I årevis har advarslerne fra sikkerhedseksperter, konsulenthuse og myndigheder været utvetydige. Danske selskaber skal passe på, at deres data ikke lander i hænderne hos kriminelle, der forsøger at gafle oplysningerne for at tjene penge.

Alligevel er det tilsyneladende gået alvorlig galt for teleselskabet 3.

I en email sendt til teleselskabet natten til fredag krævede endnu ukendte afsendere et større millionbeløb. De kriminelle truer med at udlevere oplysninger på 3.600 kunder fra selskabets kundebase, hvis ikke selskabet betaler et større millionbeløb.

Oplysningerne indeholder blandt andet CPR-numre, navne og adresser på kunderne. Oplysningerne er mindst ni måneder gamle, oplyser 3. Der er tilsyneladende ikke bankoplysninger eller pinkoder i materialet, lyder det fra teleselskabet.

3 har afvist at forhandle med de bagmændene, men i stedet overdraget sagen til politiet.

»Vi ved ikke, hvornår det er sket. Der foregår en efterforskning hos politiet lige nu, og vi må se, hvad den kommer retur med. Politiet vurderer, at truslen er reel, men hvordan de er kommet i besiddelse af de her oplysninger, det kan vi ikke sige noget om endnu,« siger kundedirektør Sidsel Rosendal Olsen.

Hun fortæller, at selskabet stadig intet ved, om hvordan oplysningerne er havnet hos de kriminelle. Kundedirektøren kan heller ikke svare på, om der er tale om et hackerangreb.

»Det vil være rent gætværk fra min side af. Vi ved det simpelthen ikke,« siger hun.

Det var fredag eftermiddag, at politiet blev orienteret, om at 3 blev udsat for afpresning, fortæller Henrik Møller Jakobsen, vicepolitiinspektør ved Københavns Politi. Han vil dog heller ikke løfte sløret for yderligere oplysninger i sagen, der også er havnet på bordet hos Forsvarets Efterretningstjeneste (FE).

Center for Cybersikkerhed (CFCS), der sorterer FE, fører nemlig tilsyn med informationssikkerhed og beredskabet i telesektoren og skal derfor orienteres af 3.

»Center for Cybersikkerhed blev i henhold til gældende lov orienteret om afpresningssagen fredag den 10. januar kl. 10. Center for Cybersikkerhed er herefter ligeledes i henhold til gældende lov blevet orienteret om sagens udvikling,« hedder det i en email fra tjenesten.

Flere virksomheder rammes

Det er langt fra første gang, at kriminelle tiltvinger sig adgang til data hos store danske selskaber.

Alene i hændelser, hvor kriminelle har fået penge lokket ud af virksomheder ved at sende email, hvor de udgiver sig for at være ledende medarbejdere i selskabet, kostede i 2. halvdel af 2016 180 millioner kroner i Danmark, viser en opgørelse fra Center for Cybersikkerhed.

Og faktisk blev 3 i England i efteråret ramt af en større sikkerhedsbrist, hvor en medarbejders login blev udnyttet af hackere til at komme til en kundedatabase ifølge flere britiske medier herunder The Telegraph. Dengang var det også navne og adresser, der kom i de forkertes hænder. 3 selv mener umiddelbart ikke, at den sag har nogen relation til afpresningen i Danmark.

Ifølge IT-ekspert og stifter af sikkerhedsfirmaet CSIS Peter Kruse er det stadig ganske ugennemsigtigt, hvad der egentligt er sket med de omkring 3.600 kundeoplysninger. Han forklarer, at der ikke finder nogen virksomheder, der kan gardere sig 100 procent. 3 burde dog have været mere åbne om, hvad der egentligt er sket, vurderer Peter Kruse.

»Det er en kedelig historie for selskabet, fordi det er tab af brand og troværdighed, men for dem det går udover altså kunderne kunne man godt have håbet på mere åbenhed, så kunderne kunne gøre op med sig selv, om de har tillid til 3,« siger Peter Kruse.

Selv om flere kunder på Facebook og andre steder ytrer deres utilfredshed med selskabet afviser, 3-direktøren, at selskabet ikke skulle have fortalt alt, hvad de kunne.

»Vores hovedfokus er at hjælpe politiet med deres efterforskning, så vi så hurtigt som muligt får fat på gerningsmændene.  Vi vil også være så åbne som overhovedet muligt overfor vores kunder, men man er jo underlagt nogle ting, når der foregår en efterforskning. Og det må vi respektere,« siger Sidsel Rosendal Olsen.

Hun afviser samtidig, at der skulle være et problem med selskabets IT-systemer.

»Grundlæggende har man ingen grund til at føle sig mere usikker hos 3 end andre steder. Tværtimod. Vi har den IT-sikkerhed, som man skal have i en virksomhed som vores,« siger kundedirektøren

Men er den IT-sikkerhed så god nok, når sådan noget kan ske?

»Det må vi jo se på. Når politiet er færdige med at efterforske sagen, så kan det godt være, at der er basis for at evaluere på nogle ting, men det aner vi intet om endnu. Generelt kan man sige, at IT-kriminalitet er en ting, som både teleselskaber men også andre virksomheder bliver udsat for med jævne mellemrum. Man er ikke dårligere stillet som kunde hos os end nogle andre steder,« Sidsel Rosendal Olsen.