Flere ministerier stod åbne for hackere

Rigsrevisionen sagde for et år siden, at der var stor risiko for misbrug af ministeriers og styrelsers data. 50 norske olie- og energiselskaber har netop været udsat for det hidtil største hackerangreb.

Hacker. Fold sammen
Læs mere
Foto: Claus Bech
Lyt til artiklen

Vil du lytte videre?

Få et Digital Plus-abonnement og lyt videre med det samme.

Skift abonnement

Med Digital Plus kan du lytte til artikler. Du får adgang med det samme.

For præcis et år siden fik en række danske ministerier og styrelser verbale tæsk af Rigsrevisionen, fordi IT-sikkerheden var for dårlig og gav »stor risiko« for misbrug af fortrolige data. Og i august blev 50 selskaber i den norske olie- og energisektor udsat for, hvad myndighederne kalder det hidtil største hackerangreb.

Rigsrevisionens undersøgelse fra oktober 2013 viste, at en række ministerier og styrelser ikke havde spærret ordentligt for, at hackere kunne få adgang til følsomme statslige data, og at mange ikke havde opdateret deres software til nyeste udgave for derved at lukke for de kendte sikkerhedshuller, som hackere kan bruge til at trænge ind.

Hidtil hemmeligt angreb

Det er tilsyneladende præcis den metode, som i foråret 2012 blev brugt, da en fremmed stat angreb Statens IT, der betjener en række ministerier og styrelser, samt Erhvervs- og Vækstministeriet og Søfartsstyrelsen, viser sikkerhedsrapporter, som DR Nyheder har fået aktindsigt i. Angrebet har været holdt hemmeligt indtil nu. Kina nævnes at stå bag det professionelle angreb, hvilket den kinesiske ambassade i København afviser.

Klima-, energi- og bygningsministeriet samt Finansministeriet var to af de myndigheder, som af Rigsrevisionen i oktober 2013 - mere end et år senere - fik kritik, men også Forsvarskommandoen fik kritik for ikke at have vurderet behovet for sikkerhedsgodkendelse af sine IT-systemer, og hos Forsvarets Efterretningstjeneste manglede otte af 28 »væsentlige produktionssystemer« at blive godkendt forskriftsmæssigt »i forhold til datas tilgængelighed, fortrolighed og integritet«.

En konsekvens af kritikken blev, at Finansministeriet i februar ændrede den aftale, som omkring 80 ministerier og styrelser har med Statens IT, som er den fælles statslige IT-leverandør, således at man adskiller mange af de interne IT-net. Det skal forhindre, at hackere kan trænge ind ét sted og arbejde sig videre til andre statsinstanser.

Center for Cybersikkerhed, som sorterer under Forsvarets Efterretningstjeneste, blev også pudset på opgaven med at vejlede om, hvordan man sikrer sig mod hackerangreb.

Cyberangreb blandt værst tænkelige katastrofer

Cyberangreb blev i 2013 sat på Beredskabsstyrelsens top 10-liste over de værst tænkelige katastrofer, som kan ramme Danmark. Ud over at kunne stjæle følsomme data kan hackere nemlig - hvis det lykkes dem at skaffe sig adgang til IT-systermer - fjernstyre IT-systemer hos virksomheder og myndigheder og f.eks. kunne kontrollere elværker, telenet m.m.

50 selskaber i olie- og energisektoren blev ifølge den Nationale Sikkerhedsmyndighed (NSM) forsøgt angrebet i det hidtil største angreb mod norske interesser. Myndighederne tog initiativ til at advaret yderligere 300 selskaber i sektoren. Angrebsforsøgene skete - som i de danske tilfælde - ved at fremsende inficerede, vedhæftede filer, som hackerne håbede, at modtageren ville åbne. Dermed bliver skjulte computervira nemlig installeret i baggrunden, uden at nogen opdager det, og dermed kan hackerne slippe indenfor og se sig omkring.

Oliegiganten Statoils IT-direktør bekræftede, at Statoil gennem tre dage var udsat for et massivt og avanceret hackerangreb. 40 ansattes PCer måtte inddrages til undersøgelse for skadelig software.

Ni af ti har haft ubudne gæster

I Sverige har ni af ti svenske organisationer haft fremmede indenfor, viser en undersøgelse, som konsulentfirmaet KPMG og IT- og sikkerhedsselskabet Fireeye lavede før sommeren ved at sætte analyseudstyr op i 14 private virksomheder og offentlige myndigheder med i gennemsnit 4.000 medarbejdere. Hos 13 af de 14 blev der opdaget inficerede computere på netværket, som »ringede hjem« til en kontrolserver for at få yderligere instrukser.

Ifølge DR Nyheder var det en amerikansk IT-sikkerhedsekspert, der informerede de danske myndigheder om hackerangrebet. Det skete, efter at han havde fundet flere filer fra Søfartsstyrelsen på en amerikansk server, der er kendt for at blive brugt af hackere. Ifølge chefen for Center for Cybersikkerhed, Thomas Lund-Sørensen, blev angrebet mod Erhvervs- og vækstministeriet efter alt at dømme standset, inden det lykkedes »at hente informationer ud af vigtig betydning«.

Dansk Folkepartis IT-ordfører, Dennis Flydtkjær, krævede i januar i år, at cyberangreb i Danmark skal kortlægges systematisk, og at den indsamlede viden offentliggøres, så alle ved, hvor der bør sættes ind. Også den danske brancheorganisation IT-Branchen har flere gange krævet en national strategi mod cyberangreb.

Efter den meget omtalte Se & Hør-/IBM-sag, hvor en IBM-ansat gav ugebladet oplysninger om kendte danskeres brug af deres kreditkort, vil den danske stat skærpe tilsynet med de leverandører, der står for at behandle de offentlige data, sagde Lars Frelle-Petersen, direktor for Digitaliseringsstyrelsen under Finansministeriet, før sommerferien. Styrelsen har ansvaret for den omfattende digitalisering af Danmark, som er sket gennem de seneste år.