It og samfund, It sikkerhed og kryptering, It-tendenser

Det lærte 3F af Vejlegårdssagens hackerangreb

Sommeren 2012 blev hektisk for fagforbundet 3F, der oplevede voldsomme DDoS-angreb på sine servere.

Fagforbundet 3F's it-systemer blev udsat for et DDoS-angreb fra den 18. juli 2012. Anledningen var Vejlegårdssagen, der fik ekstremt stor offentlig og politisk bevågenhed, især gennem de første sommermåneder.

– Konflikten udviklede sig fra at være en helt normal faglig konflikt med blokade til DDoS-angreb på 3F’s websites - ikke mindst blev medlemmernes mulighed for at indberette dagpenge via mit3f.dk berørt, siger onlinechef hos 3F, Henrik Lilholt.

 

Driftsforstyrrelse eller angreb

De første forvarsler om problemerne er, at www.3f.dk er nede i kortere perioder først på aftenen den 18. juli.

– Vores hostingfirma sender en mail om driftsforstyrrelse. Sent om aftenen meldes igen om normal drift, siger Henrik Lilholt.

Problemerne fortsætter torsdag den 19. juli, og i løbet af dagen står det klart, at 3F er under angreb. Serverleverandøren meddeler, at der formentlig er tale om et DDoS-angreb. Det bekræftes, da "Elan0r" oplyser, at han tilhører gruppen Anonymous og tager ansvaret for angrebet. Senere frasiger Anonymous sig ethvert kendskab til "Elan0r".
Det første sted, DDoS-angrebene forekommer, er mod 3F's almindelige website, www.3f.dk. Det hostes hos et eksternt hostingfirma.

– Det første, vi gør, er at varsle vores forskellige samarbejdspartnere og 3F’s it-afdeling, der håndterer 3F’s eget net, mailservere samt ikke mindst mit3f.dk, hvor blandt andet dagpengeindberetninger foretages, siger Henrik Lilholt.

Fredag øger 3F beredskabet, kalder folk hjem fra ferielandet, etablerer en krisegruppe og opstiller scenarier for den første kritiske fase. Målet er, at der om søndagen skal kunne indberettes dagpengekort via mit3f. Over 30.000 medlemmer har brug for at kontakte 3F’s a-kasse.
I løbet af fredagen stiger intensiteten af angrebene, og det fortsætter i weekenden. Angrebene bliver udvidet til også at omfatte 3F’s egne servere, der håndterer mit3f.dk og for eksempel mail.
I weekenden kontakter 3F's krisegruppe alle a-kasseansatte, der skal gøre klar til at håndtere medlemmerne manuelt. Angrebene kommer i bølger på op til tre timer og varer cirka 10 dage i alt.
– Vi peger DNS’en over på en nødside, som ligger i  Amazon-skyen, der er i stand til at håndtere meget store trafikmængder, inklusive DDoS-angreb. Her orienterer vi om situationen – især hvordan dagpengemodtagerne skal forholde sig. Vi bruger også Facebook aktivt til at informere. Her kommer der masser af spørgsmål fra medlemmer, men selvfølgelig også masser af 3F-fjendtlige ytringer med henvisning til Vejlegården, siger Henrik Lilholt.

 

Strafferamme på seks år

3F anmelder DDoS-angrebet til politiet, der bruger efterforskningsressourcer, da det står klart, at dagpengesystemet er angrebet. Det øger strafferammen fra to til seks år.
Efter weekenden fortsætter angrebene. A-kassen håndterer medlemshenvendelser manuelt. På it-siden udvides beskyttelsen betydeligt. 3F filtrerer udenlandsk trafik fra og øger beskyttelsen, og så kommer 3F online igen.
På grund af angrebet er det i perioder umuligt for 3F at sende og modtage mails. Derfor er det ekstremt vigtigt, at 3F hurtigt får etableret en liste med mobilnumre og private mailadresser til nøglepersonerne.
Samlet set er nedetiden over en uge. 3F vælger at forcere en planlagt flytning til et nyt hostingcenter.

For onlinechef Henrik Lilholt er læren af Vejlegårdssagen, at trusselsbilledet har ændret sig markant:

– Det er første gang, vi er blevet angrebet på nettet i forbindelse med en lovlig faglig konflikt. Men der er ingen tvivl om, at det er en risiko, vi som fagforening må forberede os på, kan dukke op igen.