It-drift, It sikkerhed og kryptering

Hackere har frit spil mod virksomheder

Illustration: Mikkel Henssel

Mange virksomheder er sårbare over for hackerangreb, fordi de ikke har prioriteret it-sikkerheden højt nok, advarer eksperter.

Danske it-systemer bliver hver dag udfordret af griske hackere på jagt efter huller i sikkerheden. Kommer de ind, er gode råd dyre. Sidste nye trick er at lamme virksomhedernes produktion.

– Nu går de ikke bare ind og krypterer de administrative systemer. Nu går de faktisk ind og rammer produktionssystemerne og sletter eller ændrer konfigurationsdata, så virksomhederne ikke længere kan producere på samme måde, siger chefen for det statslige Center for Cybersikkerhed, Thomas Lund-Sørensen.

Center for Cybersikkerhed beskriver aktuelt hackertruslen som ”meget høj” og meldte i december om ”en stigende trussel fra målrettede ransomware-angreb”. Det vil sige, at hackere krypterer data og kræver løsesum for at låse dem op.

– Vi kommer til at se stadig flere hackerangreb og en større angrebsflade, siger Thomas Lund-Sørensen.

Og dermed er alvoren slået fast.

Toneangivende aktører fortæller, at hackertruslen nu er blevet et rammevilkår for dansk erhvervsliv.

– Når man taler om trusler, taler man normalt om noget, der potentielt kan ske. Men her kan vi gå skridtet videre og sige: Vi ved, at det rent faktisk sker mod en række virksomheder her og nu, forklarer Thomas Lund-Sørensen.

Medierne har beskrevet adskillige angreb i de seneste år. For eksempel blev den danske høreapparat-producent Demant ramt af et ransomwareangreb i september sidste år, men nægtede at betale løsesummen. Ifølge virksomhedens seneste regnskab betød hackerangrebet en negativ effekt på driftsresultatet på 550 millioner kroner.

Når truslen er i vækst, hænger det især sammen med, at mange virksomheder mangler effektive forsvarsværker, lyder vurderingen fra Christian Jensen, der er leder af Section for Cyber Security på Danmarks Tekniske Universitet (DTU).

– Hacking er klart en voksende trussel, og det skyldes, at det stadig er relativt nemt at bryde ind, siger han.

Mangler it-sikkerhedspolitik

Tendensen vækker bekymring hos Dansk Erhverv, der repræsenterer omtrent 15.000 danske virksomheder. I sommer kom Dansk Erhverv frem til, at hver syvende medlemsvirksomhed havde været ramt af cyberangreb det seneste år. Organisationen vurderede, at angrebene kostede virksomhederne mindst fire milliarder kroner.

Vi har løbet med syvmileskridt for at digitalisere det danske samfund. Men vi har kun taget museskridt, hvad angår sikkerhede

— Janus Sandsgaard, fagchef for IT og Digitalisering hos Dansk Erhverv

Men på trods af truslen viste en stikprøve blandt Dansk Erhvervs medlemmer i efteråret, at kun hver anden virksomhed har en nedskrevet it-sikkerhedspolitik.

– At man ikke har en it-sikkerhedspolitik, er et symptom på, at man ikke har tænkt sig systematisk om, siger Janus Sandsgaard, fagchef for IT og Digitalisering hos Dansk Erhverv.

Niels Bertelsen, der er formand i PROSA, undrer sig over fraværet af sikkerhedspolitikker.

– Det er relativt uforståeligt, for man kan læse næsten dagligt i pressen, hvor vigtigt det er. Men jeg tror simpelthen, det drukner i dagligdagen, siger han.

Janus Sandsgaard mener, at der er brug for en helt ny ”sikkerhedskultur” i erhvervslivet.

– Vi har løbet med syvmileskridt for at digitalisere det danske samfund. Men vi har kun taget museskridt, hvad angår sikkerheden, lyder hans konklusion.

Derfor er Dansk Erhverv gået sammen med andre organisationer om at udvikle en ny mærkningsordning, som virksomheder – med styr på it-sikkerheden – snart kan pynte sig med. Håbet er, at det kan være med til at løfte sikkerheden.

En lukrativ industri

Hackerbranchen er i rivende udvikling for tiden. Det sker i takt med, at data bliver mere værdifuldt.

– Det er blevet en industri. Hackervirksomhederne har udviklingsafdelinger, indkrævningsafdelinger og endda supportafdelinger, hvor man kan få hjælp til at anvende sin krypteringsnøgle, forklarer Thomas Lund-Sørensen fra Center for Cybersikkerhed.

Og især ransomware har vist sig at være en bæredygtig forretningsmodel.

– Forstået på den måde, at der er kunder i butikken, der rent faktisk betaler, siger Thomas Lund-Sørensen.

Hvis et offer ikke betaler løsesummen, kan det blive dyrt. Det kan den Randers-baserede designvirksomhed Phoenix Design Aid skrive under på. Virksomheden ville ikke betale, da den blev udsat for et ransomware-angreb i 2017. Resultatet blev et omsætningstab på seks millioner kroner, og virksomheden lider stadig.

– Det kommer vi til i lang tid endnu, siger direktør Dennis Lundø Nielsen.

Phoenix Design Aid ved stadig ikke, hvem der stod bag angrebet. Virksomhedens it-konsulent, Jan Lajer, sendte de relevante logs til NC3, Rigspolitiets afdeling for cyberkriminalitet. Men:

– De kiggede på vores logs og sagde: Det kommer vi ikke videre med, fortæller han og fortsætter:

– Jeg forsøgte selv at kigge på IP-adresserne. Der kom noget fra Ukraine, men det kan også være russere, der sad bag dem.

Problemet er, at en IP-adresse ikke fortæller, hvor angrebet kommer fra.

– Man kan relativt nemt undgå retsforfølgelse, hvis man angriber gennem tredjelande. Hvis du for eksempel vil angribe i USA, kan du benytte en server i Nordkorea og Iran. Så kan du være ret sikker på, at dem, der prøver at finde dig, ikke samarbejder med FBI, forklarer Christian Jensen fra DTU.

Iskoldt regnestykke

Eksperterne har dog en god fornemmelse for, hvor hackerne sidder.

– De lande, vi i Danmark ser angrebene fra, er de lande, som vi har dårlige forhold til. Det er de lande, hvor vores politi har svært ved at arbejde: russerne, kineserne, koreanerne og iranerne, siger Christian Jensen og tilføjer:

– Og hvis du sidder i Rusland, ser du måske angreb fra danskerne, tyskerne og svenskerne – af samme årsag.

Hackerne går målrettet efter den højest mulige timeløn. Målet kan være en lille virksomhed, hvor løsesummen vil være lille, men hvor det er nemt at bryde ind. Eller en stor virksomhed, hvor der er dyrebare forretningshemmeligheder, men hvor det tager længere tid at bryde ind.

– De kigger på, hvordan de kan tjene flest penge per arbejdstime, siger Janus Sandsgaard fra Dansk Erhverv.

Stor fantasi

Inden hackerne slår til, kan de – på forskellige måder – scanne internettet for sårbarheder.

– Når de så har fundet ud af, at der er 25 virksomheder med en bestemt sårbarhed, som de kan udnytte, så kigger de på, hvem der ejer IP-adressen. Er det et offer, der er betalingsvilligt, eller som spionagemæssigt kan være interessant, fortæller Thomas Lund-Sørensen fra Center for Cybersikkerhed.

Den slags oplysninger bliver også solgt på det mørke internet.

Der er mange måder at komme ind i systemerne på. Phishing, automatiseret hacking af passwords og huller i systemerne er nogle af dem. Og nogle hackere tager skridtet videre og benytter sig af ’social engineering’. En hacker skriver måske en mail til en økonomiarbejder, hvor han udgiver sig for at være direktøren, og beder om penge. ’CEO fraud’, hedder det.

Manøvren kan lade sig gøre, fordi hackerne kender virksomheden indefra, efter de har snuset rundt i systemerne. Og Janus Sandsgaard fra Dansk Erhverv frygter, at ’deepfake’ snart slår igennem inden for hacking. Deepfake er et udtryk for falske videoer, der fremstilles ved hjælp af kunstig intelligens. Eksempelvis findes der algoritmer og programmer, der kan fordreje en persons ansigt, så vedkommendes udtryk og mimik matcher et andet lydspor.

– Forestil dig, at du bliver ringet op af en, der fuldstændig lyder som din chef, og som beder dig om at få fingeren ud og fikse en hasteoverførsel af nogle penge, hvis du har dit job kært. Det kunne måske få dig til at ignorere de almindelige procedurer, siger han.

Et ledelsesansvar

Den gode nyhed er, at man kan gøre meget for at minimere risikoen for hackerangreb.– Det er ikke en kamp, der er tabt på forhånd, som Thomas Lund-Sørensen siger det.

Der findes både nogle lavthængende frugter – for eksempel to-faktorautentifikation og backup på bånd. Og nogle mere tidskrævende løsninger – for eksempel segmentering af virksomhedens netværk. Men uanset, hvad man vælger, kan it-afdelingen ikke løfte opgaven alene. Prosabladets kilder understreger, at det er et ledelsesansvar at afsætte ressourcerne.

It-afdelingerne kan dog være med til at råbe ledelserne op, påpeger PROSAs formand.

– Som it-medarbejder skal man lægge et pres på ledelsen. Gå op og sig: Vi har de her cases. De er alvorlige. Du er nødt til at tænke på det her. Det kan godt være, der er nogle omkostninger nu og her. Men på sigt kan det blive meget dyrere at lade være, siger Niels Bertelsen.

Ramt af ransomware

CSC

I 2012 bliver den statslige it-leverandør CSC hacket. Hackerne stjæler blandt andet oplysninger om over 90.000 dømte personer fra kriminalregistret.

MAERSK

Mærsk bliver i 2017 udsat for et ransomwareangreb, der lægger store dele af it-systemet ned. Angrebet koster Mærsk op mod 1,9 milliarder kroner.

Demant

Da Demant i 2019 blev ramt af et større ransomware­angreb, nægtede de at betale løsesum. Det kostede Demant op mod 550 millioner kroner.

50% mangler en it-sikkerhedspolitik

Halvdelen af danske virksomheder har hverken nedskrevet eller omtalt deres it-sikkerhedspolitik i personalehåndbogen ifølge en medlemsundersøgelse blandt Dansk Erhvervs 15.000 medlemsvirksomheder i 2019.