”Det er ikke potentielle trusler. Det sker allerede”

Cybertruslen mod Danmark er ”meget høj” og ændrer sig hele tiden. Destruktive hackerangreb, som det, der ramte Mærsk i juni, og angreb målrettet meningsdannelsen er nye fænomener, man holder nøje øje med i Center for Cybersikkerhed.

Andreas Baumann

MM Special: Verden opruster til cyberkrig

En ny krig tager i disse år form. Soldater erstattes af hackere, og det moderne missil er en computervirus eller en falsk nyhed. Kampen foregår online og hele infrastrukturer kan lammes med blot et museklik.

Mandag Morgen undersøger i dette tema den nye trussel i cyberspace fra hackere, troldehære og falske nyheder, som hele verden opruster til. Cybertruslerne vokser og ændrer sig hele tiden. Og Danmark er endelig vågnet op.

Verden gør klar til cyberkrig

MM MENER: Forsvarsforlig i nyt lys

Danmark får ny kommandocentral mod misinformation

”Det er ikke potentielle trusler. Det sker allerede”

Frihedens pris

Danske soldater i Kill City skal rustes til russisk misinformation

Google og Facebook til kamp mod fake news

I fem år har Center for Cybersikkerhed haft det overordnede ansvar for cybersikkerheden i Danmark. Og i de fem år har Thomas Lund-Sørensen som centrets øverste chef set et hav af forskellige cybertrusler komme og gå. De ændrer sig hele tiden. Og derfor skal Danmarks cyberforsvar også hele tiden tilpasse sig. For hvis der er én ting, der er konstant, så er det, at hackerangreb, cyberspionage og andre cybertrusler mod Danmark i hvert fald ikke forsvinder. Tværtimod.

”I de fem år, centret har eksisteret, er der sket en ganske stor vækst i antallet af cyberangreb, men også i alvorligheden og intensiteten af dem. Det er jo ikke for sjov, at vi i risikovurderingerne bruger kategorien ’meget høj’ om cybertruslen mod Danmark,” siger Thomas Lund-Sørensen, da han byder velkommen på sit kontor efter en omstændelig sikkerhedskontrol, hvor mobiltelefon og computer er blevet spærret inde i datasikrede bokse i receptionen.

Center for Cybersikkerhed ligger på Østerbro i København og er en cirka 100 mand stor enhed under Forsvarets Efterretningstjeneste. Derfor er der også i de årlige risikovurderinger fra efterretningstjenesten et særligt afsnit om cybertruslen mod Danmark. Men lige netop denne trussel adskiller sig fra de andre trusler i risikovurderingen, hvad end det er terror eller atomkrig, fordi truslen ikke bare er potentiel.

”Normalt, når vi taler om en ’meget høj risiko’, så er vi oppe på 95 pct. sandsynlighed for, at det sker. Men på cyberområdet er vi oppe på 100 pct. Vi ved, at det sker. Vi ved, at der i dag er nogen, der planlægger enten cyberkriminalitet eller cyberspionage mod Danmark. Vi ved, at de har midlerne og evnerne til at gøre det. Og vi ved, at der er nogen, der er i gang med at gøre det lige nu. Så her taler vi altså om trusler, som er konstaterbare. Det er ikke potentielle trusler. Det sker allerede,” siger Thomas Lund-Sørensen.

En af de cybertrusler, der er blevet kategoriseret som ”meget høj”, er cyberspionage. Det er en ”særdeles aktiv trussel, og danske myndigheder og virksomheder er løbende udsat”, står der i den seneste risikovurdering. På myndighedssiden er det særligt sikkerhedspolitiske aktører, som f.eks. Udenrigsministeriet og Forsvarsministeriet, der er under hyppige angreb fra bl.a. hackere i Rusland. Og for virksomhederne er det mest forskningstunge og højteknologiske virksomheder, der bliver udspioneret – ikke mindst fra hackere i Kina.

Danmarks kontrolcenter for cyberforsvar
Center for Cybersikkerhed blev oprettet i december 2012 som en del af Forsvarets Efterretningstjeneste med en målsætning om at samle statens kompetencer på cybersikkerhedsområdet. Centrets hovedopgave er at understøtte et højt informationssikkerhedsniveau i den it-infrastruktur, som samfundsvigtige funktioner er afhængige af. Derudover er centret både statslig og militær varslingstjeneste for internettrusler. I begyndelsen havde centret knap 30 ansatte, men det er nu oppe på omkring 100. Centret fik ved sidste forsvarsforlig tildelt yderligere 35 mio. kr. om året ud over de midler, der i forvejen var afsat. Derudover blev der afsat et årligt millionbeløb, der i 2016 og 2017 kom op på 150 mio. kr., til etablering og drift af en såkaldt Computer Network Operations (CNO), der er en kapacitet under Forsvarets Efterretningstjeneste (delvist hos Center for Cybersikkerhed), som skal gennemføre defensive og offensive operationer i cyberspace.

”Det er særligt bekymrende for et land som Danmark, hvor vi jo lever af innovation og gode ideer, at forretningshemmeligheder bliver stjålet af udenlandske hackere,” siger Thomas Lund-Sørensen.

Virus kostede 2 milliarder

Graden af alvorlighed i angrebene varierer selvfølgelig. Mange cyberangreb hører man aldrig om. Nogen af dem er ubetydelige. Men det seneste halve år er der sket flere af de helt alvorlige af slagsen, hvor kronen på værket i den forstand ikke mindst var angrebet mod bl.a. A.P. Møller-Mærsk den 27. juni, der har fået navnet Goldeneye.

Virussen ødelagde simpelthen virksomhedens it-systemer, og det har ifølge Mærsk selv kostet mellem 200 og 300 mio. dollar – svarende til op mod 1,9 milliarder kr. Det særlige ved det angreb var ikke alene de høje omkostninger, men også at det var designet til at være direkte destruktivt, forklarer Thomas Lund-Sørensen. Det er nyt.

”Inden for de sidste par år har vi set nogle nye fænomener, vi ikke tidligere havde så meget fokus på. Og det handler bl.a. om de destruktive cyberangreb, hvor man går ind i et system – ikke for at indhente informationer eller tjene penge – men simpelthen for at ødelægge det, så det ikke kan fungere, og sådan at den pågældende myndighed eller virksomhed bliver sat ud af kraft,” siger han.

”Vi har set flere eksempler på de her destruktive angreb i Ukraine de sidste par år. Men altså allersenest det store angreb, som ramte A.P. Møller i juni, hvor deres og en lang række andre virksomheders it-infrastruktur simpelthen forsvandt for øjnene af dem,” siger Thomas Lund-Sørensen.

Det er på den ene side en trussel, der er yderst bekymrende. Men på den anden side kan det også være, at netop den episode kan få alvoren ved cyberangrebene til at sive ind rundtomkring i de danske bestyrelseslokaler. Det er særligt i de forsamlinger, Thomas Lund-Sørensen mener at snakken om cybersikkerhed risikerer ikke at blive omsat til beslutninger, der rent faktisk forbedrer it-sikkerheden.

”Men at Mærsk ligefrem har sat et foreløbigt tal på, hvor meget angrebet mod dem har kostet, det er noget, jeg virkelig forventer vil rykke ved hele indstillingen til cybersikkerhed rundtomkring i bestyrelseslokalerne. For så begynder det at være noget, man kan sætte i forhold til investeringer i it-sikkerheden,” siger han.

Misinformation truer

Den sidste nye slags cyberangreb er nogle, Center for Cybersikkerhed kalder hack-and-leak. De er ofte udført af fremmede stater, der forsøger at påvirke meningsdannelsen i et andet land.

”Det er angreb, hvor hackere skaffer sig adgang til et system og derefter lækker informationerne – evt. i en forvansket udgave – i et forsøg på at skade personers eller institutioners offentlige omdømme,” siger Thomas Lund-Sørensen.

De er først for alvor blevet udbredt i midten af 2016, og det mest kendte eksempel er fra den amerikanske valgkamp, hvor serverne hos organisationen bag Det Demokratiske Parti blev hacket – angivelig af hackere tilknyttet den russiske stat. Men der har også været eksempler fra Tyskland, hvor det socialdemokratiske parti SPD er blevet hacket, og fra Frankrig, hvor Emmanuel Macrons præsidentkampagne blev hacket, inden det alligevel lykkedes ham at vinde valget.

”Det, der er kendetegnende ved de angreb, er, at man bliver hacket med det formål at offentliggøre oplysninger, som i en bestemt kontekst kan være pinlige eller destabiliserende. Og det her med at forsøge at eksponere nogle oplysninger, som ikke var tiltænkt at blive offentliggjort, eller at man manipulerer med nogle af de oplysninger, man får hacket sig adgang til, det er en ny og meget bekymrende trussel,” siger Thomas Lund-Sørensen.

Han forklarer, at det lige nu mest er en potentiel trussel mod Danmark, men at angrebene er alvorlige, fordi der ofte blandes forfalskede og manipulerende oplysninger ind i de hackede oplysninger, som derfor kan misinformere offentligheden og måske i sidste ende påvirke valg.

”Disse nye trusler betyder, at vores fokusområde i dag har flyttet sig. Fra at vi havde hovedfokus på cybercrime og cyberspionage, så har vi nu også hack-and-leaks og destruktive cyberangreb som væsentlige fokusområder i vores arbejde,” siger han.

Er vi klar?

Når man så spørger, om Danmark er klar til de mange store, gamle og nye cybertrusler, er svaret fra cybersikkerhedschefen ikke hverken entydigt ja eller nej.

Det er rigtig svært at gøre op, men jeg er ikke lige så skeptisk, som dem, der siger, at vi slet ikke er klar. Man kan altid blive udsat for et angreb. Det er simpelthen en rammebetingelse – og det vil det nok være i mange år fremover – at der er modstandere, der er så dygtige, at de ville kunne komme ind i ethvert system,” siger Thomas Lund-Sørensen.

”Derfor handler cybersikkerhed ikke alene om at beskytte sig, men også om, hvordan man kommer hurtigt tilbage på benene igen, når man er blevet ramt. Og der tror jeg, der er rigtig mange, både myndigheder og virksomheder, der har en udfordring, fordi de ikke rigtig har et øvet beredskab, og at de måske ikke er 100 pct. klar over, hvilke kritiske sårbarheder de har i deres organisation.”

Han lyder derfor umiddelbart skeptisk over for sikkerhedstilstanden, og man kunne måske forledes til at tro, at han i virkeligheden er enig med nogle af de mange eksperter, der oven på WannaCry-angrebet i foråret, som bl.a. ramte kritisk infrastruktur i Storbritannien, advarede om, hvorvidt også Danmark overhovedet er klar. Men det angreb viser faktisk, at vi er ret klar, argumenterer han.

”Sagen om WannaCry, som jo ramte globalt, gik faktisk stort set uden om Danmark. Der var nogle enkelte vejskilte i Kolding og Randers, der blev hacket. Men det er jo på ingen måde vores kritiske infrastruktur,” siger han.

Og det var ellers ikke, fordi der ikke blev forsøgt at angribe Danmark, forsikrer han.

”Vi kunne se, at der blev scannet efter den specifikke sårbarhed i nogle gamle versioner af Windows, og vores indtryk var, at vores samfundsmæssige vedligeholdelse af vores software (altså at man opdaterer med seneste sikkerhedsopdateringer, red.) var relativt god. Det er den bedste forklaring på, hvorfor vi ikke blev ramt af WannaCry,” siger Thomas Lund-Sørensen.

Derfor er konklusionen også, at Danmark er ”klar nok”.

”Der er altid nogen, der vil råbe op og sige, at det ikke er godt nok. Men jeg synes, på baggrund af den viden, jeg har fået gennem de sidste fem år, at det sådan set ser fornuftigt ud. Er vi i mål? Det kommer vi aldrig. Men der er også brug for en konstant indsats for at forbedre sikkerheden i det danske internet. Det er lidt det samme som med trafiksikkerheden; det er en langvarig indsats for at få risiciene ved biltrafik ned på et lavere og mere tåleligt niveau. Og sådan skulle det også rigtig gerne gå med cybersikkerheden,” siger han og fortsætter:

”Vi skal ikke være et Fort Knox; vi skal beskytte os på et rimeligt niveau, der står mål med risikoen, og så må vi forberede os på, at en gang imellem, så sker der alligevel noget, og så skal vi være i stand til at komme tilbage på benene igen hurtigt og effektivt. Det er den balance, vi er i gang med at finde, og hvor mit indtryk er, at vi er på rette vej,” siger Thomas Lund-Sørensen.


Få Mandag Morgens overskrifter direkte i din mail.

Tilmeld dig nyhedsbrevet nu

Få Mandag Morgens overskrifter direkte i din mail.

Tilmeld dig nyhedsbrevet nu