Artikel fra DYNAMO nr. 71 og dtu.dk af Sari Vegendal, Foto: Thomas Sørensen.
Identitetstyveri, spionage af statshemmeligheder, krav om løsesummer og lammelse af virksomheder. Det er ikke dommedagsscenarier fra en sci-fi-serie, men reelle eksempler på konsekvenserne af cybertruslen mod Danmark.
I Center for Cybersikkerheds seneste trusselsvurdering lyder det, at risikoen for cyberkriminalitet og -spionage i Danmark er ’meget høj’. Det kom i 2021 til udtryk i 31 rapporteringer fra virksomheder om hackerangreb med krav om løsesummer, også kaldet ransomwareangreb. I det første halvår af 2022 var antallet af denne type angreb, både nationalt og internationalt, fordoblet.
Hackerne bliver dygtigere og dygtigere, de kan tjene meget mere end de narkokriminelle, og risikoen for at blive fanget er som regel lille, forklarer Christian Damsgaard Jensen, der er lektor i it-sikkerhed ved DTU Compute og medlem af cybersikkerhedsrådet. Han hentyder blandt andet til de 48.000 uopklarede sager om økonomisk it-kriminalitet, der lå på Rigspolitiets bord ved udgangen af 2021.
”De danske myndigheder er ikke gearet til denne type kriminalitet. De mangler ressourcer og kan ikke følge med udviklingen. Hovedudfordringen er, at it-kriminalitet per definition er grænseoverskridende, og det betyder, at hackerne kan hoppe fra land til land via netværkene og derigennem slette deres spor for politiet,” forklarer han.
Mennesket som inspiration
Størstedelen af Christian Damsgaard Jensens professionelle karriere er derfor blevet viet til at gøre den ulovlige indtrængen besværlig fra start.
Ligesom hackerne har han været nødt til at tænke abstrakt, kreativt og utraditionelt, og tidligt i processen erkendte han, at mekanismerne bag de eksisterende sikkerhedssystemer ikke er gode nok til at holde de kriminelle på afstand.
I stedet begyndte han at se på menneskelige relationer som sin vigtigste inspirationskilde: Hvordan vurderer vi, hvem vi kan stole på i en situation med et højt trusselsniveau? Og hvad skal der til for at opbygge tillid?
I dag udvikler Christian Damsgaard Jensen sikkerhedssystemer, der interagerer med andre aktører, som mennesker ville gøre det i virkelighedens verden: Jo mere tillid, det har, jo mere åbner det op.
Er aktøren f.eks. ukendt for systemet, bruger det anbefalinger fra andre til at opbygge tillid til vedkommende. Er der ingen anbefalinger at hente, skal den ukendte aktør udvise tillidsvækkende adfærd over en længere periode, eksempelvis ved at acceptere cookies der gør det muligt at genkende aktøren, for at få udvidet adgang til det pågældende system. Genkendelsen af aktører på tværs af systemer gør det muligt at håndhæve restriktioner f.eks. at blokere en bruger, hvis vedkommende skulle have ondt i sinde.
Mødet med hackeren
Evnen til at sætte sig ind i en hackers mindset og tænke i alternative it-løsninger stammer helt tilbage fra 1990, hvor Christian Damsgaard Jensen som studentermedhjælper på KU blev førstehåndsvidne til én af danmarkshistoriens første hackersager.
På det tidspunkt var internettet udelukkende forbeholdt de akademiske miljøer, hvor man stolede blindt på hinanden, og indsigten i internettets skyggesider var meget begrænset hos de fleste.
For Christian Damsgaard Jensen ændrede det sig brat, da en hacker i Roskilde fik adgang til netværket på KU. På det tidspunkt arbejdede han i KU’s EDB-afdelingen på Datalogisk Institut. Men mens de fleste andre steder, hackeren kom ind, lukkede ned, så snart de opdagede ham, øjnede EDB-afdelingen en mulighed for at være fluen på væggen i cyberspace.
”Efter aftale med politiet forblev vi åbne og satte overvågning på alt, hvad han gjorde. Dengang foregik hacking i et tempo, hvor alle kunne følge med, så hver gang han loggede på, blev vi advaret. Så løb vi ind i maskinstuen og sad og så ham over skulderen, mens vi trackede hvert eneste træk han foretog. Det var sindssygt spændende,” husker Christian Damsgaard Jensen.
Overvågningen stod på i flere måneder, hvor EDB-afdelingen på KU forsynede politiet med logfiler over hackerens ageren. Til sidst havde de beviser nok til at anholde fyren, der senere blev dømt for den ulovlige indtrængen. Men selvom sagen var alvorlig, var der ikke tegn på, at hackerens hensigter havde været onde.
”Sådan var det med hackerne dengang. De var bare nysgerrige, for der var ikke de store værdier at komme efter,” siger Christian Damsgaard Jensen og tilføjer:
”Det er noget andet i dag, hvor forretningsverdenen er så stor en del af det digitale liv, og globaliseringen har ændret trusselsbilledet radikalt.”
Må se alle som en potentiel trussel
Netop globaliseringen er ifølge Christian Damsgaard Jensen hovedårsagen til, at sikkerhedssystemerne har svært ved at følge med.
Behovet for digital interaktion på kryds og tværs af landegrænser stiger dag for dag, og det øger hackernes muligheder for at finde smuthuller i de eksisterende sikkerhedssystemer. Systemerne har ifølge Christian Damsgaard Jensen et syn på sikkerhed, der ikke er tidssvarende.
”Historisk set har mennesker bygget en mur rundt om det, vi ville beskytte. Det gjorde vi i middelalderen med en bymur rundt om byerne, og det har vi gjort de sidste 30 år på nettet med en firewall. Ligesom man i middelalderen havde en vagt til at stå og lukke folk ind eller smide dem på porten, laver firewall’en en kritisk filtrering på den trafik, der kommer mod den,” forklarer Christian Damsgaard Jensen.
Problemet er bare, at de fysiske grænser med globaliseringen har rykket sig, og systemerne tager ikke højde for, at potentielle hackere også kan befinde sig inden for murene. Det har medført, at begrebet zero-trust, som Christian Damsgaard Jensens mangeårige forskning bygger på, nu for alvor er begyndt at slå igennem.
”Zero-trust betyder, at systemet ser på alle som potentielt mistænkelige aktører, der skal valideres. Så hvor vi før havde blind tillid til dem, der befandt sig inden for samme firewall som os, skal vi til at se på hver enkelt som en mulig trussel. Alle, man interagerer med, skal bevise sig i en eller anden grad,” siger han.
Tankegangen gennemsyrer allerede mekanismerne i de it-løsninger Christian Damsgaard Jensen har været med til at udvikle til både virksomheder og kommuner. Han tror på, at paradigmeskiftet inden for it-sikkerhed er et betydeligt skridt på vejen mod et mere sikkert cyberspace. Skal trusselsniveauet for alvor ned, mener han dog, det kræver en ændret tankegang hos flere parter. Og ikke mindst handling.
”Om ti år håber jeg, politiet er blevet oprustet så vi har fået bedre styr på it-kriminaliteten. Derudover vil vi stå et meget bedre sted, hvis der kommer et sikkerhedskrav til producenterne af it-produkterne, så virksomheder fra start kan stole på, at sikkerheden er i orden. Vigtigst af alt er det dog, at der rent faktisk bliver arbejdet på at løse problemet – fra alle sider,” siger Christian Damsgaard Jensen.