En lørdag formiddag i slutningen af oktober står alle tog på Sjælland stille. De første meldinger er, at der er tale om en fejl i et it-system. Men i virkeligheden er det et hacker-angreb mod en underleverandør, der skaber trafikkaos.
Halvanden måned senere lukker Forsvarsministeriets hjemmeside ned. Og i løbet af januar 2023 rammes den danske finanssektor af flere hacker-angreb. Det seneste lukker ned for adgangen til 8 banker i adskillige timer.
Angrebene er ikke tilfældige, siger militærforsker Mikkel Storm Jensen. Han forsker i cyberkrig ved Institut for Strategi og Krigsstudier på Forsvarsakademiet.
”Center for Cybersikkerhed under Forsvarets Efterretningstjeneste forudså det allerede i marts sidste år: At på grund af krigen i Ukraine, var risikoen for at blive ramt af de her politisk motiverede, aktivistiske angreb større.”
Pro-russiske patrioter
Flere af angrebene har den berygtede pro-russiske hackergruppe Killnet taget ansvaret for.
Gruppen er ellers ikke kendt som politiske aktivister.
”Normalt hacker de kun for at tjene penge. Men det her er noget, de gør i deres fritid, i fædrelandets tjeneste. Og de er dygtige. Hvis virksomheder har svagheder, så er de rigtig, rigtig effektive til at ramme dem,” udtaler Mikkel Storm Jensen.
De sidste måneders cyberangreb er anderledes end dem, vi er vant til. Grundlæggende er der tre typer af hackerangreb, forklarer militærforskeren.
”Cyberkrig er først og fremmest stater mod andre stater. De sætter ressourcer ind på at angribe og sabotere hinanden på internettet. På den ene side er de farlige, fordi de har rigtig mange ressourcer, og det behøver ikke kunne betale sig for dem. På den anden side er stater nogle man kan tale med, og diplomatiet kan også spiller en rolle.”
”En anden type er kriminelle. De kan også være rigtig dygtige, og nogle kriminelle har både store ressourcer og dygtige ’medarbejdere’, så de kan gennemføre angreb i næsten samme skala som stater. Men de gør det kun, hvis det kan betale sig.”
”Og så er der endelig de politisk motiverede angreb, som er dem, vi oplever nu. Det er hackere, der gør det af politiske grunde, uanset om det så er klima-aktivister eller Islamisk Stat. Indtil nu har de angreb ikke rangeret særligt højt i trusselsbilledet. Det er ikke fordi Islamisk Stat ikke kunne drømme om at lave en cyberudgave af 9/11. Men de har hverken haft kompetencerne eller ressourcerne til det,” understreger Mikkel Storm Jensen.
Med de pro-russiske aktivister er sagen en anden.
”Med de russiske cyber-kriminelle får vi nogle rigtig stærke modstandere, som kan gøre stor skade. Uanset om de gør det egenhændigt eller med uofficiel velsignelse fra den russiske stat, hæver det trusselsniveauet.”
Danmark svarer ikke igen
Et spørgsmål, der trænger sig på, er om Danmark selv fører en eller anden form for cyberkrig mod Rusland eller andre modstandere?
Det vurderer Mikkel Storm Jensen ikke er tilfældet – af flere grunde.
”Dels er der det forsvarsretlige: Hvis vi bliver angrebet, så må vi lave de modforanstaltninger, der kræves, indtil angrebet holder op. Men vi må ikke hævne os. At danske banker er ramt, giver os ikke ret til at angribe russiske banker. Vi må heller ikke angribe civilkritisk infrastruktur,” siger han.
”Der er også det problem, at hvis vi gennemførte et modangreb direkte mod hackerne for at nedbryde deres systemer, ville de bare tage deres computere under armen og gå over til den russiske efterretningstjeneste og få nogle nye. Så kunne efterretningstjenesten åbne de gamle og aflure, hvilke kapaciteter vi har.”
”I et ekstremt hypotetisk tilfælde, hvor angrebet var stort og drabeligt nok, kunne vi selvfølgelig indkalde NATO og anmode om et fuldskala-angreb i henhold til NATO-pagtens artikel 5. Det behøvede ikke være et nyt cyberangreb, men kunne i yderste konsekvens være med atomvåben. Men det er næppe sandsynligt,” siger Mikkel Storm Jensen.
”Det, Danmark gør i stedet, er at lægge diplomatisk pres på russerne – både gennem offentlige udmeldinger til det internationale samfund og bilateralt i lukkede forhandlinger.”
Så længe angrebene gennemføres af civile og ikke den russiske stat, er det dog svært for Danmark at holde Rusland ansvarlig.
”Rusland gemmer sig bag de her hackere, og har gjort det før, blandt andet i forbindelse med et stort cyberangreb i Estland. De henviser til, at det bare er kriminelle uden forbindelse til staten. Men argumentet holder ikke. Som stat har man pligt til at gribe ind, hvis der er mennesker i ens land, der skaber ulykke for andre. Ifølge folkeretten kan Rusland stadig holdes ansvarlig.”
En større hængelås
Et af hovedmålene i de seneste hackerangreb var den danske finanssektor. Men som Mikkel Storm Jensen pointerer, bliver det svært for hackerne for alvor at angribe vores økonomi.
”Finanssektoren er den eneste branche, hvor markedsmekanismerne er med til at definere cyber-sikkerheden, fordi bankverdenen er baseret på tillid, og vi skal have tillid til, at vores penge ikke forsvinder,” siger han.
Andre brancher har mere sårbare systemer. Hackerangrebet på DSB skete via en indgang i en app fra en softwareleverandør.
”Man kan selvfølgelig altid øge sikkerheden ved at sætte en større hængelås på døren, for det er klart, at tyvene kun går ind de steder, hvor det er muligt. Og derfor skal man tage de rigtige sikkerhedsforanstaltninger. Men det er lige så vigtigt at have en plan B klar. Da DSB blev ramt, kunne de ikke isolere angrebet i et lukket miljø og blev derfor nødt til at lukke togdriften,” siger han.
Også ”plan B” er dog nødt til at være bundsolid. Det måtte det amerikanske luftvæsen sande for et par uger siden. Her var data-fejl skyld i, at adskillige fly skulle blive på jorden. Mikkel Storm Jensen påpeger, at dette kunne være undgået:
”De gjorde alt rigtigt, lukkede ned og iværksatte plan B. Men problemet var, at den var baseret på et telefonsystem, så det brændte også sammen. Det handler i virkeligheden om, at strategierne, både statens og virksomhedernes, ikke bare skal være strategier, de skal også være realistiske og implementerbare,” siger forskeren.
Han påpeger, at hackerangreb i sidste ende ikke helt kan undgås, heller ikke i finanssektoren:
”Det, der ramte bankerne, var et såkaldt DDoS-angreb, hvor hjemmesider overbelastes. Det kan være voldsomt generende, men det går over igen, for det er enormt ressourcekrævende for hackerne at blive ved at med at overbelaste. Og her handler det ikke om, hvor stor en hængelås du har på døren. Det handler om, at der står flere hundrede tusinder og banker på den. Så er der ikke noget at gøre.”
