Alt begynte med en statue som ble flyttet ut av sentrum av Tallinn. Bronsestatuen fra sovjettiden markerte gravstedet til sovjetiske soldater, og Russland hadde før flyttingen gitt klart uttrykk for skuffelse over beslutningen.
Plutselig gikk Estland i svart. En storm av DDoS-angrep, som overbelaster IT-systemer, gjorde at nettsidene til myndighetene kollapset. Like etter fulgte bankvesenet, departementer, medier og organisasjoner. Det var et uhørt og historisk angrep som med suksess lammet store deler av landet over natten.
Estlenderne er overbevist om at det var russerne som sto bak – men de har få beviser. Senere har en prorussisk politiker fra Moldavia tilstått å ha orkestrert deler av angrepet. Siden den gang har Estland styrket både tradisjonelt forsvar og digital beredskap. Estland er nå blant verdens mest digitaliserte land.
Det store spørsmålet er hva vi kan lære av erfaringene i Estland, et land som både er gjennomdigitalisert og har gjennomlevd et digitalt mareritt. Vi har besøkt organene som står for sikkerheten i landet.
En klar ansvarsfordeling
Først og fremst har Estland en IT-minister. Det har blitt vurdert i flere land, men de færreste har en IT-politiker i regjeringen. Det til tross for at IT-systemer krever store bevilgninger og er kritiske for både myndighetene og innbyggerne.
Det betyr at ansvaret ofte faller mellom stolene, særlig når ting går galt. Men det betyr også at innsatsen på IT-området er fragmentert.
Det gjelder også for sikkerheten i sektorene vi er mest avhengige av: energi, helse, transport, tele og finans. Vi er avhengige av hver og en av dem, men hver sektor står ofte alene med ansvaret.
I Estland har de opprettet én offentlig CERT (computer emergency response team) som sikrer alle kritiske sektorer.
Estlands IT-struktur sentralisert, noe som gjør den sårbar for angrep. I Danmark er IT-sikkerhetstrukturen desentralisert, både politisk og praktisk. Hver sektor står selv for å etablere en CERT (computer emergency response team).
Åpenhet og ærlighet
Det er for øvrig en klisjé i den internasjonale IT-sikkerhetbransjen at man må snakke om ting – også når det går galt. Problemet er bare at når – ikke hvis – noe går galt, er det mer og mer vanlig at man holder kjeft som bedrift eller offentlig organ.
_logo.svg.png){kind=logo}
Verken offentligheten eller andre aktører i samme sektor får informasjonen som kan avverge samme feil andre steder. Vestas-angrepet Angrepet på den danske vindturbingiganten Vestas for ikke lenge siden er bare ett eksempel. Mye kom bare fram fordi det danske IT-nettstedet Version 2 gravde fram Vestas-filer på det mørke nettet. Offentligheten og resten av bransjen fikk bare det absolutte minimum av informasjon.
I skrikende kontrast utgir den estiske sikkerhetsmyndigheten en årsrapport der det saklig og åpent fortelles om årets fiaskoer. Digitaliseringsetaten RIA ble hacket i fjor. Estlands digitale valgsystem ble delvis kompromittert av en sint personvern-forkjemper, og det har lært dem at man ikke skal bruke en konkret legacystruktur i systemene sine, heter det i rapporten.
Mange andre land ville aldri henge skittentøyet sitt til tørk på den måten.
Et virkelig cyberheimevern
Estland har dessuten etablert et cyberheimevern. Staten erkjenner at man ikke kan tiltrekke seg og holde på alle de beste IT-folkene i landet. Samtidig ble det i 2014 tydelig at når cyberangrep rammer hardt og bredt, er det akutt behov for nettopp en større reserve av kompetente folk.
Denne artikkelen ble først publisert på Version 2
Henger ut beryktet gruppe: − Vi har hacket hackerne
