RUSSISK INVASION HAR SYNLIGGJORT CYBERTRUSLEN
“Invasionen af Ukraine fra Ruslands side er noget, der har påvirket hele det sikkerhedspolitiske billede. For så vidt angår cybertruslen, har den kun i begrænset omfang påvirket vores læsning af trusselsbilledet i Danmark. Det skal ses i lyset af, at når vi taler om cyberkriminalitet og cyberspionage, så har vi igennem længere tid kørt med et niveau, vi kalder ‘meget højt’ – det er det højst mulige niveau. Det betyder grundlæggende, sådan lidt firkantet sagt, at der er et meget, meget højt aktivitetsniveau.”
Trusselaktørerne, henholdsvis kriminelle og fremmede staters hackere, de kører døgnet rundt kampagner, hvor de forsøger at bryde ind i danske netværk og systemer. På den måde er det svært at få et højere aktivitetsniveau.”
Ordene kommer fra Mark Fiedel. Han er chef for cyberanalyse-afdelingen i Center for Cybersikkerhed (CFCS) under Forsvarets Efterretningstjeneste. Han har indvilget i at sætte ord på det dagsaktuelle trusselsbillede for den digitale infrastruktur i Danmark, både den kritiske og den ikke-kritiske.
”Ransomware-angreb rammer ikke kun den enkelte virksomhed eller organisation, men kan også have negative konsekvenser på forsyningssikkerheden, for eksempel strøm eller vand.”
Mark Fiedel, Center for Cybersikkerhed
“Godt at nogen bliver forskrækkede”
Det er CFCS’ vurdering, at invasionen af Ukraine ikke i sig selv har øget risikoen for, at danske interesser bliver udsat for hacking angreb. “Vores vurdering er, at det sådan set har været et konstant højt niveau,” siger Mark Fiedel.
Når cybertrusler og hacking fylder mere, så er det altså ikke et udtryk for et øget trusselsniveau – som altså allerede før invasionen lå højest på CFCS’ skala – men i stedet et udtryk for, at der er mere opmærksomhed på området.
“Invasionen har synliggjort nogle ting, hvilket betyder, at det er en kortere drøftelse, når vi skal forklare, hvorfor det er væsentligt at tage cybertrusler alvorligt. Det har forkortet de samtaler og den dialog, som vi har. Det har helt sikkert gjort noget i forhold til bevidstheden omkring cybertruslerne, og hvorfor man skal kigge på sin cyber-robusthed,” siger han og fortsætter:
“Vi har også kunne se, og det var særligt tydeligt i både konflikten og senere krigens første faser, at der var en øget opmærksomhed rundt hos organisationer og også i private virksomheder, som betød, at man var meget hurtigere til at blive opmærksom på, når der skete noget. Man er blevet mere opmærksom på, at man skal kigge i sine logs og at man skal have logs, og at man rent faktisk skal holde øje med, hvad det er, der sker på ens netværk. Det betyder selvfølgelig også, at man reagerer på mere. Der er nogen, der er blevet forskrækkede.”
”Det er faktisk rigtig, rigtig godt, at der er nogen, der bliver forskrækkede. For hvis man ikke har logs, så etablerer man logs og så begynder man at kigge på dem, og så kan man se, at man er under mere eller mindre konstant bombardement, hvor nogen forsøger at rekognoscere – altså forsøger at finde ud af ”hvordan ser det ud?” med henblik på at bryde ind.”
Travlhed og mørketal
Selvom antallet af angreb ikke ser ud til at være påvirket af invasionen, så har CFCS fået travlere.
“Der er mange, der henvender sig og siger: ‘Det er meget værre nu, end det var før – der sker meget mere, end der gjorde før’, men vores læsning er, at folk bare er mere opmærksomme,” siger Mark Fiedel og fortsætter:
“Vi har haft rigtig, rigtig travlt. Allerede før invasionen var vi ude og advare om, at der kunne ske noget, og på den konto har vi haft virkelig, virkelig travlt. Det er en god ting. Vi får flere henvendelser, fordi man rundt omkring i organisationer bliver mere opmærksomme på, hvad det er, man skal kigge efter. Derfor reagerer man også oftere.”
Han tilføjer, at der samtidig er mange angreb, der ikke bliver indrapporteret til CFCS:
“Jeg vil stadigvæk tro, at der er et rigtigt stort mørketal. Der er stadigvæk mange hændelser ud i både virksomheder, men også nogle myndigheder, som vi i virkeligheden ikke har noget visibilitet på, fordi vi ikke hører om det.”
Mange angrebstyper
CFCS slås dagligt mod en bred vifte af angreb mod danske netværk, fortæller analysechef Mark Fiedel.
“Ransomware-angreb er klart den synligste og mest alvorlige trussel i vores optik. Det er ikke det samme, som, at der kun sker ransomware-angreb, der er også CEO-svindel, hvor de kriminelle forsøger at svindle penge ud af organisationer ved f.eks. at udgive sig for at være fra ledelsen og beordre hastige pengeoverførsler. Det kan være rigtig kritisk for den enkelte virksomhed, men vores fokus er jo også på, hvad det betyder for samfundet.”
”Vi er sat i verden for at bidrage til at imødegå cyber-trusler, særligt mod statslige myndigheder, forsvar og kritisk infrastruktur. Ransomware-angreb rammer ikke kun den enkelte virksomhed eller organisation, men kan også have negative konsekvenser på forsyningssikkerheden, for eksempel strøm eller vand.”
Han fortæller, at angrebsmetoderne både tæller “håndholdte”, manuelle angreb og de helt automatiserede indtrængningsforsøg.
“Der er grundlæggende to forskellige typer, jeg vil fremhæve. Der er phishing-forsøg, hvor de kriminelle sender mails ud og håber, at der er nogen, der klikker på en vedhæftning eller et link, som så kører noget ondsindet kode. Det er den ene kategori. Den anden, kører nærmest døgnet rundt i industriel skala, også mod danske netværk. Det er automatiserede forsøg på bruteforcing og på at udnytte kendte sårbarheder i software på f.eks. mailservere. Det er desværre let for hackerne, både de kriminelle og de statslige hackere, at automatisere de her angrebsforsøg. De laver grundlæggende et lille program, som de sender ud på nogle maskiner, og så står maskinerne bare og rundérer internettet døgnet rundt.”
”Vi har haft rigtig, rigtig travlt. Allerede før invasionen var vi ude og advare om, at der kunne ske noget, og på den konto har vi haft virkelig, virkelig travlt. Det er en god ting. Vi får flere henvendelser, fordi man rundt omkring i organisationer bliver mere opmærksomme på, hvad det er, man skal kigge efter. Derfor reagerer man også oftere.”
Mark Fiedel, Center for Cybersikkerhed
En trussel, der er kommet for at blive
Mark Fiedel og CFCS’ vurdering er, at cyberkriminalitet ikke bare er et modefænomen. Det er kommet for at blive, og det er en konstant kamp om at være et skridt foran modstanderen.
“Det er jo et kapløb mellem angribere, som udvikler deres forretningsmodel og deres værktøjer, og så forsvarerne – sådan nogle som os, og dem der sidder ude i virksomheder og myndigheder – der hele tiden skal forsøge at hæve barren for, hvor dyrt det er for angriberen at komme ind,” siger han.
Når virksomheder eller myndigheder angribes, så kan angribernes motiver være meget forskellige. Mange er kriminelle, der er motiveret af jagten på penge, mens andre angreb kommer fra statslige aktører.
“Vi deler de forskellige trusler op efter motiverne, og de to mest alvorlige – cyberspionage og cyberkriminalitet – forsvinder jo ikke. Spionage-elementet forsvinder ikke i forudsigelig fremtid. Kriminalitet ej heller. Det forsvinder først, når folk holder op med at ville stjæle fra hinanden, og der går nok en rum tid. Så længe vi er digitaliserede, så længe vi er afhængige af digitale tjenester, så vil det også være noget, der bliver forsøgt udnyttet.”
Ikke hvorvidt, men hvornår
Han understreger flere gange, at CFCS’ primære budskab er, at alle er i risikozonen, og at det først og fremmest er et spørgsmål om, hvordan man håndterer et angreb, ikke hvorvidt man bliver angrebet.
“Det er ikke et spørgsmål, om hvornår ‘man bliver forsøgt ramt’. Det er et spørgsmål, om når man bliver forsøgt ramt. Det er vigtigt, at man har haft en risikovurdering som udpeger de mest sårbare dele, og at man har iværksat de beskyttelsesforanstaltninger, som man har vurderet er passende,” lyder det fra Mark Fiedel.
Han uddyber:
“Det er både som organisation i forhold til tekniske foranstaltninger, men også de interne processer, medarbejderne og bevidstheden omkring truslen. Er der en sikkerhedsorganisation internt? Hvis man bliver ramt, har man så styr på det? Hvem tager kontakt til myndigheder? Har man en beredskabsplan, der ikke ligger på det drev, der eventuelt måtte blive ramt? Har man alternative kommunikationskanaler, hvis ens mail bliver ramt? Hvordan kommunikerer man så med leverandør og sin egen organisation? Alle de spørgsmål bør man have besvaret før angrebet finder sted.”
Og ikke nok med det, så bør man også have en plan for at komme på fode igen bagefter:
“Er man i stand til at reetablere sig selv? Har man en backup, der virker, og som man er trænet i at reetablere? Har man sin kontakt til sikkerhedsleverandøren ift. både at håndtere den konkrete hændelse, men også at kunne hjælpe med at komme på fode igen? Det er i virkeligheden hele kæden, man skal have taget stilling til.” \
Skriv en kommentar
This site uses Akismet to reduce spam. Learn how your comment data is processed.