Europol og FE-chef advarer: IT-sikkerhed er for dårlig

»Generelt set skal der gøres en meget større indsats på sikkerhedsområdet hos både offentlige myndigheder og virksomheder. Der er stadig rigtig mange, som ikke tager det her alvorligt nok endnu,« siger Troels Ørting Jørgensen, der er chef for det såkaldte Cybercrime Center hos den fælles europæiske politimyndighed Europol.

Det kan medføre nye angreb, hvor hackere får adgang til dybt personlige oplysninger om danskerne, hvis ikke IT-sikkerheden forbedres:

»Vi kommer alle mere og mere online. Vi digitaliserer vores hverdag, vores kommunikation, interaktion, handel, og vore personlige oplysninger samles hos supermarkeder, biblioteker, læger, banker samt det offentlige og mange flere. Disse informationer skal beskyttes så godt, det overhovedet er muligt, så uskyldige borgere ikke bliver ofre for kriminalitet og mister penge, informationer eller hæfter for gæld eller handel, som de ikke har foretaget. Det er en løbende omkostning, som man ikke kan negligere – da undladelse vil være fatal,« siger Troels Ørting Jørgensen.

Han suppleres af Thomas Lund-Sørensen, chef for Center for Cybersikkerhed under Forsvarets Efterretningstjeneste (FE) herhjemme:

»Der er plads til forbedring hos både myndigheder og virksomheder. Vores viden viser, at både private virksomheder og offentlige myndigheder kan øge IT-sikkerheden. Den meget alvorlige sag med CSC viser tydeligt, at der er grund til øget opmærksomhed,« siger Thomas Lund-Sørensen.

Kritikken kommer efter, at hackere fra april til august 2012 havde uhindret adgang til millioner af data om danskerne hos CSC. Det drejer sig blandt andet om oplysninger fra politiets kørekortregister, herunder CPR-numre, oplysninger om efterlyste personer i Schengen-registrene samt 10.000 politifolks password og e-mailkonti. Omfanget af angrebet er stadig langt fra fuldt klarlagt, og det kan ikke udelukkes, at oplysningerne er blevet misbrugt.

En af landets førende eksperter i IT-sikkerhed, Peter Kruse fra IT-sikkerhedsfirmaet CSIS, er enig i, at mange af danskernes personfølsomme oplysninger hos myndigheder og virksomheder ikke er beskyttet ordentligt mod angreb:

»Hvis man ikke har styr på IT-sikkerheden i 2013, så er konsekvensen, at de her trusler tårner sig op. Én ting er sikkert, det offentlige og små og mellemstore virksomheder er i høj risiko for lækager af personfølsomme oplysninger.«

Hos Europol advarer Troels Ørting Jørgensen mod at undervurdere de organiserede kriminelle på nettet:

»Mange virksomheder og myndigheder tror, at det er nok med en firewall, et antivirusprogram og en intern procedure. Man er slet ikke klar over den ekspertise, som er hos de organiserede kriminelle på nettet.«

Han understreger, at han ikke vil udtale sig i detaljer om den konkrete danske sag, da Europol i denne uge har sendt to mand til Danmark for at hjælpe med efterforskningen.

»Det er en meget stor og alvorlig sag. Den viser, at det er muligt at begå indbrud hos selv de mest professionelle og bedste IT-operatører.«

Både politiet og CSC har fået kritik for sagen, da det massive dataindbrud kun blev opdaget ved et tilfælde i forbindelse med en parallel svensk politiefterforskning. Det er stadig et åbent spørgsmål, om sagen ellers var blevet opdaget.

Hos Center for Cybersikkerhed understreger Thomas Lund-Sørensen, at de allerbedste hackere formentlig ikke kan holdes helt ude.

»Fokus er ved at flytte i dag. Der er hackere, der er i stand til at komme ind i selv de allermest beskyttede netværk. Derfor er fokus i dag på, at man skal opdage, når de er kommet ind og mindre på at forhindre de allerdygtigste i at komme ind,« siger han og uddbyber:

»Et stykke avanceret software kan have en million linjer med kode. I en bog af den længde vil der altid være slåfejl, og tilsvarende vil der også altid være programmeringsfejl i avanceret software. De sårbarheder kan udnyttes, og derfor tror vi ikke på absolut sikkerhed. Men i takt med at hackerne bliver dygtigere, skal vi også blive bedre til at beskytte samfundets digitale netværk.«

Dagens Gossip