Det danske samfund har i de seneste årtier været et foregangsland indenfor digitaliseringen. Dog medfører digitaliseringen ikke kun udvikling og høj komfort i samfundet, for en større digitalisering øger sårbarheden overfor ondsindede trusler. Faktisk står det klart, at vores nuværende sikkerhedsforanstaltninger inden for det digitale domæne slet ikke er robuste eller gode nok
Af Aske Tougaard Munch og Mikkel Egebjerg Rasmussen
I flere år har Danmark iført sig førertrøjen, når det handler om digitalisering. Det hele tog fart i 1968, hvor vi i Danmark oprettede CPR-registret, som kunne opbevares på hulkort på kommunernes Edb-centraler. Siden da har vi ikke set os tilbage mod den analoge tidsalder.
Papirdokumenter og bankbøger er for længst udskiftet af MitID og digitalsignatur. De seneste år har Danmark taget store skridt i den digitaliserede retning.
Danmark er et gennemdigitaliseret land, som på mange måder er godt for det danske samfund og borgerne. Men der er også en bagside af den store, glinsende digitaliserings-medalje. For med digitaliseringen følger sårbarheden overfor cyberangreb. Det fortæller Jens Myrup, professor i cybersikkerhed ved Aalborg Universitet.
“Digitalisering giver os danskere en høj komfort og er behjælpelig med at udvikle bæredygtige løsninger og gøre arbejdsgange mere effektive. Det betyder også, at vi er afhængige af, at vores digitale infrastruktur fungerer. Højere digitalisering betyder flere angrebsflader, som de cyberkriminelle kan udnytte”, fortæller Jens Myrup.
Truslen
Dem, der har til opgave at beskytte Danmark mod udefrakommende trusler, når det kommer til teknologi og it, er Center for Cybersikkerhed. Mark Fiedel er chef for cyberanalyse hos Center for Cybersikkerhed, og ifølge ham er der både gevinster og sårbarheder forbundet med digitaliseringen.
“Danmark er relativt sårbar, fordi vi er et gennemdigitaliseret samfund. Både borgere, virksomheder og myndigheder er helt afhængige af, at tingene i det digitale domæne fungerer. Og det betyder, at hvis der er nogle centrale ting, som ikke virker, forårsager det altså rigtig store problemer for rigtig mange mennesker”, siger Mark Fiedel.
Centeret, der er Forsvarets Efterretningstjenestes cyberafdeling, arbejder hver dag på at opbygge vores cyberrobusthed i det danske samfund, som en øget digitalisering kræver. Og når en trussel på cyberområdet skal vurderes, så er det Center for Cybersikkerhed, der varetager den slags opgaver.
Og netop trusselsvurderinger er et område Mark Fiedel beskæftiger sig med fra kontorerne i København. Cybertruslen vurderes på baggrund af fem niveauer og går fra ‘ingen trussel’ til en ‘meget høj trussel’ og kigger blandt andet på cyberaktivisme, destruktive cyberangreb, cyberspionage og cyberkriminalitet. Og på to af de fire områder ser det særligt alvorligt ud.
“Hvis vi kigger på de to kategorier cyberspionage og cyberkriminalitet, der ligger vi på det højst mulige niveau, nemlig ‘meget høj’. Og det vil jeg forvente, at vi kommer til at blive ved med at gøre”, siger Mark Fiedel.
“Hvis vi kigger på de to kategorier cyberspionage og cyberkriminalitet, der ligger vi på det højst mulige niveau, nemlig ‘meget høj’. Og det vil jeg forvente, at vi kommer til at blive ved med at gøre”
– Mark Fiedel, chef for cyberanalyse hos Center for Cybersikkerhed
I it-sikkerhedsmyndighedens seneste beretning om truslen mod Danmark fra 2023, peges der særligt på Kina og Rusland, når det kommer til truslen for cyberspionage mod danske myndigheder og virksomheder. Mens cyberkriminaliteten ikke på samme måde er knyttet op på truslen fra bestemte lande, men derimod fra forskellige cyberkriminelle netværk verden over.
Og holdningen til et højt trusselniveau deler de også i EU. Hos EU’s agentur for cybersikkerhed, ENISA, beskriver de, i deres rapport om trusselsbilledet i EU, hvordan der er sket en betydelig eskalation af cyberangreb i 2023.
Katten efter musen
Teknologier udvikler sig i et hæsblæsende tempo, og cyberspace er ingen undtagelse. Det er her i cyberspace at hackerne er på hjemmebane og konstant forsøger at finde sårbarheder i danske it-systemer. På den anden side sidder Cybersikkerheds-ansatte og lukker huller og forsøger at forudse det næste angreb, men nogle gange er det angrebet, der er foran forsvaret.
“De kriminelle finder hele tiden nye teknikker og veje ind i systemer. Det er noget der stiller store krav til træningen af vores ansatte, der må gå på opdagelse i de spor, hackerne efterlader sig, når de bryder ind i et system,” fortæller Christoffer Bech, der er Director of Cyber Defence hos it-sikkerhedsfirmaet Improsec, der hjælper virksomheder ramt af hacking.
Udover direktørstillingen har Christoffer Bech tidligere gjort tjeneste i Forsvaret, hvor han har siddet og håndteret cybertrusler mod staten. Og han har efterhånden fået et godt indblik i de forskellige typer, der sidder og hacker.
“Dem som man særligt skal frygte, er de her statssponsorerede hackere. De betales af fx Kina eller Rusland og arbejder sandsynligvis i deres respektive efterretningstjenester for enten at udspionere eller på anden vis skade vores statslige institutioner”, siger han.
“Dem som man særligt skal frygte, er de her statssponsorerede hackere. De betales af fx Kina eller Rusland og arbejder sandsynligvis i deres respektive efterretningstjenester for enten at udspionere eller på anden vis skade vores statslige institutioner”
– Christoffer Bech, Director of Cyber Defence, Improsec
I FE er de ligeledes opmærksom på hackernes evne til at udvikle nye teknikker og er klar til at tage kampen op, også når man i perioder er et skridt bagud.
“Det er et kapløb, hvor kriminelle og fremmede stater hele tiden forsøger at udvikle deres metoder, herunder deres udnyttelse af teknologi og måden de arbejder og samarbejder på. Vi kan ikke læne os tilbage, for vi må hele tiden følge med udviklingen. Det er en løbende indsats snarere end en kamp, nogen ender med at kunne vinde”, fortæller Mark Fiedel.
For dårligt rustet
Men kaster man et blik på cybersikkerheden, så tegner der sig et billede af, at den ikke har fulgt samme rivende udvikling som digitaliseringen. Ifølge FN’s agentur for informations- og teknologikommunikation, ITU, så halter sikkerheden på cyberområdet efter vores nabolande.
I deres seneste rapport har agenturet listet Danmarks som nummer 32, når det kommer til cybersikkerhed. Det er en placering bag lande som Kasakhstan, Oman og Mauritius.
At det står skidt til med it-sikkerheden i Danmark, det har rigsrevisionen i deres seneste rapport slået fast. Her kommer de med skarp kritik, fordi syv ud af tolv samfundskritiske it-systemer ikke har et tilfredsstillende it-beredskab – fem af dem er deciderede mangelfulde. Kun et fåtal af disse beredskaber er reelt blevet testet, og den manglende træning gør, at myndighederne ikke ved om disse beredskabsplaner egentlig virker.
“Hvis vitale systemer i vores samfund bliver angrebet, så ved man reelt set ikke om man er i stand til at få systerme op at køre igen. Det kan næsten ikke blive mere alvorligt,” siger Jens Myrup, der er ekspert i Cybersikkerhed ved Aalborg Universitet.
“Hvis vitale systemer i vores samfund bliver angrebet, så ved man reelt set ikke om man er i stand til at få systerme op at køre igen. Det kan næsten ikke blive mere alvorligt”
– Jens Myrup, professor i Cybersikkerhed ved Aalborg Universitet
Spørger man Jens Myrup, der betegnes som en af de første forskere indenfor cybersikkerhed i Danmark, så er vi ikke godt nok rustet.
“Det samlede billede er, at vi ikke er gode nok til at arbejde systematisk med cybersikkerhed, og at vi ikke er godt nok beskyttet, særligt set i lyset af hvor digitaliseret vi er”, siger Jens Myrup.
Og systematisk arbejde med sikkerhed har rigsrevisionen slået fast, at der ikke er i det offentlige. Faktisk er det sådan, at staten ikke har været gode nok til at skille sig af med forældede it-systemer. Således slår rigsrevisionen fast, at en del af statens it-servere ikke kan sikkerhedsopdateres og disse enten ikke er blevet nedlagt eller udskiftet – og staten har ikke styr på, hvor mange servere, de reelt set er ansvarlige for.
Det vil i værste fald kunne betyde læk af vigtige data fra virksomhederne eller personlige data fra borgerne. Og netop manglen på sikkerhed, mener Jens Myrup, vil kunne svække tilliden til vores digitalisering.
“Det er jeg bekymret for. Se nu den her sag med datalæk fra IT-Center Syd i Sønderjylland, hvor en masse elevers data kommer til at ligge offentligt tilgængeligt på nettet. Hvis der bliver ved med at opstå den slags sager, hvor det er vores personlige informationer, vores sundhedsdata, vores økonomiske data, så vil det jo over tid erodere tilliden til vores digitaliserede samfund. Og det vil få os som borgere til at være mindre tilbøjelige til at dele data på samme måde, som man gør i dag. Det kan betyde et tilbageskridt for digitaliseringen, fordi man mister tilliden i befolkningen til de digitale løsninger”, siger Jens Myrup.
Virksomheder skal have en bedre cyber-hygiejne
Det er ikke kun hos det offentlige, at der er rod i it-kablerne. Hos de små og mellemstore virksomheder, også kaldet SMV’er, er cybersikkerheden heller ikke i top. I den årlige cyber-undersøgelse foretaget af PwC svarer 45 procent af de adspurgte virksomheder, at de har været udsat for mindst én it-sikkerhedshændelse i løbet af det seneste år.
Og spørger man hos Improsec, der både arbejder med it-sikkerhed for små og store danske virksomheder, så er det primært hos SMV’erne, at cybersikkerheden er underprioriteret.
“Det vi ofte ser er, at det er en mand, der hedder Bent, som står med hele ansvaret for virksomhedens digitale sikkerhed. Han har 10 forskellige kasketter på og laver både it og it-sikkerhed. Og samtidig skal han også lave overvågning”, fortæller Christoffer Bech.
“Det vi ofte ser er, at det er en mand, der hedder Bent, som står med hele ansvaret for virksomhedens digitale sikkerhed. Han har 10 forskellige kasketter på og laver både it og it-sikkerhed. Og samtidig skal han også lave overvågning”
– Christoffer Bech, Director of Cyber Defence, Improsec
Når de rykker ud til virksomhederne for at teste sikkerheden eller redde kastanjerne ud af ilden, så er der nok at tage fat på.
“Jeg kan godt være lidt rystet over sikkerhedsniveauet, når vi tester systemer hos vores kunder. Der florerer stadig en forståelse af, at hvis man har en firewall og noget anti-virus, så er det tilstrækkeligt, men det er langtfra nok i det moderne cyberspace”, siger Christoffer Bech.
Hos hovedorganisationen SMVdanmark, der repræsenterer de små og mellemstore virksomheder, kan man godt mærke at cybertruslen er blevet større og flere af virksomhederne oplever, at hackerne har held med at bryde ind ad cyberdøren. De oplever at være udsatte på en anden måde end de store virksomheder.
“De små virksomheder bliver i højere og højere grad udsat for ransomware-angreb. Det er nemmere at trænge igennem deres sikkerhedsforanstaltninger sammenlignet med en stor virksomhed med en hel it-afdeling. Og så kan det godt være, at vi kun snakker beløb i 100.000 kroners-klassen, de skal betale i løsessum, men det er forholdsvis meget. Og de har ikke de samme ressourcer til at køre forhandlingen med de kriminelle, som andre virksomheder”, fortæller Pernille Birch, der er økonom og digitaliseringsansvarlig i SMVdanmark.
Og fortsætter:
“Selvom de gør deres bedste, så er arbejdsdagen kun 8 timer, og når man kun har 5 ansatte, hvor it-specialisten både er HR-chef og regnskabschef, så kan man ikke dedikere al sin tid til cybersikkerhed”.
“Selvom de gør deres bedste, så er arbejdsdagen kun 8 timer, og når man kun har 5 ansatte, hvor it-specialisten både er HR-chef og regnskabschef, så kan man ikke dedikere al sin tid til cybersikkerhed”
– Pernille Birch, økonom og digitaliseringsansvarlig i SMVdanmark
For at få et overblik over situationen på sikkerhedsniveauet af servere i Danmark har Christoffer Bech tjekket op på nogle tal offentliggjort af ShadowServer, der er en sikkerhedsorganisation, som monitorerer og analyserer internettrafik rundt i hele verden.
“Jeg fandt 800 danske servere, der ikke var opdaterede. Vi snakker en opdatering, der har været tilgængelig i 3 år, så det er lidt ringe, når man tænker på risikoen ved at lade være”.
Spørger man Jens Myrup, er der heller ikke tvivl om, at der skal mere fokus på SMV’ere og deres prioritering af cybersikkerhed. Særligt fordi man ofte fungerer som en underleverandør til større virksomheder, som stiller store krav til sikkerheden hos deres samarbejdspartnere.
“Det vi ser er, at små og mellemstore virksomheder både skal koncentrere sig om en cybertrussel, men også med krav fra de virksomheder, de leverer til. Og derfor har de i særlig grad brug for en håndsrækning. Det handler egentlig både om at beskytte dem mod cyberangreb, men også om, at de overhovedet kan være relevante på markedet”, siger han.
I forhold til prioriteringen af cybersikkerhed hos SMV’ere er der enighed om, at man kan gøre mere med relativt få ressourcer. Hos hovedorganisationen gør de hvad de kan, for at informere deres medlemmer, der også selv har et ansvar.
“Det er rigtigt at man kan komme langt med få ressourcer på det her område. Der er et ledelsesansvar i at informere sine medarbejder om, hvad god it-sikkerhed indebærer og være bevidst om ansvaret for at beskytte sine egne og kundernes data. Der er en tendens til at tage problemerne på bagkant, i stedet for at have fokus på forebyggelse. Det er ærgerligt, og et ansvar virksomhederne skal blive bedre til at påtage sig”, siger Pernille Birch.
Vi kan udvikle nogle bedre it-systemer og undgå menneskelige fejl
Selvom vi i Danmark efterhånden har fået øjnene op for alvorligheden af cybertrusler, og til dels ved hvordan beredskabet skal køres i stilling, når katastrofen indtræffer, så kan der faktisk gøres mere for at forebygge, at vi overhovedet bliver hacket.
Af de danske virksomheder der udsættes for hacking begået af kriminelle drejer 72% af sagerne sig om såkaldte phishing-angreb.
“Langt størstedelen af alle angreb starter med phishing, hvor man eksempelvis får klikket på et ondsindet link i en e-mail”, siger Christian Damsgaard, der er lektor i it-sikkerhed ved DTU Compute.
“Langt størstedelen af alle angreb starter med phishing, hvor man eksempelvis får klikket på et ondsindet link i en e-mail”
– Christian Damsgaard, lektor i it-sikkerhed ved DTU Compute
“Det er jo et godt eksempel på den menneskelige side, der fejler. Men kun fordi vi har opbygget nogle systemer, der ikke tager godt nok højde for, at vi mennesker kan fejle med disse mere eller mindre brugervenlige it-systemer,” siger han.
Derfor stiller Christian Damsgaard spørgsmålstegn ved, om man kunne gøre mere for brugervenligheden, når hackerne tydeligvis har fundet en brist i vores færden på nettet.
“Man kunne godt fokusere noget mere på udviklingen af den her brugeroplevelse, så vi blev nudget til at tage det rigtige valg og ikke hoppede på de her falske e-mails. Så havde vi heller ikke behovet for så mange cybersikkerhedsansatte, som det er tilfældet i dag”, fortæller han.
Og det her med at tage forebyggelse seriøst kan være forskellen på, om en kriminel får adgang til virksomhedens systemer og i sidste ende data. Derfor kommer Christoffer Bech fra Improsec da også med en anbefaling til, hvis man sidder med implementeringen af it eller bare vil have et godt tip til passwords.
“Tænk på sikkerhed som lagene i et løg. Jo flere lag du har ind til de følsomme data i midten, jo sværere og længere tid vil det tage at bryde igennem for en kriminel”.
Helt konkret er der tale om udskiftning af passwords på computere, der er så simple at hackere nemt kan gætte sig til adgangen. Et andet fokusområde er opsætning af multifaktorgodkendelse, der tvinger medarbejderen til at bekræfte sin identitet med mere end ét stykke information, når han eller hun logger på sin konto.
“Man kan foretage mange sikkerhedstiltag, der er tæt på gratis og koster kun administratorens løn. Forestil dig at sætte en virksomhed, der måske omsætter for 20 millioner over styr, fordi man ikke lige brugte tre dage på opsætning af cybersikkerhed. Tiden brugt på det, er virkelig godt givet ud”, fortæller Christoffer Bech.