NSA-overvågning udstiller dansk svaghed

Der er grund til dansk bekymring, for snart kan kriminelle det samme som USAs efterretningstjeneste NSA, og følsomme danske personoplysninger er ikke godt nok beskyttet, siger Europols chef for cyber-sikkerhed og tidligere operativ chef i PET.

Troels Ørting Jørgensen, leder af det europæiske politisamarbejde Europols enhed mod kriminalitet på internettet, European Cyber Crimecenter og tidligere operativ chef i PET , er knap så bekymret for NSAs overvågning som for kinesisk og russisk af slagsen, ligesom efterretningstjenesternes evner på området kan ses som et forvarsel om, hvad dygtige cyberkriminelle er i stand til om få år. NSA er trods alt »for en stor dels vedkommende« på Danmarks side, understreger Troels Ørting Jørgensen. Foto: Claus Bjørn Larsen Fold sammen
Læs mere
Lyt til artiklen

Vil du lytte videre?

Få et Digital Plus-abonnement og lyt videre med det samme.

Skift abonnement

Med Digital Plus kan du lytte til artikler. Du får adgang med det samme.

Det var formentlig et af de største kup i historien. Og med sikkerhed det største ran mod hæveautomater nogensinde. En forbrydelse så godt planlagt og udført, at det fik garvede politianklagere i New York til at drage paralleller til det legendariske kup mod Lufthansas sikkerhedsbokse i JFK-lufthavnen i 1978, der var udtænkt af mafiaen og dannede inspiration for en scene i Scorsese-filmen »Goodfellas«. Men hvor udbyttet tilbage i 1978 var på 5,8 mio. dollar, slap tyvene i vinteren 2012/13 af sted med i alt 45 mio. dollar, knap en kvart milliard danske kroner.

Tyvene startede i Oman, gik ind i en afdeling af Bank of Muscat og oprettede på falsk identitet en stribe debit cards – hævekort uden kredit – med blot et par hundrede dollar på kontoen. Dernæst hackede de sig ind i computerne hos det amerikanske firma, som varetog IT-sikkerheden for hævekortene og ændrede i oplysningerne. De »indsatte« millioner af dollar på kontoen og fjernede loftet for, hvor meget der måtte hæves på kortene. Og til slut slog de alarmsystemet fra, så der ikke som normalt gik et flag op i bankens computersystem i Oman, hvis nogen hæver store kontantbeløb på et kort. Det var første skridt. Det næste var at kopiere hævekortene i flere hundrede eksemplarer. Har man først data fra ét korts magnetstribe og en tilhørende kode, kan det kopieres igen og igen og overføres til andre kort med en magnetstribe, f.eks. andre hævekort eller en elektronisk hotelværelsesnøgle. Til slut spredte de kopierne via deres netværk til håndlangere i 20 lande.

36.000 udbetalinger

19. februar 2013 om eftermiddagen slog en mindre hær af hævere så til. Præcis hvor mange vides ikke. Men i løbet af ti timer løb de fra ATM til ATM i bl.a. USA, Canada, Japan og Tyskland og via 36.000 udbetalinger verden over fik de i alt 40 mio. dollar ud i kontanter. Alene i New York-området hævede tyvene 3.000 gange, og overvågningsvideoer har vist, hvordan de bar seddelbundter væk i store rygsække. Kuppet i februar var det andet af to, udført efter samme opskrift.

»Det er jo genialt,« siger Troels Ørting Jørgensen med en vis portion respekt i stemmen om kuppet. Han er tidligere operativ chef i Politiets Efterretningstjeneste (PET) og nu leder af det europæiske politisamarbejde Europols enhed mod kriminalitet på internettet, European Cyber Crimecenter. Han bruger selv eksemplet med kreditkorttyvene for at vise, hvad de bedste kriminelle i verden kan med en computer i dag. Og han advarer om, at de kriminelle om få år vil kunne bryde ind i koderne til endnu flere systemer, som vi ellers anser for at være sikre. Vil man have et pejlemærke for, hvor langt de kan gå til den tid, skal man se på, hvad efterretningstjenester kan i dag. Og som afsløringerne af den amerikanske efterretningstjeneste NSA har vist, kan NSA i dag indsamle gigantiske mængder data fra ellers lukkede netværk om, hvad mennesker verden over skriver eller siger til hinanden via telefonen, e-mail og internettet. Samt bryde de krypteringer og sikringer, der beskytter netværkene:

»For mange, inklusive mig selv, har sagen om Edward Snowden været en øjenåbner for, hvad der er muligt at overvåge, og hvad der teknisk set er muligt at bryde på krypteringsområdet,« siger Troels Ørting Jørgensen med henvisning til den amerikanske whistleblower Edward Snowden, som har lækket dokumenter om NSAs overvågning.

På Danmarks side

Den massive overvågning og den tekniske kunnen hos efterretningstjenesterne vækker bekymring for, hvad kriminelle netværk vil kunne fremover:

»Jeg er knap så bekymret for NSA, for jeg tror, at de for en stor dels vedkommende er på Danmarks side. Men jeg er bekymret for, hvad russerne og kineserne kan, for de er ikke langt efter NSA. Dernæst kommer de kriminelle, som bruger nogle af de samme teknikker og tilegner sig dem med nogle års forsinkelse fra, når vi ser dem hos en efterretningstjeneste. Det, som NSA, russerne og kineserne kunne for to år siden, det kan de mest dygtige kriminelle også i dag. Det betyder, at de kriminelle kan stjæle din identitet på nettet og bruge den til afpresning, kriminelle handler og alt muligt andet. Så der er en sammenhæng mellem overvågningsdebatten og det kriminelle miljøs kunnen,« siger han.

Vi skal ikke frygte, at de kriminelle netværk vil etablere overvågning i en størrelse som NSAs. Men snarere at de vil blive stadigt bedre til at opsnappe personlige data fra os, som vi ellers troede var sikre. Og derfor er det essentielt, at vi selv bliver mere opmærksomme på, hvad vi foretager os på internettet. Men mest af alt at det sikres, hvor og hos hvem vores personlige oplysninger lagres. Og der halter Danmark bagud, mener han.

»Jeg tror ikke, at vores data er optimalt sikret. Mit personnummer, mine bankoplysninger, helbredsoplysninger og alt det andet, som ligger elektronisk, er jo meget vigtige. Hvis du har de oplysninger som kriminel eller som stat, så kan de misbruges og bruges mod mig.«

Er de oplysninger, der ligger om dig og mig i myndighedernes databaser, godt nok sikret?

»Nej, det er de ikke. Det kan man jo se på sagen om den svenske hacker, der hackede sig ind i CSC,« siger Troels Ørting Jørgensen med henvisning til sagen fra i sommer, hvor det kom frem, at en gruppe svenske hackere gennem fire måneder havde haft adgang til databaser hos firmaet CSC og derigennem bl.a. oplysninger fra det danske kørekort­register, CPR-numre samt 10.000 politifolks password og e-mailkonti. CSC er et privat firma, der ifølge Politiken foruden kørekortregistret er involveret i 203 databaser under offentlige myndigheder i Danmark. Bl.a. oplysninger fra 67 kommuner, ni ministerier, otte styrelser, regionerne, Skat, alle politikredse, statsforvaltningen, Rigspolitiet og forsvaret.

Et generelt problem

Rigspolitiets IT-direktør, Michael Steen Hansen, lagde i forbindelse med hackerangrebet i sommer ikke skjul på sin irritation over den hullede sikkerhed hos CSC:

»Vi er meget overraskede og meget skuffede over, at det her kunne ske. Vi entrerer med et af de største firmaer i verden for at sikre vores oplysninger, og derfor er det ikke okay, at det her kan ske.«

I kølvandet på samme sag advarede Forsvarets Efterretningstjenestes Center for Cybersikkerhed om, at danske myndigheder og privatvirksomheder bør forbedre IT-sikkerheden.

Troels Ørting Jørgensen angriber ikke specifikt CSC, men fremhæver eksemplet med hackerangrebet for at vise, at vi i Danmark har et generelt problem, fordi myndighederne har valgt at udlicitere kontrollen med meget følsomme personoplysninger til private firmaer:

»Danmark er formentlig et af de få lande i hele verden, som har outsourcet IT-systemer med nogle af de mest følsomme personoplysninger til private firmaer. Man har i CSCs tilfælde sagt, at her er vores data, og så styrer I dem for os. Det betyder jo, at man slipper for en masse bøvl med at holde systemerne kørende. Men langt de fleste lande kører selv systemerne og hyrer så den fornødne hjælp ind til at holde det kørende, når det handler om den her type data. Man har jo nok en sikkerhedskontrakt, hvori der kræves en vis grad af sikkerhed, men det var jo ikke nogen imponerende sikkerhed i CSC. Det står klart nu i bagklogskabens lys,« siger Troels Ørting Jørgensen.

Bør få konsekvenser

Troels Ørting Jørgensen efterlyser langt større fokus på sikkerhed, når der indgås kontrakter med de firmaer, som skal opbevare personfølsomme data for det offentlige:

»Med de almindelige udbudsregler kigger man oftest på prisen, når man vælger. Men det billigste er ikke nødvendigvis det mest sikre. Der er andre ting, som er afgørende,« siger han.

Desuden bør det have konsekvenser for de firmaer, som ikke formår at beskytte deres systemer mod hackere:

»Man er nødt til at sikre de personfølsomme oplysninger noget bedre. Derfor er man også nødt til at lave et skrappere sanktionssystem over for dem, der har de informationer. Hvis ikke de kan passe godt nok på de oplysninger, så bør der være en alvorlig sanktion, en bøde eller andet, som skærper opmærksomheden på, at det er alvor,« siger Troels Ørting Jørgensen.

Langsom start

Hans advarsel vækker gehør hos Dansk IT, en sammenslutning for IT-professionelle.

»Der er ingen tvivl om, at man i Danmark er kommet for langsomt i gang med at forstå konsekvenserne af den ultimative digitalisering, som man er ved at rulle ud. For bagsiden af medaljen ved digitaliseringens muligheder er, at der er en fantastisk sårbarhed. Jo mere man lægger ud digitalt, desto mindre kontrol har man med det,« siger Ejvind Jørgensen, der er formand i udvalget for offentlig IT i Dansk IT og direktør i Rambøll.

Dansk IT har tidligere advaret imod, at man i Danmark bruger personers CPR-nummer som sikkerhedsnøgle ved meget IT.

»Et CPR-nummer er ikke særlig svært at få fat i, og det gør de numre, som baseres på CPR-numrene meget sårbare,« siger Ejvind Jørgensen. Han håber, at NSA-sagen kan gøre det klart for danskerne, hvor følsomme elektroniske personoplysninger kan være.

»Vi har overvågningsdebatten om NSA, CSC-hacking og samtidig er man ved at sælge NETs, som varetager vore dankortbetalinger. Det er nøglestruktur på IT-området, som bliver udliciteret. Og de her store sager om overvågning gør, at folk er ved at forstå betydningen og vigtigheden af, at det er godt sikret,« siger han.

Det har i forbindelse med denne artikel ikke været muligt at få en kommentar fra Datatilsynet, der fører tilsyn med persondataloven herhjemme.

Afslørende »selfie«

I foråret 2013 lykkedes det politiet i New York at finde frem til de tyve, som havde organiseret stormen mod byens hæveautomater. Det bl.a. ud fra billeder fra overvågningskameraer, men også fordi et par af tyvene havde taget billeder – selfies – af sig selv og et ordentligt bundt ny-hævede kontanter. Og fordi de havde købt Rolex-ure og Mercedes Benz for de stjålne penge. Otte mænd blev tiltalt. En af dem, 23-årige Alberto Lajud-Peña, blev fremstillet i retten in absentia. Han var ifølge anklagemyndigheden leder af New York-gruppen, men var flygtet til den Dominikanske Republik. Før USA kunne kræve ham udleveret og stillet til regnskab, kom andre dem i forkøbet. I april stormede maskerede mænd det hus, hvor Alberto Lajud-Peña gemte sig og skød ham ned midt i et spil Domino. På bordet mellem dominobrikkerne fandt politiet en urørt konvolut med 100.000 dollar i. Alberto Lajud-Peña skulle gøres tavs. De reelle hovedmænd bag kuppet er stadig på fri fod i dag. Og formentlig ekstremt rige.