It-sikkerhed? Det kigger vi på i morgen

Undgå at blive den næste skydeskive 

Når du hører om cyberangreb i medierne, er det oftest større virksomheder, det er gået ud over.  

Men hackere finder i høj grad også frem til mindre virksomheder, som ikke regner med angrebet og derfor måske ikke har givet cybersikkerheden den nødvendige opmærksomhed. 

Center for Cybersikkerheds (CFCS) skriver således i i trusselsvurderingen ‘Cybertruslen mod Danmark’, som er fra maj sidste år: 

“Små- og mellemstore virksomheder går dog ikke fri af truslen fra ransomware. Opportunistiske cyberkriminelle går efter ofre, de nemt kan kompromittere. Der er 

ikke nødvendigvis samme fokus på cybersikkerhed i mindre virksomheder, og de kan derfor udgøre lavthængende frugter for cyberkriminelle.” 

Siden denne vurdering blev foretaget, er truslen mod de danske it-systemer ikke just blevet mindre. Eksempelvis hævede CFCS således trusselsniveauet for destruktive cyberangreb fra lav til middel i en særskilt trusselsvurdering udgivet 4. juni i år.  

Myndigheden definerer kort fortalt et destruktivt cyberangreb som et angreb, hvor den forventede effekt er død eller personskade, betydelig skade på fysiske objekter og ødelæggelse eller forandring af informationer, data eller software.  

Ransomware nævnes som et middel til destruktive cyberangreb. Ransomware-angreb i den sammenhæng adskiller sig fra den gængse type ved, at data ikke umiddelbart kan dekrypteres igen. Jævnfør skade på data/informationer. 

I maj 2023-vurderingen understreger CFCS, at “Det er meget sandsynligt, at danske virksomheder og myndigheder fortsat vil blive ramt af hyppige forsøg på cyberkriminalitet.” 

Ransomware med og uden kryptering af data 

Målrettede ransomware-angreb er den mest synlige cybertrussel mod Danmark ifølge rapport fra CFCS.  

Dvs angreb, hvor kriminelle gør data og systemer utilgængelige ved at kryptere dem og kræver en løsesum, typisk i form af kryptovaluta, for at genoprette adgangen. Ofrene trues også ofte med, at de stjålne informationer vil blive offentliggjort, hvis ikke løsesummen betales. 

CFCS nævnes også en afart heraf, hvor der foregår afpresning uden at kryptere data. Her “stjæler kriminelle viden fra virksomheder og truer med at lække eller sælge 

dem”, hvis ikke de får deres løsesum. Selvom driften i dette tilfælde ikke påvirkes på samme måde, som hvis dine data er krypterede og utilgængelige, er skaden er stadig betragtelig, fremgår det af CFCS-vurderingen: 

“Ud over de umiddelbare konsekvenser, såsom eventuelle GDPR-bøder og tab af omdømme og derved kunder eller markedsværdi, kan angrebene også give mere langsigtede tab, hvis forretningshemmeligheder bliver delt.” 

BEC-svindel  

En anden, betydelig trussel, som CFCS fremhæver, er Business Email Compromise (BEC)-svindel. Her forsøger kriminelle at franarre penge fra virksomheder gennem falske anmodninger om pengeoverførsler.  

Dette kan omfatte kompromittering af legitime mailkonti for at sende falske fakturaer eller ændre oplysninger i eksisterende fakturaer. CFCS nævner, at "kriminelle kan eksempelvis sende falske fakturaer eller ændre oplysningerne i ellers legitime fakturaer."  

BEC-svindel kræver ikke nødvendigvis kompromittering af en mailkonto. Kriminelle kan også blot efterligne en legitim mailadresse eller bruge viden om virksomheden for at få deres mails til at virke overbevisende. CFCS understreger, at "kriminelle kan også bruge viden om virksomheden eller myndigheden og dens medarbejdere til at få deres mails til at virke overbevisende."