Det er ikke længere nok, at forskere husker at låse døren til kontoret og tager usb-nøglen med sig, hvis de vil beskytte deres data mod at ende i forkerte hænder. En stor del af kriminalteten har nemlig rykket sig fra den fysiske verden til cyberverdenen, og i denne udvikling er dansk forskning et særligt attraktivt mål for cyberangreb. Det viser den seneste trusselsvurdering, som Center for Cybersikkerhed (CFCS) under Forsvarets Efterretningstjeneste udsendte i november sidste år.
CFCS vurderer truslen mod offentlige forskningsinstitutioner i Danmark til at være høj, hvilket er det næsthøjeste trin på deres trusselskala.
– Fremmede stater har vilje, evner og ressourcer til at udføre særligt avancerede cyberangreb, og eksempler fra udlandet viser, at forskningsmiljøer er attraktive og lette mål, skriver CFCS blandt andet i vurderingen og henviser til et studie, der viser at 83 procent af engelske universiteter oplever både flere og mere komplekse forsøg på cyberangreb.
CFCS vurderer truslen mod offentlige forskningsinstitutioner i Danmark til at være høj, hvilket er det næsthøjeste trin på deres trusselskala. Centret lægger også vægt på, at hackere har en relativ nem adgang til dansk forskning, da universiteter og offentlige forskningsmiljøers har tradition for stor åbenhed og vidensdeling.
Vidensdeling svækker sikkerhed
Det er netop traditionen for åbenhed og vidensdeling, der er en af de store udfordringer i forhold til IT-sikkerhed i forskningsverdenen. Den problematik genkender IT-sikkerhedsleder på Syddansk Universitet, Brian Truelsen, som henviser til, at der ofte bliver delt data på tværs af institutioner og landegrænser.
– I forskningsverdenen samarbejder man med folk fra hele verden. Man vil gerne dele sine ideer og forskning med kollegaer rundtomkring – også fra udlandet – så det er naturligt og nødvendigt at få mails og dele dokumenter fra mange samarbejdspartnere. Derfor er man også afhængig af, at samarbejdspartnerne har styr på deres sikkerhed, forklarer han.
Ingen konkrete eksempler
På trods af at forskningsverdenen er et let tilgængeligt mål for hackerangreb, er der endnu ingen konkrete sager eller oplevelser med cyberspionage rettet mod offentlig forskning i Danmark. Det fortæller Henrik Larsen, som er chef for DKCERT, en institution der overvåger sikkerheden på forskningsnettet.
– Vi har ikke oplevet, at forskere i det offentlige har været udsat for spionage, men der er visse indikationer på, at der sikkert sker noget og en meget høj sandsynlighed for, at det kan ske, understreger han og henviser til, at der er flere eksempler på cyberspionage mod private, forskningstunge, virksomheder i Danmark. Derfor forventer man også, at der bliver spioneret mod offentlig forskning, “og det kan også foregå lige nu uden overhovedet at blive opdaget,” siger Henrik Larsen.
Hvorfor er dansk forskning interessant?
Hvis fremmede stater skaffer sig adgang til forskningsresultater og anden intellektuel ejendom, der endnu ikke er offentliggjort, kan det få store konsekvenser for Danmark.
Der er flere grunde til, at fremmede stater kan være interesserede i at hacke danske forskningsmiljøer, står der i CFCSs trusselsvurdering.
– En årsag er kommerciel og konkurrencemæssig fordel. Dansk forskning er i skarp international konkurrence om at komme først med forskningsresultater, sikre finansiering og rekruttere de bedste forskere og studerende. Det er sandsynligt, at flere fremmede stater aktivt er med til at sikre konkurrencefordel for egne universiteter og forskere, skriver CFCS.
CFCS udpeger forskellige forskningsområder, som er mere interessante for udenlandske øjne end andre. Blandt andet bliver Syddansk Universitets Center for War Studies nævnt som et af de særligt udsatte forskningsområder. Ligesom et nyt forskningsprojekt på Syddansk Universitet, der skal gøre Danmark til et førende land i udvikling af droner, også fremhæves.
– Hvis fremmede stater skaffer sig adgang til forskningsresultater og anden intellektuel ejendom, der endnu ikke er offentliggjort, kan det få store konsekvenser for Danmark. Det kan også skade danske universiteters ry og skabe problemer med fremtidig finansiering, rekruttering og mulighed for samarbejde, står der i trusselsvurderingen.
Ikke noget man taler om
Man taler ikke højt om sådan nogle sager. Hvis man indrømmer, at man ved, hvad der foregår, giver man modstanderen et godt kort på hånden.
Af hensyn til IT-sikkerheden ønsker Brian Truelsen fra Syddansk Universitet ikke at sige noget om, hvorvidt der bliver taget særligt hensyn til de udpegede forskningsområder.
– Det kan jeg ikke udtale mig om, men jeg kan sige, at vi er opmærksomme på, at alle har nogle gode løsninger. Vi skal hele tiden passe på ikke at komme til at blotlægge informationer med interesse for andre, siger han.
Henrik Larsen fra DKCERT beskriver også frygten for at afsløre detaljer om sikkerhedssystemer, der kan hjælpe hackere, ligesom man sjældent ønsker at svare på, om det er lykkes nogen at bryde gennem en institutions sikkerhedsnet.
– Man taler ikke højt om sådan nogle sager. Hvis man indrømmer, at man ved, hvad der foregår, giver man modstanderen et godt kort på hånden, nemlig at man overvåger angrebet. Overvågningen kan i nogle tilfælde føre til, at man får et overblik og kan komme med modforanstaltninger, forklarer Henrik Larsen og referer til de eksempler, der har været på spionage i private virksomheder. Reaktionen vil være den samme, hvis et universitet bliver udsat for et cyberangreb, siger han.
Problemets omfang
Når vi siger cyberspionage, er der tale om statssponsorerede angreb, som andre lande står bag
Hvor cyberspionage indtil videre blot er en trussel mod den danske forskningsverden, sker der dagligt forsøg på cyberkriminalitet, der er en ud af flere former for cyberangreb.
– Når vi siger cyberspionage, er der tale om statssponsorerede angreb, som andre lande står bag. Cyberkriminalitet kan sammenlignes med tyverier, som vi oplever på gaden, og det bliver typisk udført af organiserede grupper, men foregår også uorganiseret, fortæller Henrik Larsen og understreger, at der er en gråzone mellem de to former for cyberangreb.
Ifølge Center for Cybersikkerhed er phishing en udbredt angrebsmetode, som stadigt flere institutioner bliver ramt af. Det bekræfter Henrik Larsen og forklarer, hvordan et sådant angreb kan foregå.
– Phishing er et internetfænomen, hvor svindlere udgiver sig for at være nogle andre, og forsøger at narre brugeren til at give oplysninger som brugernavn, adgangskode, eller bankoplysninger. Med denne metode udnytter man, at folk er godtroende og tillidsfulde, og det sker overalt også blandt forskere, siger chefen for DKCERT, der ikke kan give et konkret bud på omfanget af forsøg på cyberkriminalitet rettet mod forskningsverdenen, andet end at det er stort og foregår dagligt.
Når et phishing-angreb lykkes, er det sjældent, fordi IT-systemerne fejler. Det er oftere brugeren, der bliver narret. Også her gør traditionen for åbenhed forskningsverdenen til et sårbart område.
– Forskere arbejder udadvendt og præsenterer tit deres viden i offentligheden. Det er derfor ikke ualmindeligt for dem at være i kontakt med mange forskellige mennesker og modtage e-mails fra nye bekendtskaber, skriver CFCS i sin trusselsvurdering.
Hvad gør de for at undgå det
På SDU kender de ikke til det præcise omfang af forsøg på cyberkriminalitet, fortæller IT-sikkerhedslederen, Brian Truelsen.
– På Syddansk Universitet modtager vi 120 milioner mails om året, hvor 80 milioner af dem bliver sorteret fra, som værende ikke reelle henvendelser. Det kan både være phishing og andre typer ikke reelle henvendelser.
For at imødegå problemet med cyberangreb, bliver de 80 millioner mails automatisk sorteret fra gennem et mailscannersetup, der måler på forskellige parametre. Men hvis nogle forsøg slipper igennem dette setup, er der andre typer forsvar, som beskytter brugeren, forklarer Brian Truelsen, der ikke ønsker at fortælle mere om, hvordan universitetet imødegår den store trussel.
Udover systematiske løsninger bliver der også lavet forskellige oplysningskampagner på Syddansk Universitet, som giver medarbejdere og studerende gode råd til det daglige arbejde med computeren. Der bliver afholdt informationsmøder på institutterne, og det bliver også kommunikeret til brugerne, hvis det vurderes, at der er særligt mange af en type angreb i en periode, siger IT-sikkerhedschefen og slår en pointe fast:
– I gamle dage var der kun få computere på universitetet, idag har alle ansatte en computer. I dag er alting opkoblet til nettet – både de ansatte og studerendes computere, og udstyret i forsknings- og undervisningslokalerne. Derfor er det vigtigt at tænke awareness omkring it-kompentencer ind hos den enkelte medarbejder. Man kan sætte nok så mange systemer op, men hvis brugerne ikke er opmærksomme, så hjælper det ingenting.
Hackerne er blevet bedre
På samme måde som man skal huske at låse døren til sit kontor og ikke have nøglen liggende tilgængelige steder, skal man gøre det i cyberverdenen
Men det kan være svært for brugere at opdage forsøg på eksempelvis phishing, fordi hackerne i løbet af de seneste år er blevet dygtigere, fortæller Brian Truelsen.
– Før i tiden var den slags mails ofte formuleret ubehjælpsomt, men i dag er de skrevet på godt dansk, der optræder et reelt firmanavn, og der kan være links eller vedhæftede filer i mailen, som virker troværdige.
Derfor skal man som bruger være ekstra opmærksom, hvis eksempelvis en phishingmail skulle slippe igennem IT-sikkerhedssystemet, siger han og sammenligner det med sikkerheden i den fysiske verden:
– På samme måde som man skal huske at låse døren til sit kontor og ikke have nøglen liggende tilgængelige steder, skal man gøre det i cyberverdenen – hvis man lader døren stå åben, er der også mulighed for, at uønskede gæster kommer ind.
