Perspektiver og nyheder om

cyberforsvar der virker


2018-04-25 13:11 | Thore West Eilersen

Det generelle trusselsbillede: Statslige aktører

I vores forrige blogpost om cybertruslen beskrev vi vores generelle syn på cybertruslen rettet mod Danmark og danske virksomheder. Truslen er dog varieret og udspringer fra forskellige aktører. I denne blogpost beskriver vi vores syn på truslen fra statslige aktører. Følgende posts vil beskrive truslen fra cyberkriminelle, insidere, hacktivister og endeligt truslerne forbundet med internettets natur.

Cyberspionage

Den største cybertrussel mod danske virksomheder kommer fra fremmede stater, der gør brug af cyberspionage til at fremme deres nationale strategiske, politiske og økonomiske interesser. Spionagen udføres af statsansatte hackere ansat af sikkerheds- og efterretningstjenester og af grupper, der arbejder på freelance basis eller for it-sikkerhedsfirmaer. Overordnet benævnes disse hackere som statsstøttede. Der er dermed tale om personer, der har de rette tekniske færdigheder, rigeligt med ressourcer og en opgave der skal løses.

Truslen fra statsstøttede aktører, der udfører cyberspionage er ikke ny. Alene siden 2010 er en række større og mindre hændelser tilskrevet til statslige aktører blevet offentligt beskrevet. Eksempler fra 2010 og 2011 inkluderer Operation Aurora, der muligvis resulterede i kompromitteringer af Google, Adobe, Symantec, Northrop Grumman, ExxonMobil og Dow Chemical (1), og Operation Night Dragon (2), der var rettet mod olie- og energiselskaber verden over. Nyere eksempler inkluderer kompromitteringen af sundhedsforsikringsvirksomheden Anthem i 2015 (3) og Operation Cloud Hopper fra 2017 (4). Fælles for disse kampagner er, at hackerne med stor sandsynlighed havde adgang til de ramte systemer gennem længere perioder, og derfor var i stand til at stjæle værdifuld information.

Danmark er et videnssamfund, og danske virksomheder lever i høj grad af at sælge produkter, der kræver stor specialisering og særlig viden for at kunne blive produceret. Det er særligt denne viden, som de statslige aktører er interesserede i.

Version2 - Rapport afslører: Dansk teknologivirksomhed hacket i årevis
DR.dk - Fremmed stat spionerede mod dansk ministerium
DR.dk - Stor dansk virksomhed udsat for cyberspionage

Sandsynlige statsstøttede hackere rammer også Danmark (i,ii,iii)

Direkte og indirekte mål

Danske virksomheder er desuden både de direkte og indirekte mål for de statslige aktører.

De direkte mål udgøres i hovedreglen af produktionsvirksomheder, der producerer og sælger alt fra medicin til havvindmøller. Virksomhederne ligger dermed inde med viden, der kan bruges til at støtte økonomiske mål i andre lande. I særlige tilfælde ligger virksomhederne dog også inde med viden, der kan understøtte strategiske eller politiske interesser.

De indirekte mål udgøres i stedet af virksomheder, der leverer ydelser, såsom rådgivning, til andre virksomheder. De indirekte mål søges kompromitteret fordi hackerne kan bruge dem som springbræt til at kompromittere det egentlige mål. Dette kan de for eksempel gøre ved at udnytte den tillid der er virksomhederne imellem til at sende e-mails, der skal lokke information ud af modtagerne.

Det er dog vanskeligt, at sætte en værdi på hvad denne viden koster, ikke mindst fordi tabet ikke materialiserer sig øjeblikkeligt. Det sker først når kontrakter begynder at blive underbudt eller når billigere produkter, baseret på stjålen viden, begynder at udkonkurrere danske virksomheders.

I 2011 vurderede den engelske regering i en rapport, at tyveri af intellektuel ejendom årligt kostede britiske virksomheder £9,2 mia. og industrispionage £7,6 mia., samlet set £16,8 mia (5). I USA anslog FBI i 2013, at industrispionage koster amerikanske virksomheder $13 mia. om året (6). Tænketanken Institute for Critical Infrastructure Technology (ICIT) anslår, at tyveri af intellektuel ejendom årligt koster det amerikanske samfund mellem $300 - $500 mia (7). Den tyske sikkerhedstjeneste BfV anslår, at industrispionage overordnet set også koster tyske virksomheder milliarder af euro om året (8).

Der findes ikke statistik over den værdi, der går tabt på årsbasis i Danmark som følge af cyberspionage mod danske virksomheder. Baseret på eksemplerne fra Storbritannien, USA og Tyskland, er det dog sandsynligt, at danske virksomheder årligt mister et milliardbeløb som følge af tyveri af intellektuel ejendom og forretningshemmeligheder udført ved hjælp af cyberspionage.

CFCS - Når Danmark sover - fjendtlig opmarch på usikre servere
CFCS - KingOfPhantom - Bagdør til hovedmålet

Publikationer fra Center for Cybersikkerhed om sandsynlige statsstøttede hackeres aktiviteter i Danmark (iv,v)

Foruden truslen fra cyberspionage kan danske virksomheder også blive mål for deciderede cyberangreb udført af statslige aktører. Risikoen for sådanne direkte angreb er dog lille på nuværende tidspunkt, men kan ændre sig, hvis Danmark deltager i en politisk konflikt med et land med store kapaciteter på cyberområdet. Danske virksomheder har dog allerede mærket de afledte effekter af cyberangreb udført af statslige aktører mod andre mål.

Et eksempel på dette er NotPetya cyberangrebene, som endte med at koste A.P. Møller-Mærsk mellem DKK 1,3 og 1,9 mia. Det er sandsynligt, at dette angreb var et målrettet statsstøttet cyberangreb mod et andet land end Danmark.

Det er meget sandsynligt, at det er en tendens der vil fortsætte.

Afrunding

De statslige aktører er de farligste modstandere, som danske virksomheder står overfor i cyberspace. De har rigeligt med ressourcer og kapaciteter, men mest væsentligt har de motivationen til at bryde ind i virksomheder verden over – også i Danmark.

Disse aktører bliver ved til de når deres mål.

Det gælder dog stadigvæk, at de tekniske virkemidler og sårbarheder, som udnyttes af alle ondsindede aktører i cyberspace i bund og grund er de samme. Dermed gælder det samme heldigvis for de forsvarsmekanismer og procedurer, der skal til for at minimere truslen.

I vores næste to blogposts vil vi beskrive vores syn på endnu en stor cybertrussel mod danske virksomheder: Truslen fra cyberkriminelle.

Kilder

(1) HBGary - Operation Aurora

(2) McAfee - Global Energy Cyberattacks: "Night Dragon"

(3) ThreatConnect - The Anthem Hack: All Roads Lead to China

(4) PwC, BAE Systems - Operation Cloud Hopper

(5) Detica and Office of Cyber Security and Information Assurance in the Cabinet Office - The Cost of Cyber Crime

(6) Robert S. Mueller, III - Statement Before the House Appropriations Committee

(7) James Scott and Drew Spaniel, “China’s Espionage Dynasty – Economic Death by a Thousand Cuts”, Institute for Critical Infrastructure Technology

(8) BfV - Electronic Attacks with an Intelligence Background

Billeder

(i) Version2 - Rapport afslører: Dansk teknologivirksomhed hacket i årevis

(ii) DR.dk - Fremmed stat spionerede mod dansk ministerium

(iii) DR.dk - Stor dansk virksomhed udsat for cyberspionage

(iv) CFCS - KingOfPhantom - bagdør til hovedmålet

(v) CFCS - Når Danmark sover - fjentlig opmarch på usikre servere