Det tog 11 timer for Forsvaret at afværge cyberangrebhjemmesider

Forsvaret var flere timer om at opdage, at et cyberangreb var årsag til nedbrud.

Alle forsvarets hjemmesider - blandt andet hjemmesiderne for Forsvarsministeriet, Forsvarets Efterretningstjeneste og Beredskabsstyrelsen - blev 8.-9. december lagt ned af et større cyberangreb. (Foto: © Illustration: Nathalie Nystad)

Klokken 9.38 gik alle Forsvarets hjemmesider ned.

Først fire timer senere opdagede man, at der var tale om et cyberangreb

Og først ud på aftenen, 11 timer senere, lykkedes det at nedkæmpe angrebet.

Det står klart, efter at Forsvarsministeriets Materiel- og Indkøbsstyrelse (FMI) i dag kortfattet har redegjort for det angreb, der 8. december lagde forsvarets hjemmesider ned.

Der var tale om et såkaldt DDoS-angreb, hvor tusindvis af computere på samme tid sender forespørgsler til de samme servere, der så går ned på grund af overbelastningen.

- Cyberangrebet blev udført aktivt med varierende intensitet, skiftede angrebsvektor undervejs, og blev afværget efter 11 timer, skriver Forsvarsministeriets Materiel- og Indkøbsstyrelse i en pressemeddelelse.

I løbet af formiddagen lød beskeden dog, at der kun var tale om en teknisk fejl. Først klokken 13.40 konkluderede man, at der var tale om et overbelastningsangreb, har styrelsen tidligere oplyst til DR.

Forsvarsministeriets Materiel- og Indkøbsstyrelse (FMI) giver kort denne forklaring i et skriftligt svar:

- Det kan generelt være vanskeligt umiddelbart at afgøre, hvorvidt en alarm fra it-infrastruktur om for mange forespørgsler skyldes en intern fejl eller et eksternt forsøg på et DDoS-angreb.

Ekspert: Ikke godt

Lektor i cybersikkerhed ved Center for Digitalisering ved CBS Jan Lemnitzer synes dog ikke, at reaktionstiden er betryggende.

- Man vidste, at noget var galt efter fire minutter, men det tog Forsvaret flere timer at finde ud af, hvad det var. Det er ikke godt, siger han.

- Hvordan kan man være udsat for et Ddos-angreb i fire timer uden at være klar over, hvad der foregår? spørger Jan Lemnitzer.

DR's tech-korrespondent, Henrik Moltke, deler den undren.

- Det er tænkevækkende, at da det samme skete for det svenske Forsvarskmakten ugen før, tog det dem under ti minutter både at opdage og nedkæmpe angrebet, fortæller han.

Oberst: Ingen data gik tabt

Forsvaret lover i pressemeddelelsen, at man vil lære af sine erfaringer fra angrebet.

- Vi drager altid erfaringer fra angreb. Det har vi også gjort i forbindelse med angrebene den 8. og 9. december. Disse erfaringer bidrager til konsolidering og videreudvikling af vores interne procedure, udtaler chef for Koncern IT under Materiel- og Indkøbsstyrelsen, oberst Claus Brixen i pressemeddelelsen.

Forsvaret oplyser også, at angrebet ikke har medført skader.

- Det er samtidig centralt for os, at Forsvarets operative systemer på intet tidspunkt under angrebene var kompromitteret, og at ingen data blev tabt, siger oberst Claus Brixen.

Vigtigt at nedkæmpe angreb hurtigt

Alligevel har den slags angreb en effekt, forklarer DR's tech-korrespondent.

- De her angreb er i høj grad symbolske. Når det lykkedes at lægge hjemmesider ned i så lang tid hos så vigtige myndigheder, så har det psykologiske effekt, at folk bliver lidt ængstelige. Derfor er det vigtigt for at nedkæmpe den slags angreb hurtigt, og derefter at melde ud offentligt hvad man ved, siger Henrik Moltke.

Det vides endnu ikke, hvem der stod bag angrebet, men det er ofte set, at hackergrupper med tilknytning til den russiske stat udfører den slags angreb som led i en hybrid-krig.

- Den åbenlyse gerningsmand er nok Rusland, siger Jan Lennitzer.

- Der er flere gange blevet advaret om truslen mod kritisk IT-infrastruktur i NATO-lande, og jeg tolker, der her som et forsøg på at teste forsvarsværkerne, siger cybersikkerheds-eksperten.

Netop derfor er den sene respons bekymrende, mener han.

Minister har ingen kommentar

Forsvarsministeriets Materiel- og Indkøbsstyrelse skriver i pressemeddelelsen, at man af hensyn til operationssikkerhed ikke vil uddybe sagen yderligere.

DR har forsøgt at få en kommentar fra forsvarsminister Jakob Ellemann-Jensen (V) til angrebet.

Forsvarsministeriet oplyser i et skriftligt svar, at man på nuværende tidspunkt "ikke har yderligere kommentarer omkring overbelastningsangrebet den 8. december 2022, men henviser til FMI".