Fremmede magter angriber danske myndigheder med ondsindede PDF'er
Der sker dagligt angreb mod danske ministerier, blandt andet i form af målrettede phishing-forsøg via e-mails, og fremmede stater kan stå bag angrebene.
»Det, vi ser, er forsøg på målrettede angreb med eksempelvis vedhæftede PDF-filer. Målrettede angreb er det, vi bruger mest krudt på, fordi det potentielt har de største skadevirkninger,« siger leder af GovCERT under Forsvarsministeriet Thomas Kristmar til Version2.
GovCERT er en enhed, som blandt andet skal holde øje med, om et angreb mod en dansk myndighed er en enkeltstående begivenhed eller en del af et større angreb. Offentlige myndigheder er blevet nyt mål for hackere, fordi styrelser og ministerier ofte er i besiddelse af fortroligt materiale, der kan være værdifuldt for fremmede stater, der vil opsnappe forretningshemmeligheder for at give deres egne industrier en fordel.
»Forsvarets Efterretningstjeneste skriver i deres seneste risikovurdering, at Danmark bliver udsat for regelmæssige forsøg på indtrængen i danske it- og telesystemer. Den alvorligste trussel kommer fra statslige aktører,« siger Thomas Kristmar.
Han påpeger, at selvom GovCERT også hører ind under Forsvarsministeriet og derfor ikke er en direkte uafhængig kilde, så bekræfter GovCERT's observationer det, der bliver skrevet i risikovurderingen.
GovCERT benytter Intrusion Detection Systemer, IDS, som er opstillet hos de danske ministerier. De overvåger trafikken ved at se, om de digitale fingeraftryk af kendte angreb passerer forbi, hvilket udløser en alarm.
Samtidig opsamler de netflow-information eller trafikdata, altså hvem der kommunikerer med hvem. Den information lagres i ét år hos GovCERT. Endelig lagrer IDS-systemerne en kopi af al netværkstrafik eller pakkedata lokalt i seks dage.
»Det har vi glæde af hver dag. Det er også nyttigt til at vise, hvor omfattende et angreb er,« forklarer Thomas Kristmar.
Ifølge Thomas Kristmar er det nødvendigt at have adgang til disse informationer, og selvom der bliver gemt en kopi af trafikken i seks dage, så er det ikke altid længe nok, til at den stadig er tilgængelig, når et angreb skal undersøges, og man eksempelvis skal se, hvordan et konkret angreb så ud.
»Vi tilgår alene pakkedataene, hvis vi har en konkret formodning enten fra en alarm eller et tip fra en anden kilde. Det er vi meget bevidste om,« siger Thomas Kristmar.
GovCERT har hidtil kun overvåget ministerierne, men lovgivningen, der ligger til grund for GovCERT, giver også mulighed for, at tjenesten udvides til regioner, kommuner og virksomheder, der beskæftiger sig med kritisk infrastruktur som eksempelvis energiforsyning.
GovCERT har kørt et mindre pilotprojekt hos en lille håndfuld kommuner og regioner, og det er nu ved at blive evalueret. Blandt andet skal det vurderes, hvorvidt det giver mening at have GovCERT inde i billedet i forhold til niveauet af de trusler, som kommuner og regioner udsættes for.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
