For få dage siden meldte Vestas ud, at deres nylige cyberangreb havde resulteret i, at et datalæk af virksomhedens interne anliggender er blevet sat til salg på nettet, da virksomheden ikke ville gå med på afpressernes krav om en løsesum for at få frigivet det stjålne data. Vestas er kun én ud af en lang række af danske virksomheder, som over de seneste få måneder har oplevet, at hackere har lirket virksomheden virtuelle døre op.
Karsten Dahl Vandrup er én af landets førende IT-sikkerhedseksperter, og til dagligt arbejder han som IT-sikkerhedskonsulent hos konsulenthuset ChangeGroup, som rådgiver danske virksomheder om IT og digitalisering. Han ser bekymret på den eksponentielle stigning af cyberangreb i Danmark.
“Vi har fra dansk side sovet i timen…vores politireform handler ikke meget om cybersikkerhed. Sidst jeg checkede det, havde politiets cybersikkerhedsenhed NC3 ca. 75 mand på nationalt plan, og den nye enhed, Landsdækkende Center mod IT-relateret Økonomisk Kriminalitet (LCIK), som fokuserer på økonomisk kriminalitet på nettet, er i gennemsnitligt mellem 1,5 og 2 år om at tage en sag op, fordi de er overbebyrdet. Og to år efter at folk har fået franarret deres penge, er der ikke meget forensics, som man kan gøre brug af for at finde dem, som har gjort det og få pengene tilbage. Der skal man have en rygende pistol, hvis det skal kunne lade sig gøre” forklarer Karsten.
Han understreger hertil, at du som virksomhed står alene med problemet, hvis hackerne har taget din virksomhed til fange. Det er derfor endnu mere uforstående for IT-sikkerhedseksperten, at virksomhederne ikke ser et enormt behov for at beskytte sig selv.
“Én af de problemer der er i forhold til opmærksomheden omkring cyberkriminalitet er, at der ikke ligger nogen og bløder. Det foregår alt sammen i cyberspace, og det er svært at se. Det gør, at selvom naboen bliver ramt, så er det ikke sikkert, at du ved det. Der er dog kommet mere og mere frem for tiden, så jeg har svært ved at se, hvorfor virksomhederne ikke tager det seriøst” konkluderer han.
Det europæiske parlament udgav i november 2021 et direktiv – NIS2 – som er de første spæde skridt i retningen mod fælles it-sikkerhedskrav hos større europæiske virksomheder. Samtidigt forudser én af verdens førende IT-sikkerheds research-center og medie – Cybersecurity Ventures – at et ransomware-angreb forventes at angribe en virksomhed, forbruger eller enhed hvert andet sekund i 2031.
“Det er jo en trussel, som hænger over alle, at man kan lukke deres virksomhed ned. Vi har ikke set endnu rigtige tiltag mod, at det bliver brugt strategisk. Man kunne for et eksempel godt forestille sig, at man kunne lukke en konkurrent ned Black Friday” forklarer Karsten og uddyber;
“Hvis cyberkriminalitet var et land, så ville det være verdens tredje største økonomi. Det har overhalet narkokriminalitet mange gange og er klart den mest tabsgivende kriminalitetsform, som verden har. Og ikke kun i forhold til, hvad det koster i løsepenge, men også alle de andre omkostninger der ligger omkring den manglende drift. Cyberangrebet hos Mærsk (red. i 2017) kostede dem mere end 1,7 milliarder kroner” understreger Karsten.
Målet er de store virksomheder og kritisk infrastruktur
Indenfor cyberangreb er det især angrebstypen “ransomware”, som virksomhederne både i Danmark og resten af verden bliver ramt af. I et ransomware-angreb hacker de kriminelle sig vej ind i virksomheden og krypterer oplysninger så, at virksomheden ikke kan få adgang til deres egen data. For at få nøglen til at dekryptere de tilbageholdte data, så skal den ramte virksomhed betale en større løsesum. Derfor navnet ransomware.
“Det er jo ikke kun løsesummen, som skal betales, men det er også alle de omkostninger ved, at virksomheden ikke er oppe og køre, som får virksomhederne i knæ” siger Vandrup og uddyber;
“Ransomware svarer til det gamle mafiatrick, at hvis du ikke betaler beskyttelsespenge, så kan du også være sikker på, at der sker noget med din forretning. Det er bare meget lettere og meget større summer” forklarer han.
I NIS2-direktivet bliver det også beskrevet, at der ses en ekstra ophøjet trussel for større virksomheder og kritisk infrastruktur, da de sidder på de tunge pengepunge.
“Det vi ser er, at de dygtige folk på markedet går efter kritisk infrastruktur og forsyning, og det gør de fordi, at når det er kritisk forsyning, så gælder det også om, at få det op og stå med det samme. De er mere villige til at betale løsesummen fordi, at man simpelthen ikke kan lægge en hel by ned uden el eller olie eller vandforsyning uden, at det får så store konsekvenser, at løsesummen opvejer det” forklarer han.
Et kriminelt slaraffenland
En IT-prognose, udført af Cybersecurity Ventures, forudser, at IT-kriminalitet vil koste verden i omegnen af 69 billioner kroner om året, når vi rammer 2025. IT-kriminalitet er blevet en industri, og den vil kun vokse, mener Karsten:
“Det er en mange milliarder kroners industri, og der findes fabrikker, som laver IT-kriminalitet. Indenfor ransomware kan du købe et ransomware attack, og bagefter kan du købe databaser ude på dark web. Indenfor branchen kalder vi det Crime-as-a-Service, da du kan købe alt. Hvis man går rundt amatøragtigt og tror, at det kan vi nok gardere os mod med en ny firewall eller ved at ignorere det, så skal man til at revurdere sin holdning” fortæller Karsten Vandrup yderligere.
Cyberkriminalitetens kompleksitet ligger i, at det, udover at være en let tilgængelig kriminalitetstype, også er yderst vanskeligt at sætte hackerne på straffebænken. Hackerne er en usynlig, men voksende, fjende, og her er det især udfordringer med politisk tovtrækkeri henover landegrænser, som skaber udfordringer.
“Der er mange af hackerne, som ikke bliver stillet til ansvar, og der er mindst ligeså mange, som vi ikke KAN stille til ansvar, fordi de bor i lande, som vi ikke har juristriktion overfor eller i lande som vi ikke har et godt politisamarbejde med. Og så er der den detalje, at det er meget svært at finde ud af, hvem det er i det hele taget…derfor ville jeg helt sikkert anbefale, at man bruger sin energi på at gardere sig imod det i stedet. Byg muren højere i stedet for at prøve at finde dem, som kravler over den” understreger Karsten.
Kompetencetørke på IT-området i Danmark
I det danske virksomhedslandskab er nogle virksomheder stille og roligt begyndt at indse, at de står overfor en konsekventfyldt trussel, og at det nok ville være fornuftigt at hente nogle IT-kyndige profiler ind i organisationen. Men så står virksomhederne overfor et nyt problem. IT-landskabet er ramt af tørke, og især IT-sikkerhed er som at fiske i Sahara.
“Så kommer der så den næste hurdle, at der mangler arbejdskraft, som ved noget om det område. Vi er bagud med folk, som bliver uddannet med viden om cyberkriminalitet. Jeg ser ti opslag om dagen fra virksomheder, som søger topfolk indenfor dét felt, og mange af dem er genopslag. Så der mangler folk med den rette erfaring og viden…og det er globalt. Alle er bagefter” fortæller IT-konsulenten.
Karstens opråb til de danske virksomheder går især på, at man på ledelsesniveau er nødt til at flette IT-sikkerhed ind i den generelle organisationsstrategi, men giver her et bud på, hvilke profiler, som virksomhederne skal kigge efter.
“Der er brug for flere typer af folk. Der er brug for nogle hardcore teknikere, og så er der i meget høj grad brug for nogen på ledelsesniveau, som ved, hvad det her handler om, og som kan sætte en dagsorden i et ledelseslokale. Som kan træffe nogle beslutninger for virksomhedens generelle sikkerhed” siger han.
Netop på grund af manglen på IT-profiler, så anbefaler Karsten Dahl Vandrup at man kigger mod konsulenthusene, som kan hjælpe med at sætte en virksomheds IT-sikkerhed i system, som derefter kan monitoreres.
“Nogle af de profiler, som man som virksomhed bør kigge efter at ansætte er en Chief Information Security Officer og kan man ikke finde lignende profil, så skal man tage fat i en konsulentvirksomhed, som kan få ad gang til de dygtige profiler… Fordi de profiler er en kæmpe mangelvare, og man skal ikke vente på, at man kan finde sådanne profiler til ens virksomhed fast, fordi det kan man ikke nødvendigvis” forklarer Karsten afslutningsvist.
Læs mere om, hvordan konsulenthuset ChangeGroup kan hjælpe dig og din virksomhed i kampen mod IT-kriminalitet HER.
HVEM ER KARSTEN?
Karsten Dahl Vandrup er lektor, IT-sikkerhedsspecialist hos ChangeGroup og forfatter.
Efter en lang karriere som leder i IT- og kommunikationsbranchen i Danmark, Finland, Californien og Baltikum skiftede Vandrup i 2014 til den akademiske verden for at forske og undervise i IT-sikkerhed og it-kriminalitet. Udover sit engagement i forskning er Karsten Dahl Vandrup ekspert i branchen inden for især IT Security Management, NIS2, GDPR, ISO27001, Netværkssikkerhed, Mobilsikkerhed og Crime-as-a-Service.
I 2022 udkommer András Acs Pedersen og Karsten Vandrup med bogen ’IT-sikkerhed i praksis – en introduktion’ på forlaget Samfundslitteratur.