Sidste sommer blev Det Kongelige Bibliotek i København udsat for et hackerangreb, hvor en server, der arkiverede studerendes universitetsspecialer, blev kompromitteret.
I går kunne Information fortælle, at Center for Cybersikkerhed (CFCS) efterfølgende ikke indhentede bevismateriale i sagen, selv om det skete fra en russisk IP-adresse. Det undrede senioranalytiker Jens Monrad fra den globale it-sikkerhedskoncern, FireEye.
»Jeg ville ikke være tilfreds ud fra et efterforskningsmæssigt synspunkt med, at man ikke henter logfiler. Det er klart, at ethvert angreb, hvor nogen bryder ind, bør undersøges,« sagde han i gårsdagens avis og understregede, at han ikke kender CFCS’ ræsonnement i sagen.
Det skyldes, at CFCS i første omgang afviste at stille op til interview. Men nu forklarer chef for CFCS, Thomas Lund-Sørensen, hvorfor de ikke gik ind i sagen om hackerangrebet på Det Kongelige Bibliotek.
Han peger blandt andet på den russiske IP-adresse som en årsag til, at angrebet ikke anses som en alvorlig sag i CFCS.
»De avancerede angreb kommer ikke fra IP-adresser i oprindelseslandene. Derfor er det næppe organiserede russere, der står bag. Hvem som helst i verden kan bruge en russisk IP-adresse, så det er ikke en sikker indikator på, hvem der står bag,« siger han.
Det er også relevant for CFCS, at der var tale om en uopdateret server.
»Hvis man sætter en server, der ikke er opdateret, på nettet, så er det et spørgsmål om tid, før nogen kommer forbi og får uautoriseret adgang, f.eks. en sikkerhedsforsker eller en scriptkiddie,« lyder det fra Thomas Lund-Sørensen. En scriptkiddie er en person, der bruger andre hackeres software til f.eks. at trænge ind på ikke-opdaterede servere.
Som nævnt i gårsdagens artikel tog Det Kongelige Bibliotek kontakt til CFCS for at orientere dem om angrebet. De to parter aftalte, at CFCS skulle vende tilbage, hvis de ville gå ind i sagen. CFCS endte med at vurdere, at det ikke var relevant for dem at gøre yderligere. De lukkede så sagen dagen efter og noterede i deres system, at det skete efter aftale med Det Kongelige Bibliotek.
Individuel vurdering
Thomas Lund-Sørensen fremfører også serverens indhold og formål som argument for, at Center for Cybersikkerhed ikke indhentede logfiler derfra.
»Det er ikke det store problem, når den data, der ligger på serveren, i forvejen er beregnet til at være offentlig tilgængelig. Havde det været mere beskyttelsesværdig information, så var det noget andet. Men substansen i den her sag er, at den ikke var alvorlig.«
Thomas Lund-Sørensen fortæller, at Center for Cybersikkerhed vurderer hver sag individuelt, før de går ind i dem.
»Det handler f.eks. om, hvor hårdt ramt en virksomhed eller institution er af et angreb. Hvis de siger, at det er et alvorligt problem for dem, så bistår vi selvfølgelig. Angrebets aktualitet spiller også en rolle i vurderingen, ligesom det kan være sager, hvor vi alene har kendskab til angrebet eller ved, hvem der står bag, og hvad formålet er, og så tilbyder vi også vores assistance,« siger han og tilføjer:
»Det vil altid være en individuel vurdering på baggrund af de oplysninger, der foreligger. Er det et følsomt mål, så skal der mindre til, før vi går ind i sagen. I sagen med Det Kongelige Bibliotek var det et relativt ufarligt mål, så det er begrænset, hvor mange resourcer der skal bruges på det.”
Han roser biblioteket for deres ageren i sagen.
»De håndterer angrebet selv og melder det derefter til os. Det er den helt rette måde. Det skal de have stor ros for. Efterfølgende er der så en dialog om, hvorvidt der er yderligere brug for vores kompetencer i forhold til sagens alvorlighedsgrad, og det skønnede vi i fællesskab, at der ikke var.«
Ikke et typisk offer
Thomas Lund-Sørensen understreger, at det er frivilligt, om virksomheder og institutioner, der udsættes for hackerangreb, vil samarbejde med Center for Cybersikkerhed.
»Vi kommer ikke ud til nogen og siger: ’Vi vil have jeres data.’ Vi kommer, hvis vi bliver inviteret eller får en anmodning om bistand, og så har vi en dialog om, hvad der er nødvendigt at gøre i den pågældende situation.«
Han afslutter med at fortælle, at de angreb, Center for Cybersikkerhed typisk ser fra statssponsorerede aktører, er rettet mod klassiske spionagemål som Forsvaret, energisektoren og udenrigspolitiske interesser samt industrispionage mod private virksomheders forretningshemmeligheder.
»Et system for offentliggørelse af universitetsspecialer falder ikke under de mest kritiske systemer, vi har.«
Ifølge en større undersøgelse gennemført af Version2 (555 respondenter) er halvdelen af de it-sikkerhedsprofessionelle ikke begejstrede for CFCS' rådgivning. De mener, at rådgivningen fra Center for Cybersikkerhed f.eks. i forbindelse med hændelser som Meltdown, Spectre, Wannacry og Petya er dårlig eller meget dårlig - og knap halvdelen kan ikke sige den er god. Tankevækkende.