Fremmede magter angriber danske myndigheder med ondsindede PDF'er

Målrettede angreb med vedhæftede PDF-filer, der fører til malware, er en af de trusler, som GovCERT ser mod danske myndigheder hver dag.

Der sker dagligt angreb mod danske ministerier, blandt andet i form af målrettede phishing-forsøg via e-mails, og fremmede stater kan stå bag angrebene.

»Det, vi ser, er forsøg på målrettede angreb med eksempelvis vedhæftede PDF-filer. Målrettede angreb er det, vi bruger mest krudt på, fordi det potentielt har de største skadevirkninger,« siger leder af GovCERT under Forsvarsministeriet Thomas Kristmar til Version2.

GovCERT er en enhed, som blandt andet skal holde øje med, om et angreb mod en dansk myndighed er en enkeltstående begivenhed eller en del af et større angreb. Offentlige myndigheder er blevet nyt mål for hackere, fordi styrelser og ministerier ofte er i besiddelse af fortroligt materiale, der kan være værdifuldt for fremmede stater, der vil opsnappe forretningshemmeligheder for at give deres egne industrier en fordel.

»Forsvarets Efterretningstjeneste skriver i deres seneste risikovurdering, at Danmark bliver udsat for regelmæssige forsøg på indtrængen i danske it- og telesystemer. Den alvorligste trussel kommer fra statslige aktører,« siger Thomas Kristmar.

Han påpeger, at selvom GovCERT også hører ind under Forsvarsministeriet og derfor ikke er en direkte uafhængig kilde, så bekræfter GovCERT's observationer det, der bliver skrevet i risikovurderingen.

Læs også: 19 nye spion-bokse overvåger dine mails til det offentlige

GovCERT benytter Intrusion Detection Systemer, IDS, som er opstillet hos de danske ministerier. De overvåger trafikken ved at se, om de digitale fingeraftryk af kendte angreb passerer forbi, hvilket udløser en alarm.

Samtidig opsamler de netflow-information eller trafikdata, altså hvem der kommunikerer med hvem. Den information lagres i ét år hos GovCERT. Endelig lagrer IDS-systemerne en kopi af al netværkstrafik eller pakkedata lokalt i seks dage.

»Det har vi glæde af hver dag. Det er også nyttigt til at vise, hvor omfattende et angreb er,« forklarer Thomas Kristmar.

Læs også: Nu må dansk cyberforsvar opbevare pakkedata i 3 år

Ifølge Thomas Kristmar er det nødvendigt at have adgang til disse informationer, og selvom der bliver gemt en kopi af trafikken i seks dage, så er det ikke altid længe nok, til at den stadig er tilgængelig, når et angreb skal undersøges, og man eksempelvis skal se, hvordan et konkret angreb så ud.

»Vi tilgår alene pakkedataene, hvis vi har en konkret formodning enten fra en alarm eller et tip fra en anden kilde. Det er vi meget bevidste om,« siger Thomas Kristmar.

GovCERT har hidtil kun overvåget ministerierne, men lovgivningen, der ligger til grund for GovCERT, giver også mulighed for, at tjenesten udvides til regioner, kommuner og virksomheder, der beskæftiger sig med kritisk infrastruktur som eksempelvis energiforsyning.

GovCERT har kørt et mindre pilotprojekt hos en lille håndfuld kommuner og regioner, og det er nu ved at blive evalueret. Blandt andet skal det vurderes, hvorvidt det giver mening at have GovCERT inde i billedet i forhold til niveauet af de trusler, som kommuner og regioner udsættes for.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere