Afsløring: Udsendte soldater blæser på råd om datasikkerhed – Ekstra Bladet
Politik

Afsløring: Udsendte soldater blæser på råd om datasikkerhed

 

På trods af advarsler fra Forsvarets Efterretningstjeneste og faren for afpresning deler danske soldater fortsat deres lokation på en populær fitness-app
___

 

Tapa, Estland. En sen juniaften i 2016 strammede en dansk premierløjtnant fra garderhusarregimentet remmen på sit Garmin Forerunner 920XT-løbeur, snørede sine løbesko og satte afsted langs indersiden af basens hegn.

På den anden side af den grønne wire og pigtråd strakte små klynger af løvtræer sig ud mod horisonten.

Den unge premierløjtnant var allerede dengang en erfaren løber, og han vidste, at han ikke havde grund til bekymre sig.

 

Med aftensolen i øjnene rundede han basens sydlige hjørne og passerede de lange rækker af pansrede mandskabsvogne, der stod opmarcheret langs landingsbanen.

Tiden var stadig stabil.

Det samme var tallene på uret.

Og få minutter senere var han i mål samme sted, som turen begyndte.

Inden aftenen var omme, havde premierløjtnanten delt sin løbetur på den populære trænings-app Strava; et socialt netværk for trænings-entusiaster, der lader brugerne dele populære ruter og tider imellem sig ved at tilkoble brugerens træningsures indbyggede gps-funktion.

 

Ondsindede aktører

Brugt på den korrekte måde kan appen være en ideel måde at opstøve nye og spændende ruter på. I København kan man for eksempel se, at ruter som Peblinge Sø (kort), Lang bakke i Søndermarken og Damhussøen – Nordvestsiden, er blandt de foretrukne.

Men mellem de firkantede bentonklodser, i den forblæste garnisonsby Tapa, der udgør Natos fremskudte 'knytnæve mod et mere aggressivt Rusland', er det ruter som Sprint to Gd room, Inner Fence Line og Tapa 2 Mile Loop, der springer en i øjnene.

Her har 200 danske soldater og deres allierede til opgave at bevogte Europas grænse mod øst. Og som formanden for IT-Politisk Forening, Jesper Lund, forklarer, kan den data, som Strava indsamler, også bruges til langt mere ondsindede formål.

– Hvis man ud fra de her oplysninger kan sætte navne på bestemte soldater, kan det meget hurtigt udvikle sig til en konkret sikkerhedsrisiko, hvor man som en ondsindet statslig aktør, som for eksempel Rusland, vil kunne afpresse dem personligt.

Her er de udstationeret

NATO-kampgruppen i Estland, ledet af Storbritannien, har hovedkvarter i Tapa og består af tropper fra Danmark, Island, Belgien og Storbritanien. Derudover er et større antal amerikanske tropper stationeret i Ämari Lennubaas og Nurispalu.

 

Også Jeppe Teglskov Jacobsen, assisterende professor ved Forsvarsakademiet, mener, at apps med geopositionering utvivlsomt udgør en måde for fremmede efterretningstjenester til at indhente informationer om militært personel, men han ser også andre problemer med den lemfældige deling af data blandt ansatte i Forsvaret.

– Det kan bruges til almindelig spionage, men også til informationskampagner, hvor man lægger dokumenter på et strategisk smart tidspunkt eller får ansatte i det danske forsvar til at se uprofessionelle ud.

– Når vitale samfundsmæssige infrastrukturer eller militære systemer bliver 'smarte' og kommer på internettet, kan det helt klart optimere brugen og gøre it-support nemmere og hurtigere.

– Men det øger også risikoen for, at andre aktører kan opnå adgang ved at udnytte de sårbarheder, der enten bevidst eller ubevidst er installeret i systemerne, i netværket eller knytter sig til de mange brugere, der ikke tænker sig godt nok om.

 

Virtuelle spor

Selvom Center for Cybersikkerhed, der hører under Forsvarets Efterretningstjeneste, udtrykkeligt fraråder 'al deling af oplysninger' om ansattes placering på sociale medier og fitness­-apps, er ansatte i det danske forsvar flittige brugere af Strava.

I forbindelse med denne undersøgelse har Ekstra Bladet ved hjælp af offentligt tilgængelig data på Strava fundet frem til flere højtstående ansatte med adgang til store mængder personeldata.

Til trods for at de pågældende ansatte i flere tilfælde er gået langt for at skjule deres identitet, har det også været muligt for Ekstra Bladet at lokalisere de ansattes private adresser, tjenesterejser og private ferier ved hjælp af den data, de har delt på Strava.

Det er ikke første gang, at Strava er kommet i fedtefadet. Da virksomheden for to år siden lancerede et såkaldt 'heat map', en visuel gengivelse af alle brugeres løberuter, blev tophemmelige amerikanske militærinstallationer i Tawian og Afghanistan i samme ombæring afsløret.

I kølvandet på afsløringen sagde en repræsentant for det amerikanske forsvar til The Washington Post, at man ville undersøge mulighederne for at ændre reglerne for, hvilke apps man ville tillade militært personel at bruge.

I Holland valgte landets forsvar fuldstændig at forbyde brugen af fitness-apps blandt sine ansatte, når de er udsendt. I Danmark tillader man dog fortsat brugen af træningsapps med geopositionering med den begrundelse, at danske styrker på internationale missioner er udsendt på mandat fra Folketinget, og at det derfor ikke er hemmeligt, fra hvilke baser de opererer.

Dog har Ekstra Bladet fundet flere eksempler på løberuter, der nævner specifikke lokationer inden for de pågældende basers mure. Og omfanget af sikkerhedsbristen er langtfra afgrænset til de estiske løvskove. Også under varmere himmelstrøg i Malis ørken og blandt sønderskudte bygninger i Kosovo trækker danske soldater deres virtuelle spor.

Og med sig informationer, der ikke ellers er offentligt tilgængelige, og som i de forkerte hænder kan kompromittere de udsendte soldaters sikkerhed, mener Leif Jensen, tidligere landechef hos det russiske antivirusfirma Kaspersky Lab.

– Vi har I de seneste år set kriminelle blive mere målrettede i udnyttelsen af offentligt tilgængelig data. Og det er typisk for os her i Danmark at være lidt naive og have den tilgang, at der skal lig på bordet, før noget bliver ændret.

 

Russiske sexspioner

Ifølge de seneste trusselsvurderinger fra Center for Cybersikkerhed er digital krigsførelse et stigende problem, og truslen kommer både fra statslig såvel som ikkestatslige aktører.

Forud for de danske styrkers udstationering i Estland blev de advaret mod russiske 'honningfælder' på datingappen Tinder, der ved hjælp af sex og charme ville forsøge at få adgang til informationer om soldaternes mission i landet.

Men Jesper Lund fra IT-Politisk Forening mener ikke, at det giver nogen mening at advare mod en type af apps og samtidig ignorere en anden.

– Sådan som det er beskrevet her, kunne de danske soldater jo dybest set lige så godt have oprettet en profil på Tinder og chattet med de russiske agenter.

Selvom han understreger, at kompetencerne uden tvivl er der, mener Jesper Lund, at Forsvarets Efterretningstjenestes advarsler er baseret på en 'alt for traditionel tankegang'.

– I gamle dage, før internettet, ville frygten være for fysiske agenter, der ville prøve at kontakte soldater på barer. Nu er vi så gået online, og hvad er så det mest oplagte, ja, det er Tinder.

– Man har så bare glemt at tænke skridtet videre og på, hvilke risici den voldsomme dataindsamling, som visse private virksomheder foretager, indebærer.

Hvilke data deler populære apps i Danmark?

Endomondo: Deler med tredjeparter, både til kommercielle og akademiske formål. Deler ikke følsomme, personlige oplysninger med tredjeparter uden brugerens samtykke.

Reflectly: Deler ikke oplysninger til ubeslægtede tredjeparter.

Strava: Deler med tredjeparter, når det er nødvendigt for at opfylde egne eller samarbejdspartneres legitime interesser. Sælger ikke personlige data.

Sleeptic: Deler data til partnervirksomheder og tredjeparter, der bidrager til at forbedre appens services

Flo: Deler anonymiseret data om dig med partnervirksomheder, som de kan bruge i forretningsøjemed

Clue: Deler ikke data til kommercielle formål, men deler med forskning

 

 

Total tavshed

Ekstra Bladet er i arbejdet med denne undersøgelse blevet bekendt med identiteten på en række ansatte i det danske forsvar.

De pågældende ansatte er alle blevet kontaktet med henblik på en kommentar, men ingen har på nuværende tidspunkt ønsket at stå frem.

Ekstra Bladet har forelagt resultatet af denne undersøgelse for Forsvarets Efterretningstjeneste, der ikke ønsker at kommentere yderligere. I stedet henvises der til manualerne tidligere nævnt i denne artikel.

Oberst Susanne Lund, chef for kommunikationsafdelingen i Forsvarskommandoen, mener, at Forsvaret tager soldaters sikkerhed meget alvorligt, men ønsker af sikkerhedsmæssige årsager ikke at forholde sig til konkrete eksempler på brug af fitness-apps. 

28 kommentarer
Vis kommentarer