtige, og hvor meget beskyttelse de skal have, afhænger også af den større sammenhæng, forskningen og resultaterne indgår ind. Her må den enkelte forsker tage beslutning inden for de rammer, som ledelse, samarbejdspartnere, sponsorer m.fl. har udstukket.
Vores opgave – os alle sammen i cybersikkerhedsmiljøet – er så at gøre ledelserne, interessenter og stakeholdere opmærksomme på, at guldet har en værdi for andre.
Videre hedder det i råd nr. 2:
”Helt enkelt kan man sige, at I skal overveje, hvilke informationer og data I ikke har ”råd” til at miste. Beslut jer for, hvem der skal have adgang til hvad. Giv fx kun adgang til relevante databaser og systemer i forbindelse med datadeling i internationale samarbejder.”
Nemlig.
Der er også syv andre råd i publikationen, der er næsten lige så centrale.
Budskabet er klokkeklart
Hvad der så gør denne publikation som noget af det bedste formidling, jeg har set for nylig er, at den i et ligefremt sprog, bogstaveligt og konkret beskriver truslen, konsekvensen, de mest udsatte forskningsområder, hvordan cyberspioner egentlig arbejder. Et faresignal, som det fremgår af publikationen, er, hvis man fx på LinkedIn eller til en konference bliver kontaktet af én, der mere interesserer sig for, hvad man ved end hvad man kan.
Vi må jo anerkende, at cyberspioner er spioner, der bruger informationsteknologi og cyberværktøjer til at få fat i informationer, som bliver brugt til at få fat i flere informationer. Spioner har siden ruder konge var knægt forsøgt at få fat i informationer, i dag er metoderne blot anderledes. På visse områder.
Publikationen indeholder også eksempler på spionage fra virkeligheden i Danmark og Norden, der er med til at gøre læsningen nærværende og på visse områder også skræmmende.
De kommunikationsstrategiske overvejelser bag form og indhold
Jeg har fået oplyst, at der i arbejdet med publikationen er arbejdet ud fra en række principper for form og indhold.
- Den skal ikke være for tyndbenet, men heller ikke for lang – dette understøtter sandsynligheden for at de travle folk rent faktisk får den læst
- Den skal være enkelt, have en passende balance, der gør den nem at læse, men heller ikke for let.
- Det skal gerne være en dialogstarter, som er god at tale ud fra, og som ikke præsenterer én løsning
- Eksemplerne skal skabe relevans, nærvær og genkendelighed
- Den skal være ”bladre-bar”, hvor variation mellem faktaboks, eksempler, bullits, illustrationer og brødtekst understøtter hinanden og inviterer til læsning og genlæsning
- Den skal have et liv online, men den skal også kunne fungere i trykt form, så den ikke blot læses fra skærmen eller bliver et print, man har liggende mellem de andre prints.
En dialogstarter
Særligt dialogstartertilgangen synes jeg er rigtigt spændende, for som vi understreger og dokumenterer igen og igen, er dialogen og samtalen vejen frem til højere sikkerhed. Man kan ikke sætte et flueben ved sikkerhed og så lægge det fra sig. Informationssikkerhedsadfærd skal være der hele tiden, og det er relevant for alle. Derfor inviterer publikationens form også til at læsning igen og igen. Såvel nye folk, fx studerende på uddannelsesinstitutionerne som gamle rotter kan sagtens få gavn af at få publikationen i hånden og indholdet ind i ånden.
UFM fortæller, at universiteterne har fået en kasse hver, og det er så deres opgave at distribuere den på eget campus, i egne forskningsgrupper osv. Forud for dette er der udsendt en pressemeddelelse om publikationen, og der er gjort opmærksom på den i andre fora, der har kontakt til universitetsverdenen, fx fonde.
Del, del, del
Sidder man derfor som forsker og gerne vil dele publikationen med sit team, så skal man enten printe den selv eller få ens forskningsinstitutions administrationsafdeling til at efterspørge flere trykte eksemplarer hos UFM.
Det håber jeg, at der bliver gjort ude blandt alle dem, der leverer råstoffet til vores verden, for jeg mener virkelig, at denne publikation burde være pligtlæsning for alle, der arbejder med forskning.
Faktisk burde være pligtlæsning for alle, der arbejder inden for sektoren (og i øvrigt også alle andre).