Dahlberg og Storm Jensen: Omfattende angreb i 2023 viser, at Danmarks cyberforsvar har behov for at blive styrket
17.01.2024
I november udsendte SektorCERT en højst alarmerende rapport om et omfattende, men hidtil hemmeligholdt cyberangreb på dansk kritisk infrastruktur, som fandt sted i maj 2023. Angrebets karakter og udførelse tyder på en statslig aktør. Og i lyset af de seneste russiske cyberangreb i Ukraine og Sveriges opjustering af beredskabet, understreger det behovet for at styrke det danske cyberforsvar.
Analyse af Rasmus Dahlberg, lektor, Ph.D., og Mikkel Storm Jensen, major, Ph.D., Center for Samfundssikkerhed, Forsvarsakademiet
En søndag i november udsendte SektorCERT en højst alarmerende rapport om et omfattende, men indtil da hemmeligholdt cyberangreb på dansk kritisk infrastruktur, som fandt sted i maj 2023. Ikke mindre end 22 virksomheder, hver med ansvar for en del af Danmarks vitale energiinfrastruktur, blev kompromitteret i et koordineret angreb, som bærer tegn på at have en statslig aktør bag. Kriminelle angriber ofte meget bredt og med det formål at tage data eller systemer som ”gidsler” med henblik på at kræve løsesum. De aktuelle angreb var derimod meget målrettede, meget diskrete og sandsynligvis mere rettet mod at etablere en grad af kontrol med systemerne, der senere ville kunne bruges til at gennemføre sabotagelignende operationer.
Hvis angriberne havde haft held med deres forehavende, kunne det have haft påvirket mere end 100.000 danskeres energiforsyning. Det danske samfund er gennemdigitalisereret og stærkt afhængigt af en stabil og velfungerende elforsyning. Populært siger man, at Maslow’s berømte behovspyramide i dag hviler på et solidt fundament af wifi og strømforsyning. Hvis elektriciteten forsvinder fra stikkontakten, vil det i løbet af timer og ikke mindst dage få store konsekvenser for mange samfundsvigtige funktioner, herunder sundhedssektoren, transportområdet samt leverancer af varme og vand. Derfor reguleres og overvåges elsektoren nøje.
Ved angrebet i maj udnyttede angriberne en sårbarhed i routere fra producenten Zyxel, der godt nok var blevet opdaget en uges tid forinden, men som af forskellige årsager hos en lang række virksomheder endnu ikke var blevet udbedret. Derfor var der adgang til de firewalls, hvis funktion er at beskytte den egentlige operationsteknologi (OT), som styrer elproduktion, forsyningsnet m.v. ude i den kritiske energisektor. SektorCERT (de kritiske sektorers fælles cyberenhed, som overvåger bl.a. energisektoren og forsvarer kraftværker, forsyningsselskaber og elnettet mod forsøg på indtrængning fra ubudne gæster) anfører i rapporten, at angrebets første bølge den 11. maj var velkoordineret og bar præg af grundig planlægning, hvorfor bagmændene anses for ressourcestærke. Angrebets anden bølge, som ramte sektoren den 22. maj, bød på andre metoder, hvorfor SektorCERT formoder, at der var tale om to forskellige angribere, men man udelukker ikke, at der kan have været tale om samme ”arbejdsgiver”. Angrebets karakter og udførelse tyder mere på en statslig aktør end kriminelle motiver.
Set i et samfundssikkerhedsperspektiv er hændelsen væsentlig af flere årsager. Den viser først og fremmest, at de mest kritiske af de kritiske sektorer i Danmark er sårbare over for ondsindede forsøg på indtrængning. Havde det ikke været for SektorCERTs overvågning og hurtige reaktion (hvilket cyberenheden ikke lægger skjul på i rapporten), kunne angrebet have fået store konsekvenser for energiforsyningen og deraf afledte effekter. Betalingssystemer går ned, kommunikationsmidler mister forbindelsen og transportsystemer lammes, og efter få døgn vil også brændstof-, varme- og vandforsyning og mange andre basale samfundsfunktioner være lagt ned. Den er også væsentligt, fordi det tilsyneladende var første gang, hackere i stor stil var tæt på at få adgang til de systemer, som rent faktisk styrer den kritiske infrastruktur. På det seneste har bl.a. Forsvarsministeriet været ramt af såkaldte DDoS-angreb, hvor angriberne i en periode kan overbelaste de ramte institutioner med millioner af ”opkald”, så man ikke kan komme i kontakt med dem, mens angrebet står på. Disse angreb går ”kun” ud over hjemmesider, mens den bagvedliggende teknologi ikke er i fare. Selv om sådanne angreb på sigt kan underminere befolkningens tillid til myndighedernes evne til at beskytte sig i cyberdomænet, udgør et angreb som det i maj en langt større trussel mod det danske samfund.
Hvis angriberne havde haft held med deres forehavende, kunne det have haft påvirket mere end 100.000 danskeres energiforsyning
_______
Mange forventede, at Rusland ville udføre omfattende og ødelæggende cyberangreb på Ukraine i forbindelse med invasionen den 24. februar 2022. Det ”digitale Pearl Harbor” kom dog aldrig, men det skyldtes ikke, at Rusland ikke prøvede. Rusland angreb og angriber stadig mål i Ukraine i forsøg på at lamme fx regeringsførelse, energiforsyning og mål i sundhedssektoren. De manglende resultater skyldes ikke et fravær af russisk vilje, men manglende russisk evne til at overkomme det ukrainske cyberforsvar og -modstandsdygtighed. For nyligt lykkedes et større angreb: Den 12. december 2023 lammede russerne en betydelig del af den ukrainske mobiltelefonudbyder Kyivstar og påvirkede flere end 25 mio. brugere. Ud over at angrebet satte Rusland i stand til at indhente en lang række informationer fra Kyivstars telefoner og netværk, forhindrede angrebet kommunikation og ikke mindst udsendelse af varsler om russiske luftangreb, der sker via en app.
Angrebet på Kyivstar i december er et eksempel på, hvor hårdt det ukrainske samfund ville være blevet ramt, hvis ikke landet, støttet af venlige nationer og store private aktører som Amazon, Google og Microsoft, havde været i stand til at standse eller begrænse de mange russiske angreb. Angrebet illustrerer dog også en anden styrke i Ukraines cybermodstandsdygtighed, nemlig cyber-resiliens: Allerede 20. december var Kyivstars netværk nemlig oppe igen.
Utilstrækkeligt overblik over beredskabet
På cyberområdet er de overordnede retningslinjer for beredskab og modstandsdygtighed siden 2014 udstukket gennem Danmarks nationale cyber- og informationssikkerhedsstrategier, senest i 2021. De suppleres med og drives frem af EU’s Direktiv om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen (i daglig tale: NIS2-direktivet), der trådte i kraft i 2023 og skal være endeligt implementeret i dansk lovgivning senest i oktober 2024.
Implementeringen af NIS2 sker efter sektoransvarsprincippet: De enkelte sektorer er ansvarlige for, at virksomheder, der er udpeget som kritisk infrastruktur, etablerer og vedligeholder beredskab, modstandsdygtighed og evnen til at opretholde et vist fastsat mål af funktionalitet. På grund af opgavernes og de individuelle aktørers meget forskellige karakter og ressourcer er man imidlertid ikke alle steder nået lige langt. Det forhold, at forårets angreb ramte 22 virksomheder med i alt ca. 100.000 tilknyttede brugere kunne indikere, at der er tale om mindre leverandører med færre ressourcer til at implementere cybersikkerhed og -resiliens end de store enheder i markedet.
Decentraliseringen af løsning af opgaven med at etablere resiliens og opretholde beredskab giver god mening, for ekspertisen findes naturligt ude i de enkelte sektorer og virksomheder. Ansvaret for, at det også rent faktisk sker, kunne man derimod overveje at ændre til en mere centraliseret løsningsmodel, sådan som man fx har i Finland. Det ville styrke statens overblik og evnen til at koordinere samfundets modstandsdygtighed i hverdagen og ikke kun under kriser som i den nuværende danske konstruktion.
Her kunne Danmark samtidig lade sig inspirere af Sverige, hvor der for alvor er kommet kul på kedlen under minister for civilt beredskab Carl-Oskar Bohlins ledelse siden hans tiltrædelse i oktober 2022. Senest holdt han søndag den 7. januar 2024 en brandtale ved Folk och Försvars rigskonference, hvori han gjorde det klart, at krigen kan komme til Sverige, og at tid kan vise sig at være den mest knappe ikke-vedvarende ressource, man har i beredskabet. Med andre ord: Hellere en god løsning i morgen end en perfekt om fem år. SektorCERTs detaljerede og skræmmende beskrivelse af angrebet i maj viser nemlig med al tydelighed, at vi ikke må lade erfaringerne fra Ukraine blive en sovepude. Der findes statslige aktører derude, som besidder viljen til at forsøge at slukke lysene i de danske hjem.
SektorCERTs detaljerede og skræmmende beskrivelse af angrebet i maj viser nemlig med al tydelighed, at vi ikke må lade erfaringerne fra Ukraine blive en sovepude. Der findes statslige aktører derude, som besidder viljen til at forsøge at slukke lysene i de danske hjem
_______
Lav risiko, potentielt stor skade
På grund af de tekniske særkender er cyberangreb et velegnet middel for stater til at true og undergrave modstandere med henblik på at få dem til at genoverveje at ændre fx udenrigspolitik. Man kan gøre meget for at skjule, hvem der angriber, og den angrebne er ofte ikke interesseret i at indrømme, hvor meget man ved om angrebet for ikke at afsløre forsvars- og efterretningskapaciteter. Samtidig er angrebene alvorlige og har reelle omkostninger, men stadig så langt nede på eskalationsstigen og diffuse, at risikoen for at udløse andre modforanstaltninger end diplomatisk ”blaming and shaming” er begrænset. De russiske ”cyberaktivisters” højtprofilerede DDoS-angreb på danske ministerier, banker, lufthavne etc. kan fortolkes som forsøg på at skabe usikkerhed i Danmark om, hvad prisen er for at støtte Ukraine.
Angrebene i foråret på den kritiske infrastruktur kunne – med det i mente, at der ikke fra dansk side er udpeget nogen bestemt aktør bag angrebene – fortolkes som forsøg på at etablere tilstedeværelse i systemerne der senere ville kunne udnyttes til cyber-sabotage. Det forhold, at FE vurderer, at truslen fra ødelæggende cyberangreb i den nuværende situation er lav, er ikke ensbetydende med, at Danmarks modstandere ikke vil forsøge at etablere evnen til at udføre sådanne angreb, hvis situationen skulle ændre sig.
Nogle stater, fx USA, lægger stor vægt på afskrækkelse i deres cyberforsvarsstrategier. Her er budskabet, at cyberangreb vil kunne udløse en straf i form af modangreb med cyber eller andre midler. Da Biden mødtes med Putin i 2021, kort efter at efter russiske cyberkriminelle med et angreb på Colonial Pipeline havde skabt kaos i 14 delstater ved at lukke for benzin-rørledninger i ugevis, sagde han noget i retning af, at angrebet var uacceptabelt, og at der var mange rørledninger i Rusland, der kunne komme slemt afsted, hvis det skete igen. Det er måske svært at forestille sig, Mette Frederiksen og Putin have den samme samtale. For en småstat som Danmark er der sandsynligvis mere gevinst ved at gøre sig til et så vanskeligt mål som muligt samt besidde en stor og demonstreret evne til ikke bare at modstå, men også overkomme cyberangreb. Det vil virke afskrækkende på den måde, at modstandere vil skulle yde en større indsats for at angribe, forvente en mindre og mere kortvarig effekt og derfor kigge sig om efter mindre resiliente stater at angribe. Denne tankegang betegnes ”resiliens som afskrækkelse”.
Uanset hvor resiliente samfund bliver mod cyberangreb, er det en løbende indsats, hvor mål og midler permanent er under forandring. Cyberangreb er, som demonstreret i Ukraine, ikke et mirakelvåben. Men det er så fremragende et middel til hybrid krigsførelse og interstatsligt drilleri, at det vil blive brugt. Og uanset om det internationale samarbejdsklima skulle gå i en mere positiv retning engang i fremtiden, er truslen fra højtkvalificerede cyberkriminelle, der er villige til at afpresse hele samfund ved at tage kritisk infrastruktur som gidsel, rigelig til at motivere en styrkelse af samfundets cyberresiliens.
Uanset om det internationale samarbejdsklima skulle gå i en mere positiv retning engang i fremtiden, er truslen fra højtkvalificerede cyberkriminelle, der er villige til at afpresse hele samfund ved at tage kritisk infrastruktur som gidsel, rigelig til at motivere en styrkelse af samfundets cyberresiliens
_______
Rasmus Dahlberg er Ph.D. i katastrofevidenskab og lektor ved Institut for Strategi og Krigsstudier på Forsvarsakademiet, hvor han fungerer som faglig leder af Center for Samfundssikkerhed. Har skrevet fagbøger og romaner om katastrofer og krisehåndtering gennem to årtier, ligesom han er ivrig bidragyder til tv- og radioudsendelser og podcasts om samfundssikkerhed og beredskab.
Mikkel Storm Jensen, major, ph.d. er militæranalytiker ved Forsvarsakademiet. Han forsker i cyberkonflikt og cyberstrategi, herunder brugen af internettet i konflikter mellem lande. I 2023 blev han Ph.d. med en afhandling om offensive cyberkapabiliteters (”cybervåbens”) strategiske indflydelse i militære alliancer. Endvidere forsker han i statens vanskelige rolle i at sikre, at samfundet har tilstrækkelig modstandsdygtighed overfor cyberangreb og -uheld.
ILLUSTRATION: Energitårnet i Roskilde [FOTO: Lars Laursen/Ritzau Scanpix]
![Kampen om magten: „En meget berigende politisk bog […] Anbefales til indkøb‟](https://d.raeson.dk/wp-content/uploads/2020/02/usa.trump_-300x274.jpg)
