»Hvem dér?«

Spørgsmålet rungede ud mellem de forsamlede ministre, der sad og plirrede ud fra hver sit lille vindue på videomødet. Flere af dem grinede højlydt af den mærkværdige situation.

Ministrene var samlet til fortrolige forsvarspolitiske drøftelser, men nu var fortroligheden brudt. En ukendt deltager havde sneget sig ind til det digitale møde. Nu lyttede vedkommende med på en ellers lukket samtale mellem flere end 20 europæiske forsvarsministre.

Da alvoren gik op for EUs udenrigschef, Josep Borell, tog han straks ordet.

»Vi er blevet infiltreret,« konstaterede han.

»Nogen er trængt ind i systemet. Vi er nødt til at standse nu,« sagde han.

That ⁦@danielverlaan⁩ hack of the EU defence ministers' meeting? This is how it looked from the inside. Comedy gold. pic.twitter.com/1qvVYKsDpt — Michiel van Hulten (@mvanhulten) November 20, 2020

Gerningsmanden kendte fem cifre

Mødet, der fandt sted fredag, står nu som et lettere komisk eksempel på de cybertrusler, som mange af de europæiske ministre selv har advaret om.

Sagen viser nemlig, hvordan et enkelt lille hul kan punktere sikkerheden i det digitale diplomati, som regeringer i hele Europa er dybt afhængige af under coronakrisen.

På mødet deltog også den danske forsvarsminister Trine Bramsen (S). Men heldigvis for hende og de andre forsvarsministre var der tale om en gerningsmand, der spillede med åbne kort.

Carsten Schürmann, Center for Informationssikkerhed på IT-Universitetet »Hvis du taler med din mormor, så er en ID-kode på seks cifre udmærket. Men hvis man skal identificere personer, der skal deltage i et ministermøde, så er det utilstrækkeligt.«

Det hele begyndte med en uheldig medarbejder hos den hollandske forsvarsminister, Ank Bijleveld. For at promovere ministerens arbejde havde embedsmanden lagt et billede af ministerens deltagelse på det sociale medie Twitter.

Dit was de oorspronkelijke foto die vanaf het account van minister Bijleveld werd gedeeld, met daarin de meeting-ID en vijf cijfers van de pincode.



Het was een zescijferige pincode. Ik joinde met de naam 'admin'. pic.twitter.com/Fztrbqm5FR — Daniël Verlaan (@danielverlaan) November 20, 2020

Det tiltrak en skarpøjet, hollandsk journalists opmærksomhed. For oppe i hjørnet af billedet stod en webadresse, der indeholdt ikke bare mødets ID-nummer, men også fem ud af seks cifre af kodeordet.

Journalisten fra TV-kanalen RTL kontaktede det hollandske forsvarsministerium for at advare om den mulige risiko for, at fremmede magter også kiggede med. Men her lød svaret ifølge RTL, at de to oplysninger ikke var nok til at kompromittere mødet.

Important to reiterate that this journalist managed to hack a EU Council meeting because the Dutch minister taking part in the meeting posted her password on Twitter. If anyone should be prosecuted for this security breach it is the minister, not the journalist. https://t.co/R8DXgOs4N4 — Michiel van Hulten (@mvanhulten) November 20, 2020

Det besluttede journalisten Daniël Verlaan sig for at afprøve. Han indtastede adressen for ministermødet og blev bedt om pinkoden.

»Jeg kendte de første fem cifre, og så tastede jeg først et, så to, og til sidst var jeg inde på mødet,« forklarede Daniël Verlaan til mediet Politico.

Forfængelighed åbner sikkerhedshuller

Hans lettere spektakulære entré på ministermødet blev siden vist på den hollandske TV-kanal og på flere optagelser på Twitter. Her kan man høre både latter, en forvirret udenrigschef spørge »hvem dér?« og den hollandske journalist, der selv ser ganske overrasket ud, svare:

»Ja, ja, undskyld, jeg er en journalist fra Holland. Beklager, at jeg forstyrrer jeres konference. Jeg forsvinder nu.«

Det gør han så. Men kun efter at være blevet beskyldt for »strafferetsovertrædelser« af EUs udenrigschef.

En talsmand for Det Europæiske Råd har siden understreget, at der ikke blev drøftet klassificerede spørgsmål på det digitale møde, og at mødet officielt ikke har status som et ministerrådsmøde.

Ifølge Det Europæiske Råd var der ikke tale om et formelt ministermøde. Episoden kaster imidlertid lys over et alvorligt problem, siger ekspert i cybersikkerhed.

Journalisten har selv forklaret, at han blot forsøgte at kaste lys over åbenlyse sikkerhedshuller.

Det viser episoden med al tydelighed, siger professor Carsten Schürmann, der er leder af Center for Informationssikkerhed på IT-Universitetet.

»Hvis du taler med din mormor, så er en ID-kode på seks cifre udmærket. Men hvis man skal identificere personer, der skal deltage i et ministermøde, så er det utilstrækkeligt,« siger Carsten Schürmann.

Ifølge ham er udfordringen, at de fleste EU-lande har sikre nationale systemer til identifikation såsom NemID i Danmark. Men der er ingen standardiseret fælleseuropæisk ID-løsning, og derfor mangler der strømlinede sikkerhedsprocedurer for det digitale diplomati.

»Og så øges risikoen for episoder, fordi politikere gerne vil fortælle deres vælgere, at de er aktive og deltager i vigtige møder. Derfor risikerer tekniske detaljer nogle gange at komme ud,« siger Carsten Schürmann.

Boris Johnsons ID-kode

Episoden på EU-mødet er langtfra den første. Tidligere på året endte den britiske premierminister, Boris Johnson, i stormvejr, da han tweetede et billede af et digitalt regeringsmøde.

Billedet afslørede ifølge eksperter følsomme detaljer om det tekniske setup, og siden er både amerikanske embedsmænd og lokalpolitikere blevet ofre for uretmæssig indtrængen.

Også Det Udenrigspolitiske Nævn herhjemme blev i sidste måned snøret af to russiske YouTube-personligheder. De tiltuskede sig adgang til et videomøde ved at udgive sig for at være en hviderussisk oppositionsleder.

Et tredje eksempel er en hollandsk sikkerhedsanalytiker, der hævder, at han med simple midler loggede ind på den amerikanske præsidents, Donald Trumps, Twitter-konto, der har 89 millioner følgere.

To russiske YouTube-personligheder snørede Det Udenrigspolitiske Nævn ved at udgive sig for at være en hviderussisk oppositionspolitiker.

Det afvises af Det Hvide Hus, men sagen efterforskes nu af hollandsk politi.

Sårbarhederne viser, hvordan destruktive aktører alt for let vil kunne skabe ravage i international politik, siger Martin Marcussen, der er professor og forsker i diplomati ved Københavns Universitet.

»Du kan jo udløse en endeløs række af konsekvenser, hvis du kontrollerer en officiel kommunikationskanal,« siger Martin Marcussen, der forudser en renæssance for mere traditionelt diplomati, når coronakrisen damper af.

»Coronakrisen har skubbet teknologien fremad, men man kan også sige, at det i sig selv har understreget, hvor afgørende det er at mødes ansigt til ansigt, når der er tale om de mest følsomme spørgsmål,« siger han.

Forsvarsminister Trine Bramsen har selv advaret om risikoen for cyberangreb i ly af coronakrisen. Hun bekræfter i en skriftlig kommentar, at hun deltog på fredagens møde.

»Fra dansk side har vi tidligere påpeget sikkerhedsspørgsmålet, hvilket også betød, at jeg i mit indlæg ikke udleverede eller kommenterede klassificerede oplysninger,« skriver Trine Bramsen.