Det Kongelige Bibliotek opdagede indtrængen i deres it-system fra en russisk IP-adresse i sensommeren sidste år. Men da biblioteket derefter orienterede Center for Cybersikkerhed (CFCS) om sagen, vendte CFCS aldrig tilbage på henvendelsen og gik ikke ind i sagen.
Det på trods af, at CFCS selv i sin trusselsvurdering fra februar samme år konstaterede, at »Rusland er en førende aktør på cyberområdet«, og på trods af, at forsvarsminister Claus Hjort Frederiksen (V) i april havde advaret mod russiske hackere i forbindelse med afsløringen af et russisk angreb mod det danske forsvar.
Senioranalytiker Jens Monrad fra den globale it-sikkerhedskoncern FireEye er forundret over CFCS’s passivitet. Den var ikke gået i FireEye, siger han.
»Jeg ville ikke være tilfreds ud fra et efterforskningsmæssigt synspunkt med, at man ikke henter logfiler. Det er klart, at ethvert angreb, hvor nogen bryder ind, bør undersøges. Hvad var formålet, hvad er blevet taget, og hvem kan stå bag? Hvem der står bag kan give et indtryk af, hvad formålet med angrebet er,« forklarer Jens Monrad, men understreger, at han ikke kender CFCS’ ræsonnement i sagen.
Vicedirektør på Det Kongelige Bibliotek med ansvar for it-udvikling og infrastruktur Bjarne Andersen oplyser, at dataene på systemet var offentlige og ikke klassificeret. Hans vurdering er, at angrebet kunne være første skridt i et videre angreb:
»Vores bud er, at det ikke var dataene på serveren, de var på jagt efter, men at kunne anvende serveren til at gøre andre ting, så det fokuserede vi på.«
Ikke en banal fejl
Indtrængningen fra den russiske IP-adresse skete i databasen Diskurs, der indeholder specialer skrevet af studerende fra Københavns Universitet. Den blev oprettet i 2011, og driften af den varetages af Det Kongelige Bibliotek.
I årene efter 2011 havde medarbejdere på biblioteket bemærket, at serveren kørte forældet software, men der var ikke længere nogen, der havde kendskab til, hvordan den skulle opdateres. De overvejede at flytte serveren til et sted på netværket, hvor den ikke kunne gøre skade, men det skete aldrig.
I stedet kom der så en fejlmelding 31. juli sidste år. It-driftsafdelingen kiggede i første omgang på serveren. De troede bare, at de skulle finde en banal fejl. Formentligt var det en disk, der var fyldt. De var i hvert fald blevet gjort opmærksom på, at man ikke længere kunne uploade nye universitetsspecialer til databasen.
Men de måtte bede om hjælp fra udviklerne i huset, og den 8. august konstaterede teknikerne, at der ikke var tale om en fyldt disk.
Serveren var blevet kompromitteret.
En gennemgang af logfilerne viste, at indtrængningen var sket fra den russiske IP-adresse, og at der var pillet ved konfigurationsfilerne på serveren.
CFCS ringede aldrig tilbage
Samme dag ringede en medarbejder fra Det Kongelige Bibliotek til Center for Cybersikkerhed, der er myndighed for blandt andet it-sikkerhed. CFCS er en del af Forsvarets Efterretningstjeneste og hører i sidste ende under forsvarsminister Claus Hjort Frederiksens resortområde.
Det var mindre end fire måneder før angrebet på Det Kongelige Bibliotek, at Claus Hjort Frederiksen havde udtalt sig til Berlingske om det russiske hackerangreb på det danske forsvar.
»Det er meget kontrolleret, det der foregår. Det er ikke små hackergrupper, der gør det for sportens skyld. Det er knyttet til efterretningstjenesterne eller centrale elementer i det russiske styre, og det er en evig kamp for at holde dem væk,« sagde ministeren og kaldte hackingen af Forsvaret for en »meget kritisk situation«.
Alligevel ringede der tilsyneladende ingen alarmklokker, da Det Kongelige Bibliotek, som i øvrigt har hjemme ved siden af Christiansborg, kontaktede Center for Cybersikkerhed og fortalte om den russiske IP-adresse.
I bibliotekets interne notat, som Information har fået aktindsigt i, lyder det:
»Den 8. august 2017 kontakter KB (Det Kgl. Bibliotek, red.) Center For Cybersikkerhed (CFCS) telefonisk for at høre, om de ønsker at gå ind i sagen. Givet servicens karakter med allerede frit tilgængelige data, meddeler CFCS, at de lige vil tænke over det og vende tilbage, såfremt de ønskede at gå yderligere ind i sagen. CFCS vendte ikke tilbage på den telefoniske henvendelse.«
Kom ikke videre ind
Bjarne Andersen fra Det Kgl. Bibliotek siger om angrebet:
»Det er jo typisk, at nogen sidder og sender automatiserede forespørgsler ud til tusindvis af webservere, for at se om der er sårbarheder. Det fandt de så her.«
It-folkene på Det Kongelige Bibliotek så nærmere på trafikken ind og ud af serveren.
»Vi undersøgte, om den russiske IP-adresse havde været forbundet til andre af vores servere, og om der havde været trafik fra serveren til andre af vores interne servere eller omvendt, men det havde der ikke. Vi har nogle ret strenge firewallopsætninger, så de kunne ikke komme videre. Vi konstaterer altså, at de er kommet ind, men ikke er kommet videre derfra,« siger Bjarne Andersen.
Center for Cybersikkerhed bekræfter Det Kongelige Biblioteks udlægning af forløbet. De ønsker dog ikke at stille op til interview om sagen.
Stands ulykken og giv førstehjælp
Thomas Kristmar er tidligere afdelingschef i Center for Cybersikkerhed og er i dag senior manager i rådgivningsgiganten KPMG, hvor han leder arbejdet med cybersikkerhed i Danmark. Han vil ikke kommentere den konkrete sag, men vil gerne fortælle, hvordan KPMG agerer, når deres kunder bliver udsat for hackerangreb:
»Hvis du bliver udsat for cyberangreb, så er det ligesom almindelige ulykker: Stands ulykken og giv livredende førstehjælp. Når vi hjælper virksomheder, der er blevet angrebet, så tjekker vi først om angrebet stadig er i gang, eller om det eventuelt har flyttet sig til andre steder, vi undersøger om det kan forværres, og om man kan isolere det, der er blevet kompromitteret, effektivt.«
Når angrebet så er afværget, skal der efterforskes og ryddes op:
»Den livreddende førstehjælp består af en række skridt: Er der nogen logfiler fra angrebet, man kan kigge på? Hvordan kan systemerne genskabes? Hvordan får man sikret, at hackeren ikke vender tilbage? Derefter skal det meldes til politiet, til Center for Cybersikkerhed og til Datatilsynet. Til allersidst er det vigtigt, at man evaluerer, så man kan blive bedre til næste gang,« siger Thomas Kristmar.
Ethvert angreb bør efterforskes
Jens Monrad fra FireEye roser Det Kongelige Biblioteks ageren:
»De har identificeret problemet, stoppet angrebet og kontaktet CFCS. Der er en medarbejder, der har handlet helt korrekt her,« siger han. Til gengæld finder han det problematisk, at de ikke har haft en plan for at opdatere serveren kontinuerligt.
Men trods den korte afstand, mindre end tre kilometer, mellem CFCS på Kastellet og Det Kgl. Bibliotek, indhentede CFCS altså ikke logfiler eller den russiske IP-adresse, og det undrer senioranalytikeren:
»Hvis nogen indberetter noget, så må man også forvente, at de kan få et klart svar om, hvorvidt det er noget, som de skal være nervøse over, eller om CFCS anser det for at være et tilfældigt eller opportunistisk angreb.«
FireEye var blandt andet involveret i efterforskningen af det store hackerangreb på Demokraterne i forbindelse med det amerikanske valg i 2016, hvor mistanken pegede mod Rusland.
»Man skal selvfølgelig passe på med at drage paralleller til dét angreb eller angrebet på det danske forsvar sidste år. Der sker rigtigt mange cyberangreb, hvor det ikke er statssponserede aktører, der står bag, men hvor formålet i stedet er it-kriminalitet.«
På den anden side kan det også være farligt at undervurdere værdien af den data, der er blevet kompromitteret:
»Det er ikke os, der skal værdisætte dataene. Vi kender ikke angriberens strategiske mål, og bare fordi dataene ikke er følsomme for ejeren, så kan den godt være værdifuld for angriberen,« fortæller Jens Monrad.
Bjarne Andersen fra Det Kongelige Bibliotek mener som sagt, at angrebet kan have været et forsøg på at komme videre til andre servere.
»Det er et plausibelt scenarie,« vurderer Jens Monrad. »Vi ser indimellem, at adgange som denne bliver solgt videre til mere sofistiskerede eller ligefrem statssponserede hackere.«
Det nok fordi det slet ikke var russerne, der var de skyldige.
Men det russiske trusselbilled passer godt til den øjeblikkelige politiske dagsorden.
"Det nok fordi det slet ikke var russerne, der var de skyldige."
Nej. Det er fordi de har så meget at lave grundet russiske angreb at biblioteket er blevet nedprioriteret.
det ligger nok mere i at man ikke havde de medarbejdere der kunne undersøge det.
"det ligger nok mere i at man ikke havde de medarbejdere der kunne undersøge det."
Som jeg skrev "biblioteket er blevet nedprioriteret."
"Danmark blev ramt af mere end 16 millioner hackerangreb i 2017."
En ret utrolig forestillingsverden, at politiet skulle undersøge hver enkelt. En mulig løsning var, at biblioteket fandt ud af at købe noget opdateret software. Det fås for nogenlunde billig penge.
Read more at https://www.computerworld.dk/art/242625/antallet-af-hackerangreb-mod-dan...
Der er vel lige så meget ægte russer i denne historie, som der er i en Russisk salat. Hvis der er noget som helst i denne historie, er det vel at man er utrolig dårlige til at give et feedback på, om hvor risikabel en bestemt it-indtrængen er.
"Sikkerhedsekspert er uforstående"
Men propagandaeksperter gør nok ikke.