Europol og FE-chef advarer: IT-sikkerhed er for dårlig

To fremtrædende cyberchefer fra Europol og Forsvarets Efterretningstjeneste advarer på baggrund af Danmarks største hackerangreb om, at IT-sikkerheden er for dårlig hos myndigheder og virksomheder, der behandler danskernes personlige oplysninger.

Følsomme oplysninger om både privatpersoner og firmaer ligger på kæmpemæssige servere, som i dag oftere og oftere bliver mål for cyberkriminelles indtrængen. Arkivfoto: Dennis Lehmann
Følsomme oplysninger om både privatpersoner og firmaer ligger på kæmpemæssige servere, som i dag oftere og oftere bliver mål for cyberkriminelles indtrængen. Arkivfoto: Dennis Lehmann

Danmarkshistoriens største hackersag, hvor IT-firmaet CSC og politiet i mere end ti måneder overså et massivt indbrud i deres systemer, får nu chefen for Europols særlige enhed mod IT-kriminalitet, danskeren Troels Ørting Jørgensen, til at advare om, at IT-sikkerheden mange steder, hvor man har med personfølsomme oplysninger at gøre, er for dårlig.

»Generelt set skal der gøres en meget større indsats på sikkerhedsområdet hos både offentlige myndigheder og virksomheder. Der er stadig rigtig mange, som ikke tager det her alvorligt nok endnu,« siger Troels Ørting Jørgensen, der er chef for det såkaldte Cybercrime Center hos den fælles europæiske politimyndighed Europol.

Det kan medføre nye angreb, hvor hackere får adgang til dybt personlige oplysninger om danskerne, hvis ikke IT-sikkerheden forbedres:

»Vi kommer alle mere og mere online. Vi digitaliserer vores hverdag, vores kommunikation, interaktion, handel, og vore personlige oplysninger samles hos supermarkeder, biblioteker, læger, banker samt det offentlige og mange flere. Disse informationer skal beskyttes så godt, det overhovedet er muligt, så uskyldige borgere ikke bliver ofre for kriminalitet og mister penge, informationer eller hæfter for gæld eller handel, som de ikke har foretaget. Det er en løbende omkostning, som man ikke kan negligere – da undladelse vil være fatal,« siger Troels Ørting Jørgensen.

Han suppleres af Thomas Lund-Sørensen, chef for Center for Cybersikkerhed under Forsvarets Efterretningstjeneste (FE) herhjemme:

»Der er plads til forbedring hos både myndigheder og virksomheder. Vores viden viser, at både private virksomheder og offentlige myndigheder kan øge IT-sikkerheden. Den meget alvorlige sag med CSC viser tydeligt, at der er grund til øget opmærksomhed,« siger Thomas Lund-Sørensen.

Truslerne tårner sig op

Kritikken kommer efter, at hackere fra april til august 2012 havde uhindret adgang til millioner af data om danskerne hos CSC. Det drejer sig bl.a. om oplysninger fra politiets kørekortregister, herunder CPR-numre, oplysninger om efterlyste personer i Schengen-registrene samt 10.000 politifolks password og e-mailkonti. Omfanget af angrebet er stadig langt fra fuldt klarlagt, og det kan ikke udelukkes, at oplysningerne er blevet misbrugt.

En af landets førende eksperter i IT-sikkerhed, Peter Kruse fra IT-sikkerhedsfirmaet CSIS, er enig i, at mange af danskernes personfølsomme oplysninger hos myndigheder og virksomheder ikke er beskyttet ordentligt mod angreb:

»Hvis man ikke har styr på IT-sikkerheden i 2013, så er konsekvensen, at de her trusler tårner sig op. Én ting er sikkert, det offentlige og små og mellemstore virksomheder er i høj risiko for lækager af personfølsomme oplysninger.«

Hos Europol advarer Troels Ørting Jørgensen mod at undervurdere de organiserede kriminelle på nettet:

»Mange virksomheder og myndigheder tror, at det er nok med en firewall, et antivirusprogram og en intern procedure. Man er slet ikke klar over den ekspertise, som er hos de organiserede kriminelle på nettet.«

Han understreger, at han ikke vil udtale sig i detaljer om den konkrete danske sag, da Europol i denne uge har sendt to mand til Danmark for at hjælpe med efterforskningen.

»Det er en meget stor og alvorlig sag. Den viser, at det er muligt at begå indbrud hos selv de mest professionelle og bedste IT-operatører.«

Både politiet og CSC har fået kritik for sagen, da det massive dataindbrud kun blev opdaget ved et tilfælde i forbindelse med en parallel svensk politiefterforskning. Det er stadig et åbent spørgsmål, om sagen ellers var blevet opdaget.

Umuligt at holde hackere ude

Hos Center for Cybersikkerhed understreger Thomas Lund-Sørensen, at de allerbedste hackere formentlig ikke kan holdes helt ude.

»Fokus er ved at flytte i dag. Der er hackere, der er i stand til at komme ind i selv de allermest beskyttede netværk. Derfor er fokus i dag på, at man skal opdage, når de er kommet ind og mindre på at forhindre de allerdygtigste i at komme ind,« siger han og uddbyber:»Et stykke avanceret software kan have en million linjer med kode. I en bog af den længde vil der altid være slåfejl, og tilsvarende vil der også altid være programmeringsfejl i avanceret software. De sårbarheder kan udnyttes, og derfor tror vi ikke på absolut sikkerhed. Men i takt med at hackerne bliver dygtigere, skal vi også blive bedre til at beskytte samfundets digitale netværk.«

Mest læste

Vi kan se, at du har installeret en adblocker, så vi ikke kan vise dig annoncer.

Det er vi kede af, fordi indtægter fra annoncer er en helt afgørende årsag til, at vi dagligt kan tilbyde dig journalistik af høj kvalitet.

For få adgang til indhold på b.dk skal du tillade visning af annoncer på b.dk. Se hvordan du gør her..

Tak for din forståelse.

Hov! Hvor blev min artikel af..!?

Du er træt af reklamer. Vi ved det godt! Men de betaler for den artikel, du du sidder og læser. Vi vil derfor sætte stor pris på, at du tilføjer b.dk til din adblocker's "whiteliste".

Tak for din forståelse.