UKRAINE-KRIGEN SKABER CYBERFRONT I DANMARK
Krigen i Ukraine har fået en ny ”front”. En cyber-slagmark, hvor hjemmesider i Vesten må leve med jævnlige angreb.
Der er ofte tale om pro-russiske aktivister, der forsøger at sætte IT-infrastrukturen under pres. Det gælder også i Danmark, hvor ministerier, myndigheder, sundhedsvæsen, banker og stort set alt inden for transportsektoren løbende bliver angrebet.
I forvejen har Ruslands invasion i Ukraine vendt op og ned på de seneste 30 års tro på, at man kunne høste en fredsdividende efter Murens fald i 1989. Nu står den på betydelige investeringer i militært isenkram og en ny politisk dagsorden – med betydelig politisk opbakning til Ukraine.
Desto længere konflikten har stået på, desto mere kontant er den danske støtte blevet. Regeringen har nu doneret kampvogne, ammunition, minerydningskøretøjer og luftforsvar til Ukraine for mere end 11 milliarder kroner. Dertil kommer træning af ukrainske soldater i brug af fx F16-fly.
”Rusland har også konventionelle våben, som kunne ramme NATO-territorier – og på samme måde har de kapacitet til at udføre destruktive cyberangreb. Men grundlæggende er de ikke interesseret i at opskalere konfrontationen med Vesten.” Mark Fiedel, Center for Cybersikkerhed
Russere har kapaciteten – men udnytter den ikke
Krigen mellem Rusland og Ukraine er både blevet udkæmpet på landjorden og som en digital krig.
”I løbet af krigen har vi set, hvordan Rusland har brugt kapaciteten til at udføre destruktive angreb. Ukraine er også før invasionen blevet ramt af den slags, hvor der fx er blevet slukket for strømmen i et område. Det er dér, hvor man for alvor – rent fysisk – mærker konsekvensen et cyberangreb. Når først strømmen i Ukraine går i vinterhalvåret, bliver det hurtigt koldt,” forklarer Mark Fiedel, der er analysechef i Center for Cybersikkerhed.
Men han understreger, at det ikke betyder, at russerne umiddelbart har planer om at angribe Vesten og Danmark og på samme måde lægge vores infrastruktur ned – selv om de har kapaciteten. ”På samme måde som Rusland har konventionelle våben, som vil kunne ramme NATO-lande, så har de også kapaciteten til at udføre destruktive cyberangreb. Men vores vurdering er, at Rusland grundlæggende ikke ønsker at udløse en militær konfrontation med Vesten.”
”Det sker, at cyberangreb har en spillover-effekt, hvor angreb breder sig på tværs af netværk og landegrænser. Det skete bl.a. for Mærsk i 2017.” Mark Fiedel vurderer dog, at det samlet set er meget få destruktive angreb, der i det seneste år har ramt Vesten.”
”Det kan imidlertid ændre sig med kort varsel. Det tager tid at opbygge en kapacitet, men viljen kan jo ændre sig meget hurtigt,” understreger Mark Fiedel (i begyndelsen af juni, red.).
Cyberkriminelle og cyberaktivister
Samtidigt med den fysiske krig, så har man set en meget kraftig opblomstring på begge sider af konflikten – hvor både russiske, belarusiske og ukrainske cyberaktivister forsøger at ramme modparten.
Center for Cybersikkerhed overvåger løbende trusselsniveauet mod Danmark og her har man i flere år vurderet risikoen for at blive ramt af cyberkriminalitet og cyberspionage til at være ”meget høj” – det øverste trin på trusselsskalaen. Tidligere blev risikoniveauet for cyberaktivistiske angreb vurderet til at være ”lavt”, men som konsekvens af Ukraine-krigen, er den vurdering på kort tid steget til ”høj”.
”Nogle af de pro-russiske grupper har en fortid eller en hovedbeskæftigelse som kriminelle, mens andre er helt almindelige personer med sympati for den russiske sag. Sympatien gør dog ikke nødvendigvis, at der er en kobling til den russiske stat,” understreger Mark Fiedel.
”De kriminelle går efter virksomheder, de kan tjene penge på at ramme – fx kritisk infrastruktur. Cyberaktivisterne går mere efter symbolske mål og lave ”defacement” eller DDoS-angreb på hjemmesider.”
Men cyberaktivisterne er blevet langt bedre til at organisere sig, og nogle udlover fx pengepræmier og hjælper i stort omfang med mål og værktøjer, så det er nemmere for andre at følge i deres fodspor. Det har betydet, at vi det seneste år har været udsat for en hel stribe DDoS-angreb, hvor hjemmesider bliver overbelastet.
Minder mere om pusterør end missiler
”At dæmme op for den slags er lidt som kattens leg med musen. Der er en del måder, de kan angribe på, og mange – men ikke nødvendigvis alle – angrebene kan imødegås automatisk, fx via ens internetudbyder,” siger Mark Fiedel.
Han anser ikke DDoS-angrebene som et stort problem.
”DDoS-angreb minder mere om pusterør end missiler. Der er meget langt imellem, at overbelastningsangreb har en reelt skadelig effekt. De fleste hjemmesider er jo offline en gang imellem, og man bør selvfølgelig have en risikovurdering af, hvor meget man kan klare. Hvis man har nogle services, som kræver næsten 100 procent oppe-tid, så skal man selvfølgelig investere mere i et beredskab.”
Spionage mod energi, medicin og infrastruktur
Cyberspionage er derimod et felt, hvor der er langt alvorligere ting på spil, og hvor det kan være sværere at opdage, at nogen er trængt ind på et netværk, fordi de holder lav profil.
Grønlands – og dermed Danmarks rolle i det arktiske område har storpolitisk bevågenhed hos både Rusland, Kina og USA. Det skyldes både Grønlands strategiske placering rent geografisk, men også de langsigtede muligheder for minedrift.
”Vi har også nogle områder, hvor Danmark er rigtigt godt med rent forskningsmæssigt: For eksempel grøn energi og medicinalindustrien. Her forsøger fremmede efterretningstjenester bl.a. at overføre teknologisk viden til at understøtte egne sektorer. Det maritime område, hvor vi spiller en rolle på globalt plan, er vi også i søgelyset i forhold til.”
Cyberspionage handler også om at forberede sig til en eventuel fremtidig krig, hvor man fx gerne vil kunne standse modstanderens evne til at flytte ting fra A til B, eksempelvis tropper eller udstyr. Derfor vil den type spionage også ofte rette sig mod knudepunkter som havne,” forklarer Mark Fiedel.
Han understreger, at vi ikke slipper for de her typer af angreb. Heller ikke når krigen i Ukraine standser.
”De store dyr på savannen – cyberkriminalitet og cyberspionage – går ikke væk. Så længe der er kriminelle, der ret omkostningseffektivt kan angribe IT-systemer og tjene penge på ransomware, så fortsætter den type angreb.”
”Og så længe der er stater, vil der også være spionage. Og i den forbindelse vil forberedelsen til en evt. fremtidig konflikt betyde cyberspionage mod knudepunkter som lufthavne, logistikvirksomheder og havne.”
Ledelse har ansvaret for cyber-resiliens
I mange sammenhænge taler man om, at medarbejderne er det første forsvar mod cyberangreb, og det er også rigtigt. Mark Fiedel parkerer dog ansvaret ret entydigt et helt andet sted.
”Hvis man som medarbejder er i tvivl om, hvad man skal gøre i tilfælde af cyberangreb, så skal man afkræve svar fra sin organisation,” understreger Mark Fiedel.
”Ledelsen har både ansvaret for, at man kan forebygge angreb og, at medarbejderne har mulighed for at reagere hensigtsmæssigt, når virksomheden bliver angrebet.”
Kun én løsning: Øg robustheden
Danmark er altså blot en lille – men vigtig brik i en meget stor geopolitisk konflikt. Samtidigt har de cyberkriminelle tænkt sig at fortsætte deres angreb, bl.a. via automatiserede angreb mod udstyr vendt mod internettet.
Set fra Mark Fiedels udsigtspunkt, er der ikke meget vi kan gøre for at påvirke trussels-siden.
”Det vi reelt kan gøre er at hæve barren for, hvor godt vi beskytter og forbereder os. Vi skal både øge omkostningen ved at bryde ind, og øge vores robusthed – vore resiliens, så vi kan køre samfundet videre, også når vi er under angreb fra nationer, aktivister og kriminelle,” understreger Mark Fiedel. \
”DDOS-angreb minder mere om pusterør end som missiler. Der er meget langt imellem, at de overbelastningsangreb har en reelt skadelig effekt.” Mark Fiedel, Center for Cybersikkerhed
Blå bog for Mark Fiedel \
”Mark Fiedel er chef for Center for Cybersikkerheds afdeling for cyberanalyse. Han har arbejdet med cybertrusler og -sikkerhed i størstedelen af sin professionelle karriere, og har tidligere været chef for centrets afdeling for cyberoperationer samt udfyldt rollen som fungerende chef for Center for Cybersikkerhed.”
FAKTA: ANGREB PÅ DANSKE VIRKSOMHEDER OG ORGANISATIONER
Det varierer, hvem der står frem og tager ansvar for DDoS-angrebene. Gruppering som NoName057(16), KillNet, Anonymous Sudan, Anka Neferler Team står ofte frem og henviser enten til krigen i Ukraine eller fx Rasmus Paludans afbrænding af Koranen. Men reelt kan der være tale om helt andre aktører, og de ”officielle” udmeldinger kan blot være et røgslør. Derfor nævner vi ikke her, hvem der står bag de enkelte angreb.
SAS delvist lagt ned
Flere af flyselskabets SAS’ hjemmesider blev angrebet i længere tid og afkrævet tre millioner dollar i løsesum. Hjemmesiderne var kun delvist lagt ned. (Juni 2023)
Offentlige myndigheder og transportvirksomheder lagt ned
Skat, Skattestyrelsen, Folketinget, FE, Forsvaret og Center for Cybersikkerhed fik alle lagt deres hjemmesider ned. Samtidigt blev Movia, Danske Rederier og Din Offentlige transport også ramt. (Maj 2023)
En håndfuld lufthavns-sider kan ikke tilgås
Hjemmesiderne for Københavns, Billunds, Aarhus, Odense, Sønderborg, Roskilde, Stauning og Midtjyllands Lufthavne blev lagt ned medio februar. De kom op at køre senere samme dag. (April 2023)
Alle hospitaler i Region Hovedstaden delvist lagt ned
Rigshospitalet, Bispebjerg Hospital, Amager Hospital, Gentofte Hospital, Herlev Hospital, Hvidovre Hospital, Bornholms Hospital – og Region Hovedstaden fik alle lagt deres hjemmesider ned.
Universiteter og Politiet angrebet
IT-Universitetet, Københavns Universitet, Aalborg Universitet, Syddansk Universitet og Roskilde Universitet blev alle angrebet. Samtidigt blev også Politiet og Energistyrelsen ramt. (Feb. 2023)
Statsministeriet, Forsvarsministeriet, Nationalbanken lagt ned
En stribe store offentlige myndigheder blev i januar lagt ned, men angrebene havde kun effekt i relativt korte perioder på et par timer. (Januar 2023)
Flere banker angrebet
Danske Bank, Arbejdernes Landsbank, Jyske Bank, Sydbank, Nationalbanken og en håndfuld mindre banker blev alle angrebet over flere dage. (Januar 2023)
Sikkerhedsbrud i den grønlandske centraladministration
Der blev opdaget et sikkerhedsbrud i centraladministrationen. Resultatet var, at man måtte lukke for hjemmesider og det forsinkede betaling af ydelser og regninger. (Marts 2022)
Kilder: DR.dk, Cw.dk, Version2.dk, Cfcs.dk
FAKTA: SÅDAN ER TRUSSELSNIVEAUET
Krigen i Ukraine har betydet, at trusselsniveauet for cyberaktivisme er steget fra ”lav” til ”høj”, mens de øvrige niveauer er uændrede.
\ Cyberspionage: Meget høj
Rusland og Kina forsøger løbende at få adgang til viden om Danmarks udenrigs- og sikkerhedspolitik samt information om Forsvaret og logistiske knudepunkter som bruges til troppetransport – f.eks. havne.
\ Cyberkriminalitet: Meget høj
Både myndigheder, virksomheder og privatpersoner har høj risiko for at blive ramt af cyberkriminalitet. Det drejer sig især om ransomware-angreb, hvor indholdet på computere bliver krypteret og kun låst op mod betaling.
\ Cyberaktivisme: Høj
Truslen fra cyberaktivisme er steget fra ”lav” til ”høj” inden for det sidste år pga. krigen i Ukraine. I et typisk forløb udpeger pro-russiske aktivister vestlige hjemmesider og beder deres følgere om at hjælpe med DDOS-angreb, hvor man overbelaster hjemmesiden med forespørgsler.
\ Destruktive cyberangreb: Lav
Det er ikke særligt sandsynligt, at virksomheder og myndigheder bliver udsat for destruktive cyberangreb. Men nogle stater opbygger løbende kapacitet og viden for at kunne sætte ind mod infrastruktur i tilfælde af en konflikt. Derfor bør virksomheder opbygge et forsvar – også i fredstid.
\ Cyberterror: Ingen
Cyberterror defineres som angreb, der kan skade mennesker på samme måde som konventionelle terrorangreb. CFCS vurderer, at militante ekstremister har begrænset hensigt og kapacitet til kunne gennemføre denne type cyberangreb. PET vurderer dog, at truslen fra konventionel terror er alvorlig