Statslige hackerangreb er den største cybertrussel

Fremmede staters snusen i danske IT-systemer hos myndigheder og virksomheder anses for at være den største cybertrussel mod Danmark. Større åbenhed om angreb kunne være en god ide, mener Dansk Industris brancheorganisation, som har udgivet vejledning til virksomheder i at undgå statssponsoreret hackning.

Fremmede lande bruger ofte efterretningstjenesterne til at spionere mod myndigheder og virksomheder for at få fortrolige oplysninger. Foto: Iris/Scanpix Fold sammen
Læs mere

Det er ikke første gang, at en fremmed stat står bag hackerangreb på Danmark, som DR Nyheder i weekenden afslørede, at bl.a. Erhvervs- og vækstministeriet og medicinalvirksomheden Novozymes har været udsat for.

»Der har været et par håndfulde tilfælde de seneste år, hvor det tilsyneladende er statssponsorerede aktører, som står bag. Det er sværere at slå fast, for de efterlader jo ikke oplysninger om deres oprindelse. Men fremmede efterretningstjenester kunne f.eks. være interesseret i at læse med i, hvad der er den danske regerings holdning til bestemte sager, eller få oplysninger om den kritiske infrastruktur i Danmark,« siger Adam Lebech, direktør for Dansk Industris branchefællesskab for IT- og televirksomheder, ITEK, til Berlingske.

Vejledning mod fremmed spionage

Center for Cybersikkerhed under Forsvarets Efterretningstjeneste (FE) advarede i sin risikovurdering for 2013 om, at »de alvorligste cybertrusler mod Danmark kommer fra statslige aktører, der udnytter internettet til at spionere«.

»FE vurderer det som den p.t. største trussel mod danske virksomheder, og det er også vor vurdering. Derfor offentliggjorde vi 3. september en vejledning til, hvordan man beskytter sig mod statssponsoreret industrispionage, f.eks. fra fremmede efterretningstjenester. Der er behov for, at det bliver taget mere alvorligt i danske virksomheder, og det vigtigt, at topledelsen kommer med i en risikovurdering, en vurdering af, hvilke data der er vigtigt eller ekstremt vigtige og under ingen omstændigheder må falde i andres hænder, f.eks. produktionsteknikker og forretningshemmeligheder, og at der er et beredskab for, hvad man gør, hvis skaden alligevel sker, så man hurtigt kan lukke ned,« siger Adam Lebech.

Ifølge DR Nyheder var det i april 2012, at en række myndigheder, heriblandt Søfartsstyrelsen, havde ubudne gæster indenfor, ligesom Novozymes over to måneder på samme tid var udsat for et målrettet angreb af industrispionage.

Mere offentlighed vil være nyttig

Hvorfor skal det holdes hemmeligt i snart to og et halvt år?

»Det er svært at spå om, når man ikke ved det. Men det er ikke supersjovt for virksomheder at gå ud og sige, at de har været udsat for angreb. Det er utroligt flot, at Novozymes står frem og fortæller om udfordringerne, og at de faktisk var så dygtige, at de kunne overvåge det i realtid. Få virksomheder kan gøre det. Det undrer ikke, at der er en vis tilbageholdende med at gå meget offentligt ud, men det er enormt vigtigt, at de kan tale med os og vi med Center for Cybersikkerhed, som overvåger den offentlige infrastruktur i Danmark,« siger Adam Lebech.

I USA har man strammet lovgivningen, så virksomheder og myndigheder har pligt til at melde ud, hvis deres data er blevet kompromitteret, og det skal ske inden for en kort tid, efter at man har opdaget det, så folk får besked, og man bliver opmærksom på problemet. Burde man ikke gøre noget tilsvarende herhjemme?

»Det er et godt spørgsmål. Det vil i alle tilfælde være nyttigt at kikke på, om man kan kommunikere mere om det,« siger ITEK-direktøren.

Rigsrevision skubber IT-sikkerhed frem

Rigsrevisionen kritiserede i oktober 2013 en række ministerier og styrelser for ikke at tage datasikkerheden alvorligt nok og skrev, at der var »stor risiko« for, at følsomme oplysninger kunne falde i fremmede hænder.

»At Rigsrevisionen laver IT-sikkerhedsrevision, er et meget stort fremskridt for at styrke IT-sikkerheden i staten. Risikoen er nemlig, at man bare laver et stykke papir om IT-sikkerhed, uden at det betyder en reel ændring af adfærden. Men der er også forskel på, om persondata i CSCs og politiets systemer kompromitteres, eller om det går ud over pressemeddelelser på et ministeriums hjemmeside. Det sidste er grimt nok og kan føre til et imagetab, men det første er katastrofalt,« siger Adam Lebech.

Man risikerer vel også, at virksomheder, som ifølge loven skal aflevere bestemte, fortrolige oplysninger til myndighederne, ikke føler sig sikre på, at de opbevares ordentligt dér?

»Det vil være en stor udfordring, hvis man mister tilliden og undlader at oplyse data. Derfor er det helt afgørende, at man kan stole på, at sikkerheden er på plads. Tilsvarende skal Center for Cybersikkerhed nødvendigvis have alle onformationer, hvis centeret skal have et realistisk overblik. Men det er naturligvis vigtigt, at oplysningerne biver beskyttet ordentligt,« siger Adam Lebech.

Hent DI og DI ITEKs »Vejledning om beskyttelse mod elektronisk industrispionage fra udlandet«
http://itek.di.dk/SiteCollectionDocuments/Vejledninger/DI og DI ITEKs elektronisk industrispionage fra udlandet - 240714-FINAL.pdf