Ni ud af ti kommuner har været udsat for cyberangreb i år

Krypteret data, afpresningsangreb, overophedede hjemmesider. Danske kommuner bruger flere penge på at sikre sig mod cyberkriminelle, alligevel bliver angrebene flere og mere avancerede.

Det er ofte skolenetværk, som rammes af ransomware-angreb, viser DR Nyheders rundspørge til de danske kommuner. (Foto: STEFFEN ORTMANN © Scanpix)

Da der i foråret blev afholdt terminsprøver på skolerne i Hørsholm Kommune, blev skolenetværket ramt af et cyberangreb.

I seks timer var nettet lagt ned, og eleverne kunne gå hjem uden svedige håndflader.

Også Odense Kommune har været udsat for et cyberangreb, da en medarbejder aktiverede et link i en mail, der udløste et afpresningsangreb, som krypterede kommunens fællesdrev. 2.000 af kommunens ansatte mistede adgangen til drevet, der først var oppe at køre tre dage senere.

Og i sidste uge blev Lyngby-Taarbæk Kommune lagt ned af et såkaldt DDos-angreb. I to timer kunne medarbejdere og borgere ikke komme ind på kommunens netværk.

Ransomware

Ransomware kommer af det engelske ord for løsesum: "ransom".

Ofrene skal nemlig betale en løsesum, hvis de vil have adgangen til deres computer eller programmer tilbage.

Bagmændene bruger blandt andet virus-inficerede hjemmesider til at skaffe sig adgang til ofrenes computere.

- I stedet for at gå ned og købe maling til at tegne grafitti på rådhuset, kan man købe sådan et angreb for 10 dollars, det er nemmere, billigere og gør mere skade, siger Mikkel Arp, der er it-chef i Lyngby-Taarbæk Kommune.

Kriminelle vil have løsesum

En rundspørge til de danske kommuner foretaget af DR Nyheder viser, at de ovennævnte eksempler slet ikke er enestående.

Tværtimod har 47 af de 54 kommuner, som har svaret på rundspørgen, oplevet et brud på it-sikkerheden i 2016.

Typisk er kommunerne udsat for et såkaldt ransomware-angreb, et afpresningsangreb der låser filerne på kommunens netværk og først åbnes igen, når it-kriminelle får udbetalt en løsesum.

DDos-angreb

DDos (Distributed Denial of Service: distribueret servicenægtelse) er betegnelsen for et cyberangreb, der bevidst overbelaster en internetserver eller et netværk i sådan en grad, at serveren ikke kan besvare reelle forespørgsler, og det derfor ikke er muligt at komme i kontakt med serveren.

Til dette formål bruges et computerprogram som er spredt til adskillige andre maskiner på nettet, hvor de alle på én gang i én uendelighed forespørger den samme internetadresse. Da bedriften er et decideret angreb, kalder man det et DDoS-angreb.

Oftest løses hackerangrebet ved, at kommunens it-afdeling geninstallerer de inficerede computere og genskaber filerne fra en backup-kopi.

Og så er det kun dagens arbejde, der forsvinder.

- Det har negativ påvirkning på forretningen, når vi skal bruge tid på reetablering. Men vi har kunnet reetablere, skriver en kommune, der ønsker at være anonym.

Ekspert: Det halter med sikkerheden

Angrebene mod de danske kommuner har taget fart siden den første bølge ramte i 2015, viser svarene.

Få kommuner havde været ude for egentlige angreb før 2015, men siden er omfanget gået lodret op. Ifølge en ny rapport fra Europol er cyberkriminalitet nu større end traditionel berigelseskriminalitet i flere EU-lande.

Det mærker kommunerne også. De fortæller, at bliver både flere og mere avancerede angreb:

- Der er en klar, stigende tendens. Truslerne bliver flere og mere avancerede. It- og digitalisering breder sig til flere og flere områder, hvilket ligeledes øger behovet for håndtering af cybersikkerhed, skriver Favrskov Kommune i svaret til DR Nyheder.

Henrik Larsen er chef for DK Cert, en statslig enhed som overvåger truslen fra it-kriminalitet mod dansk forskning og uddannelse. Han har læst kommunernes svar i rundspørgen.

Henrik Larsen kalder svarene for 'brogede', men mange af svarene bekymrer ham:

- Generelt vil jeg sige, at det halter med sikkerheden. Der er endda kommuner, der siger, at de har oplevet færre angreb på det sidste og derfor har kunnet spare lidt på sikkerhedsbudgettet. Det tror jeg ikke er vejen frem, siger Henrik Larsen.

Burde være 100 procent

At ni ud af ti kommuner oplyser, at de er har været ramt af angreb i 2016, har Henrik Larsen svært ved at tro på, for alle bliver ramt i det nuværende, accelererende trusselsbillede, mener han.

CEO-fraud

CEO-fraud er en ny type svindel, hvor it-kriminelle kontakter regnskabsmedarbejdere i virksomheder og udgiver sig for at være topchefen. Regnskabsmedarbejderne bliver lokket til at overføre store millionbeløb i euro, pund eller dollars.

Flere og flere virksomheder bliver udsat for CEO-fraud, som potentielt kan ende med at koste mange penge. Ifølge FBI mistede cirka 7.000 amerikanske virksomheder 750 millioner dollar fra oktober 2013 til august i år i lignende sager.

Flere kommuner fortæller, at de har været udsat for CEO-fraud - der er dog ikke eksempler på, at kommunerne har mistet penge på angrebene.

- Med det pres, der er udefra, er forventningen, at kommunerne har oplevet flere sikkerhedsbrud i år. Hvis man havde tilstrækkelig kendskab til, hvad der foregår på ens netværk, så havde jeg forventet, at 100 procent havde svaret, at de havde været udsat for en sikkerhedshændelse. Det er massivt, hvad der er af malware (ondsindet software, red.) for tiden, siger Henrik Larsen.

Gert Læssøe Mikkelsen er it-sikkerhedsekspert på Alexandra Instituttet, en non-profit-organisation, der udbreder forskning om it. Han er heller ikke overrasket over, at så mange kommuner er ramt.

- En kommune er en forholdsvist stor organisation med mange brugere, så selvfølgelig prøver de også at gå efter kommunerne, lige som de prøver at gå efter private virksomheder og personer, siger han.

- Der mangler et budget

Kun et fåtal af kommunerne har svaret, at de har et decideret budget for it-sikkerhed. Typisk er it-sikkerheden lagt sammen med det generelle it-budget. Og det er en fejl, mener Henrik Larsen.

- Det virker meget bekymrende, at man ikke har sat et budget af til it-sikkerhed. Man siger, at det er en del af det generelle it-budget, men min erfaring fra uddannelses- og forskningsinstitutionerne er, at it-sikkerhed har det med at forsvinde, når der er udvikling, skal anskaffes nye systemet eller en maskinpark skal opgraderes; så mister it-sikkerhed fokus og prioritering.

- Hvis ikke der er et budget, der er snøret af til it-sikkerhed, så er der risiko for, at det forsvinder ud i det store budget, siger han.

Gert Læssøe Mikkelsen glæder sig omvendt over, at kommunerne tager it-kriminalitet meget alvorligt, og at de forventer at bruge flere penge på at sikre sig de kommende år.

- De fleste kommuner har en forventning om, at de kommer til at bruge flere penge på at beskytte sig mod cyberangreb, og det er forventeligt. Men det er også betryggende, at kommuner ser ud til at tage det seriøst og bruge flere penge på det, siger han.

Om rundspørgen

  • For en måned siden udsendte DR Nyheder en rundspørge til de danske kommuner. Siden har i alt 54 af landets 98 kommuner besvaret spørgsmålene.
  • Kommunerne har forholdt sig til, hvad der bruges af penge på it-sikkerhed, om de har et budget, hvor stort budgettet er, om udgifterne er stigende og så spørges der ind til generelle erfaringer omkring cyberangreb.
  • I rundspørgen har DR Nyheder defineret et 'succesfuldt' cyberangreb som en cybersikkerhedshændelse. Der er altså tale om et decideret brud på sikkerheden, hvor it-kriminelle har fået adgang til kommunernes systemer.
  • Det er dog ikke alle kommuner, der har tolket cybersikkerhedshændelse efter hensigten. Derfor er der en metodisk usikkerhed omkring det spørgsmål. Langt størstedelen har dog tolket en cybersikkerhedshændelse som et decideret brud på it-sikkerheden og en adgang for kriminelle til kommunens systemer.