Hacking. Coronakrisen gør internettet til et farligere sted end nogensinde, når medarbejderne arbejder hjemmefra.

Cybervirus

En dag i marts, efter hundredtusindvis af ansatte på landets virksomheder fik besked på at arbejde hjemmefra, tikkede en mail ind på en computer i et hjem et sted i Danmark. Computeren var for flere år siden blevet udleveret til en medarbejder ved en større dansk virksomhed og kørte en 13 år gammel version af Windows – med andre ord havde den intet stærkt værn mod hackerangreb.

Da mailen tikkede ind, havde medarbejderen givet sit barn lov til at spille på computeren, og den nye digitale post vakte nysgerrighed: Den handlede nemlig om coronavirussen. Barnet åbnede mailen og klikkede på en vedhæftet fil.

»Det satte gang i en steppebrand,« fortæller Peter Kruse, medstifter af it-sikkerhedsfirmaet CSIS Group, der blev tilkaldt for at hjælpe. Filen indeholdt såkaldt ransomware, der brugte computuren som springbræt ind til hele virksomhedens netværk, hvor det lynhurtigt krypterede værdifulde forretningsdata. Kort efter poppede en meddelelse op på medarbejderens skærm: Hackerne krævede rundt regnet 35.000 kroner i bitcoin for at levere dataen tilbage i god behold. Det kan sammenlignes med en kidnapning, og virksomheden havde intet andet valg end at betale løsesummen.

Det tog årtier for arbejdsstyrken i den vestlige verden at rykke ud af fabrikshallerne og hen bag computerskærmene i serviceerhvervenes kontorer, men det tog under en uge i marts 2020 at sende dem hjem. Coronakrisens omvæltning af arbejdslivet har gjort internettet til et farligere sted end nogensinde før: Cyberkriminelle udnytter den svækkede it-sikkerhed, der opstår i overrumplede virksomheder, når medarbejderne arbejder hjemmefra, og frygtsomme borgere er de perfekte ofre for hackernes sindrige svindelnumre.

Samtidig advarer forsvarsminister Trine Bramsen om en stigende cybertrussel mod Danmarks kritiske infrastruktur, og fra udlandet udgår rapporter om angreb mod hospitaler og offentlige myndigheder. I sidste uge blev Italiens velfærdsinstitut ifølge Reuters ramt, mens det var i færd med at udbetale økonomisk krisehjælp til hundredtusinder af italienere, og i midten af marts forsøgte hackere at bryde ind i Verdenssundhedsorganisationens (WHO) systemer. Det sker alt sammen i en krise uden fortilfælde, hvor den nationale og globale sammenhængskraft afhænger direkte af internettet.

Frygten som fluepapir

Den uheldige danske virksomhed, der fik kidnappet sine data, er et billede på, hvor svært det er at opretholde it-sikkerheden under krisen, forklarer Peter Kruse. Bruger medarbejdere ældre computere og private netværk, svækkes virksomhedernes it-forsvar. Arbejdslivets nye fysiske rammer spiller også ind: Modtager man en mail, der ser mistænkelig ud, kan man ikke længere stikke hovedet ind til sin kollega og spørge til råds:

»Det behøver ikke at være et barn, der åbner sådan en mail – medarbejderne gør det også selv,« tilføjer Kruse.

Cyberangrebene spiller på folks frygt ved at bruge coronakrisen som »fluepapir for at tiltrække ofre«, forklarer han. Ud over truslen fra ransomware er der bølger af phishing-angreb, hvor ofre modtager mails fra øjensynligt troværdige afsendere for at narre dem til at udlevere private oplysninger. På det seneste har kriminelle eksempelvis udgivet sig for at være Sundhedsstyrelsen, men også Netflix, fordi de ved, at danskerne streamer langt mere for tiden, end de plejer.

»Så sender de mails ud, og når folk klikker på dem, kommer de ind på en hjemmeside, hvor de bliver bedt om at indtaste deres NemID og uploade et foto af deres nøglekort. Det skulle man ikke tro, at folk rent faktisk gør. Men det gør de,« siger Peter Kruse.

Mod slutningen af marts havde politiet fundet frem til hele 370 nyoprettede danske hjemmesider, der relaterer sig til coronakrisen, viser Weekendavisens forespørgsel hos Rigspolitiet. 26 af dem er vurderet som »mistænkelige«, eksempelvis falske myndighedshjemmesider lavet for at franarre folk deres NemID- eller kreditkortoplysninger.

Hackerne gør sig også i datatyveri, hvor de går på rov i virksomhedernes netværk. Det kan ske med henblik på at sælge forretningshemmeligheder videre til virksomhedernes konkurrenter, forudser Peter Kruse.

»På Darknet (et lovløst område af internettet, red.) findes der deciderede auktioner, hvor kriminelle sælger data, og man kan søge efter virksomheders data med navns nævnelse og byde på det.«

Nødstedte virksomheder

Situationen kan få ødelæggende konsekvenser for især små og mellemstore virksomheder, vurderer Troels Ørting Jørgensen, tidligere cybersikkerhedschef i Europol og i dag leder af World Economic Forums center for cyberkriminalitet.

»De udgør rygraden i dansk erhvervsliv, og de er kendt for ikke at have det største fokus på cybersikkerhed,« siger han.

Han advarer om afledte effekter på samfundsøkonomien og efterlyser mere hjælp fra myndighederne.

»Det kræver en anderledes tilgang end bare at sige ‘pas på’. Jeg tror, at man i højere grad skal anvise virksomhederne, hvordan de skal passe på. Det forventer man af staten i et samfund, hvor man betaler en ordentlig portion skat.«

Men det er virksomhedernes eget ansvar at sørge for it-sikkerheden, lyder svaret fra forsvarsminister Trine Bramsen.

»Lige så vel som et lille firma får et autoriseret låsefirma til at komme og sætte en lås på døren og måske nogle alarmer op, er man også nødt til at bruge professionelle til at guide en med it-sikkerhed,« siger hun.

WHO under angreb

Den amerikanske cybersikkerhedsekspert Alexander Urbelis driver Blackstone Law Group, der overvåger cyberkriminalitet på globalt plan ved at se på antallet af nye mistænkelige hjemmesider. Inden de største internationale sportsbegivenheder finder sted, ser man måske 20 nye hjemmesider hver dag, der knytter sig til begivenheden, fortæller Urbelis. Sidst i februar registrerede han på daglig basis 600 nye hjemmesider, der relaterede sig til coronavirussen.

»Men det var bare begyndelsen. Over de næste uger så vi op mod 2500 nye coronavirus-relaterede hjemmesider hver dag. Det betyder, at der på globalt plan findes opportunistiske aktører, som forsøger at udnytte sundhedskrisen.«

Alexander Urbelis fortsætter:

»Bølgen af cyberangreb kan true sammenhængskraften i samfundet.«

Det mest skræmmende eksempel på truslen fra cyberspace fandt sted den 13. marts, hvor cyberkriminelle forsøgte at bryde ind i WHOs systemer. Det var Alexander Urbelis selv, der opdagede angrebet og slog alarm. WHO har oplyst, at hackerne ikke lykkedes med deres forehavende, men alligevel beskriver Urbelis angrebet som et wakeupcall, fordi flere forhold tyder på, at en nationalstat stod bag. Et vellykket angreb på WHO kunne berige statslige aktører med uvurderlige efterretninger, men Urbelis fremhæver også en anden risiko:

»En meget uhyggelig tanke er, at ufærdige, spekulative analyser om eksempelvis pandemiens udbredelse eller muligheden for at anskaffe en vaccine slipper ud af WHO og bliver offentliggjort. Det kunne skabe omfattende panik.«

De danske forsvarsværker

Herhjemme er myndighederne i stigende grad opmærksomme på cybertruslen mod de institutioner og funktioner, der sikrer sammenhængskraften i landet. Det gælder for eksempel energisektoren og it- og telesektoren.

»Det er baggrunden for, at vi har hævet beredskabet. Vi ved, der er nogle, som vil udnytte den situation, vi står i,« siger forsvarsminister Trine Bramsen.

I forbindelse med krisen har Europol udgivet en rapport, hvor de gentager en advarsel om, at et cyberangreb, der kan føre til »lammelse af en hel sektor eller et samfund«, ikke længere er »utænkeligt«. Skrækscenariet er Ruslands tre uger lange cyberkrig mod Estland i 2007, der paralyserede essentielle offentlige og private samfundsfunktioner. Eller angreb mod strømforsyningen, som ukrainerne oplevede i begrænset omfang for få år siden.

»Forestil dig, hvis energiforsyningen i København forsvandt. Forudsætningen for, at samfundet kan fungere lige nu, er, at vi kan kommunikere. Kan vi ikke det, kan der opstå tumultagtige scener med panik,« siger it-sikkerhedseksperten John Foley, som har arbejdet i Forsvaret og siddet i den nationale operative stab (NOST), der er central for Danmarks kriseberedskab.

Modsat mange andre lande opererer Danmark ikke med en central definition af, hvad kritisk infrastruktur egentlig er. Derfor frygter John Foley, at myndighederne ikke vil være i stand til at koordinere beredskabet effektivt, hvis dele af den kritiske infrastruktur bliver lagt ned af et cyberangreb.

»I Danmark er det ikke i tilstrækkelig grad sat i system, hvem der skal træffe beslutninger på nationalt plan, hvis eller når alarmen går,« siger han. Han retter også kritik mod regeringen for ikke at informere borgerne om, hvordan de skal forholde sig, hvis scenariet indtræffer.

»I Danmark har vi jo et beredskab, der handler om, at man tænder for sin radio eller sit fjernsyn, og så er der varslinger der,« siger Trine Bramsen.

– Hvad så, hvis strømmen går?

»De fleste har en eller anden alternativ mulighed for at kunne lytte på en radio. Men jeg tror, at den her krise kommer til at lære os rigtig mange ting, og jeg vil da ikke afvise, at netop vores beredskabsinstrukser er noget af det, vi kommer til at kigge på.«

Forelagt kritikken om, at Danmark ikke opererer med en central definition af kritisk infrastruktur, svarer ministeren, at Center for Cybersikkerhed sikrer et stærkt samarbejde på området.

»Selv om man ikke har den her klare definition endnu, er man god til at spille bold med hinanden, men det her er en af de ting, vi – krise eller ej – kommer til at arbejde videre med over de kommende år.«

 

Læs også interview med professor Kim Woo Joo, der har brugt 30 år i forreste linje i kampen mod smitsomme sygdomme.

Læs også om, hvordan coronakrisen gør internettet til et farligere sted end nogensinde, når medarbejderne arbejder hjemmefra: »Cybervirus«

Læs også om, at børn – selv de kræftsyge – rammes ikke så hårdt af COVID-19 som voksne: »De små fightere«