Af: Benjamin Dane
Foto: Sarah Mølsted og Nikolaj Thaning

Hvis nogen virkelig ville ramme Danmark, ville det ikke kræve hverken bomber eller soldater. Tilstrækkelig computerkraft, god koordination og et tryk på et tastatur kunne være nok.

Forestil dig, at TDC Nets infrastruktur bliver lagt ned af et omfattende cyberangreb. Pludselig virker telefonerne ikke læn - gere. Hverken mobil eller fastnet. Internetforbindelsen forsvinder – ikke bare i privaten, men også på hospitaler, i politiets operationscentral og hos landets banker. 112 er tavs. Dataadgangen til patientjournaler, efterforskningssystemer og samfunds - kritisk energi- og vandforsyning er væk.

”Det ville være en rigtig dårlig dag på kontoret,” siger Karsten Brinkmann, Chief Information Security Officer i TDC Net.

”Hvis hele TDC Net blev lagt ned af et cyberangreb, ville det få konsekvenser for stort set alle dele af samfundet. Vi taler ikke bare om mobilabonnementer og bredbånd. Vi taler om dataforbindelser til hospitaler, beredskabslinjer, politi og militær.”

Han understreger, at scenariet er højst usandsynligt, tæt på umuligt. Men truslen findes, og TDC Nets beredskab afspejler den: Selskabet er klassificeret som nationalt kritisk infrastruktur, og derfor har man opbygget et omfattende forsvar med eget Cyber Defense Center, dublerede datacentre, 150 dieselgeneratorer og interne ’white hat’-hackere, som konstant tester sikkerheden.

”Vi siger nogle gange, at vi sover med støvlerne på,” siger Karsten Brinkmann.

”Vi ser tusindvis af angreb om dagen. I juni alene sorterede vi 800.000 mistænkelige e-mails fra – heraf over 12.000 med skadelig software.”

I MAJ 2023 blev Danmark ramt af det mest omfattende cyberangreb mod kritisk infrastruktur til dato. Det skete i energisektoren, hvor 22 energiselskaber blev kompromitteret på én gang. Ifølge en rapport fra SektorCERT – de kritiske sektorers cybersikkerhedscenter – udnyttede bagmændene en sårbarhed i et udbredt firewall-produkt og fik adgang til systemerne i en grad, som i værste fald kunne have påvirket el- og varmeforsyningen for over 100.000 danskere.

SektorCERT beskrev angrebet som ”det mest omfattende og komplekse”, de nogensinde havde registreret. Samtidig vurderede de, at metoden og omfanget pegede i retning af en statsstøttet aktør. En entydig bagmand blev ikke udpeget, men digitale spor tydede på den russiske militære efterretningstjeneste GRU’s berygtede Enhed 74455, også kendt som ’Sandworm’ – som i 2015 også stod bag et omfattende angreb på Ukraines elnet, derefter - lod hundredtusindvis af borgere uden strøm.

Angrebet mod de danske energiselskaber blev opdaget og håndteret, før det fik lignende konsekvenser – men hændelsen tjente som en kraftig påmindelse om, hvor sårbart et digitaliseret samfund som det danske er. Og hvordan geopolitiske spændinger fra blandt andet krigen i Ukraine også er med til at ændre trussels - billedet i Danmark.

”Der er flere aktører derude i dag, som ikke går efter penge, men efter at skabe kaos eller svække samfund. Aktørerne er ofte stats - sponsorerede, har høj kapacitet og stor viden,” siger Karsten Brinkmann fra TDC Net og peger på Rusland, Kina, Iran og Nordkorea som eksempler.

Ifølge Center for Cybersikkerhed er Rusland fortsat den mest alvorlige cybertrussel mod Danmark, særligt i forbindelse med krigen i Ukraine og forsøg på at destabilisere Vesten. Men også kinesiske grupper er kendt for at føre langvarige og avancerede angreb med fokus på spionage, herunder mod danske ministerier, forskningsinstitutioner og virksomheder inden for teknologi og forsvar.

Iran og Nordkorea har i stigende grad anvendt cyberoperationer som et alternativ til traditionelle sanktioner, og deres mål er ofte finansielle eller politisk motiverede. Alle fire aktører er ifølge CFCS både i stand til og villige til at gennemføre cyberangreb, der kan få alvorlige konsekvenser for danske interesser.

SIDSTE EFTERÅR foretog analyseinstituttet Ipsos en stor undersøgelse af cybertruslen mod danske virksomheder for TDC Erhverv. Ifølge den har 38 procent af landets store virksomheder været udsat for cyberkriminalitet i løbet af de seneste fem år, mens det samme gælder for 17 procent af de små virksomheder og 23 procent af de mellemstore virksomheder.

Hele 60 procent af SMV’erne, der bliver udsat for et angreb, risikerer konkurs som direkte følge, men alligevel har 40 procent af dem stadig ikke til - strækkelige cybersikkerhedsforanstaltninger ifølge Deloitte.

Hos it-koncernen Atea, der hjælper private og offentlige kunder med cybersikkerhed, ser man også et konstant højt trusselsniveau mod danske virksomheder. Det gælder både ”klassisk” cyberkriminalitet med økonomisk vinding for øje, såsom phishing-mails og ransomware – hvor kriminelle forsøger at afpresse en virksomhed til at betale for at få låste systemer eller data tilbage – men også mere sofistikerede angreb fra statsstøttede aktører, siger Thomas Wong, Vice President for sikkerhed i Atea.

”Det er nok ikke cykelsmeden, der skal være mest bekymret her,” siger han, ”men kritisk infrastruktur, kendte virksomheder og instanser med adgang til vitale data.”

Thomas Wong mener, at danske virksomheder generelt har løftet sikkerhedsniveauet i løbet af de senere år. Men der er stadig stor forskel på, hvor godt de står rustet.

”Især mellemstore produktionsvirksomheder kan være sår - bare. Ikke fordi de ikke vil prioritere sikkerhed, men fordi det er komplekst, og fordi opgaven ofte er placeret hos en travl driftschef, der mangler tid og it-sikkerhedskompetencer,” siger Thomas Wong.

Problemet er ikke kun, hvad virksomhederne ikke har. Det er også, hvad de tror, de har. ”Vi ser ofte, at virksomheder har licenser og løsninger, der kunne beskytte dem, men som aldrig er blevet konfigureret rigtigt. De har betalt for sikkerheden – men de får ikke gevinsten.”

Ifølge Wong starter cybersikkerhed ikke med software, men med kortlægning. ”Du kan ikke beskytte noget, du ikke ved, du har,” siger han. ”Mange virksomheder har ikke overblik over deres systemer, enheder og adgange. Det gør det umuligt at prioritere indsatsen. Vi ser også stadig virksomheder, der har et teknisk efterslæb, hvor helt grundlæggende sikkerhedsmekanismer stadig mangler.”

Han sammenligner det med at skubbe en snebold op ad en bakke. ”Jo større efterslæb, desto værre bliver konsekvenserne, når noget går galt. Derfor skal man kende sin risiko, træne sit bered - skab og sikre, at topledelsen forstår, hvad der er på spil. For så får sikkerheden også en plads i de strategiske beslutninger.”

THOMAS JUL, administrerende direktør i KMD, oplever, at cyberangreb i dag er blevet ”mere vedholdende, mere komplekse og mere koordinerede.”

Cybertruslen er ikke et uvejr, der kommer og driver over. Det er et konstant tryk,” siger han.

KMD hjælper ligesom Atea danske virksomheder med cybersikkkerhed, men driver også systemer for store dele af den offentlige sektor og kritisk infrastruktur.

Og når cyberangreb rammer det offentlige, handler det sjældent om penge. ”Det er forsøg på at ramme samfundets fundament. Når det handler om borgernes sundhedsdata, skatteoplysninger eller digitale id, så går det direkte på tilliden. Og den skade er måske sværere at reparere end den tekniske.”

Derfor insisterer KMD på at bygge sikkerhed ind i arkitekturen fra start. ”Man kan ikke sætte et hegn op omkring et almindeligt hus og kalde det en nationalbank,” siger Thomas Jul.

”Sikkerhed er ikke noget, man lægger ovenpå. Det skal designes ind fra starten i alle systemer og it-løsninger.” Kommuner, ministerier og styrelser som blandt andet SKAT er blandt KMD’s vigtigste kunder, og her understreger Thomas Jul vigtigheden af at samarbejde med de rigtige partnere, at have flere lag af sikkerhedsforanstaltninger og isolere enkelte systemer fra hinanden, så hackere ikke kan få adgang til alle data på én gang, hvis de lykkes med at komme ind.

”Men vi skal også huske på, at langt, langt de fleste angreb er meget, meget simple. Jeg har hørt om et eksempel med en elev, der ikke ønskede at gå til eksamen og bestilte et DDoS-angreb (et angreb, hvor man forsøger at oversvømme en server eller hjemmeside med trafik, så den går ned, red.), som man kan købe for 10 dollars på nettet.”

TILBAGE HOS TDC Net kalder Karsten Brinkmann situationen for ”en slags konstant krigstilstand”. Angrebene sker hele tiden, og de fleste afværges uden, at nogen bemærker det. ”Vi har haft omkring 8.000 potentielle hændelser i vores Cyber Defense Center i løbet af det sidste halve år. Vi har folk, der intet andet laver end at analysere trusler, træne medarbejdere og stressteste vores forsvarsværk, og det er med til at sikre, at langt de fleste angreb er uden succes,” siger han.

Karsten Brinkmann fortæller, at man i TDC Net arbejder med sikkerhed som en integreret del af selskabets strategi. Cybersikkerhed må ikke blive brandslukning, hvor man hopper fra det ene problem til det andet.

”Mit råd til andre virksomheder er: Tænk strategisk. Det handler ikke kun om at slukke ildebrande. Jeg plejer at sige, at man skal have både det korte og det lange lys på. Ellers risikerer man at kaste ressourcer efter symptomer i stedet for problemer.”

I en verden, hvor truslen er usynlig, konstant og svær at lokalisere, er det vigtigste måske at se sikkerhed som en proces, ikke som et produkt.

”Hvis du tror, du er færdig og læner dig tilbage, er du allerede bagud,” siger Brinkmann.

 Og skulle det værst tænkelige alligevel ske, er det beredskabet, der afgør, hvor hurtigt vi kan rejse os igen.