Et russisktalende hackernetværk har angrebet Nationalmuseet og truer med datalæk, mens Novo Nordisk rammes af avancerede aktører – her er hvad vi ved om truslen mod dansk kritisk infrastruktur og hvad myndighederne anbefaler.
type: dybdeanalyse title: "Russiske hackerangreb på danske institutioner: hvad ved vi om truslen mod kritisk infrastruktur?" category: beredskab date: 2026-06-18 status: published description: "Et russisktalende hackernetværk har angrebet Nationalmuseet og truer med datalæk, mens Novo Nordisk rammes af avancerede aktører – her er hvad vi ved om truslen mod dansk kritisk infrastruktur og hvad myndighederne anbefaler."
Det vigtigste først
En russisktalende hackergruppe har påtaget sig ansvaret for et angreb på Nationalmuseet og truer med at offentliggøre stjålne data. Næsten samtidig er Novo Nordisk ramt af det, der beskrives som en særligt avanceret hackergruppe. De to hændelser er ikke isolerede tilfælde. Center for Cybersikkerhed (CFCS) vurderer i sin seneste trusselsvurdering fra 2024, at truslen mod Danmark fra destruktive cyberangreb er middel – og at både offentlige myndigheder og højteknologiske virksomheder er i søgelyset for statslig cyberspionage.
Det rejser et presserende spørgsmål: Er Danmark godt nok rustet til at beskytte sin kritiske infrastruktur og sine kulturinstitutioner mod angreb, der kan komme fra både kriminelle og statslige aktører?
Baggrund
Cyberangreb mod danske institutioner er ikke nyt. Men de seneste hændelser illustrerer en tendens, som de danske efterretningsmyndigheder har advaret om i årevis: at truslen er reel, vedvarende og under udvikling.
CFCS – der er en del af Styrelsen for Samfundssikkerhed og fungerer som Danmarks nationale cybersikkerhedsmyndighed – udgiver løbende trusselsvurderinger, der kortlægger det aktuelle trusselsbillede. Disse vurderinger henvender sig til myndigheder, virksomheder og institutioner, der ønsker at forstå, hvad de står over for.
Ifølge CFCS gælder truslen bredt: Det handler om cyberkriminalitet som ransomware og datatyveri, men også om målrettet cyberspionage fra fremmede stater. De mere avancerede, statsstøttede hackergrupper retter sig typisk mod offentlige myndigheder med strategisk viden og mod højteknologiske private virksomheder – det fremgår af myndighedernes egne vurderinger.
Nationalmuseet er ikke en åbenlys del af Danmarks "kritiske infrastruktur" i teknisk forstand. Men angrebet illustrerer, at ingen institution er for lille eller for kulturel til at blive et mål. Motiverne kan spænde fra ren kriminalitet – afpresning via truslen om datalæk – til forsøg på at skabe usikkerhed og undergrave tilliden til offentlige institutioner.
Hvad sker der
Ifølge Ingeniørens artikel har en russisktalende hackergruppe påtaget sig ansvaret for angrebet på Nationalmuseet og varsler, at stjålne data vil blive offentliggjort "snart". Det er en klassisk dobbelt-afpresningsstrategi: først kryptér eller stjæl data, dernæst tru med at offentliggøre det, medmindre offeret betaler.
Angrebets præcise omfang og karakteren af de eventuelle stjålne data er på nuværende tidspunkt ikke fuldt ud offentligt kendt. Det er heller ikke bekræftet, om gruppen har direkte forbindelser til den russiske stat, eller om der er tale om kriminelle aktører, der opererer i et gråzoneland med statens stiltiende accept – en distinktion, der i praksis kan være svær at fastslå.
Næsten samtidig er det kommet frem, at Novo Nordisk er ramt af en angrebsgruppe, der beskrives som særligt avanceret. Heller ikke her er alle detaljer offentligt kendte, men det er bemærkelsesværdigt, at to så forskellige institutioner – et nationalt kulturmuseum og verdens ene af verdens mest værdifulde lægemiddelvirksomheder – rammes i samme periode.
CFCS har hævet sin vurdering af truslen fra destruktive cyberangreb til middel, hvilket fremgår af trusselsvurderingen fra 2024. Det betyder, at truslen er reel og til stede, men at et angreb ikke nødvendigvis er umiddelbart forestående.
De centrale spørgsmål
Hændelserne rejser en række spørgsmål, som det er værd at stille skarpt:
Hvem angriber, og hvad er motivet? Det er afgørende at skelne mellem to typer aktører. Den ene er kriminelle hackergrupper, der er motiveret af penge – typisk via ransomware eller truslen om at lække data. Den anden er statslige eller statsfinansierede grupper, der er motiveret af spionage, sabotage eller geopolitisk destabilisering. De to kan overlappe: Russisk-talende kriminelle grupper opererer ofte med russiske myndigheders stiltiende accept, så længe de ikke angriber russiske mål.
Er offentlige kulturinstitutioner forberedt? Museer, arkiver og andre kulturinstitutioner har typisk ikke samme cybersikkerhedsbudgetter eller -kompetencer som eksempelvis banker eller energiselskaber. Alligevel kan de ligge inde med følsomme persondata, historiske dokumenter og administrative systemer, der er attraktive mål.
Hvad er Danmarks samlede beredskab? CFCS udgiver vejledninger og trusselsvurderinger, men institutionerne skal selv implementere anbefalingerne. Spørgsmålet er, om der er tilstrækkelig kapacitet og ressourcer – særligt i den offentlige sektor.
Hvornår er et angreb et angreb på kritisk infrastruktur? Begrebet "kritisk infrastruktur" dækker typisk energiforsyning, vandforsyning, sundhedsvæsen, transport og finanssektoren. Men som angrebet på Nationalmuseet viser, kan selv kulturinstitutioner og symbolsk vigtige institutioner blive mål – enten for at skaffe penge eller for at sende et signal.
Analyse
Trusselsbilledet er alvorligt – men ikke nyt
Det er vigtigt ikke at overdramatisere. CFCS har i en årrække advaret om præcist den type trusler, vi nu ser materialisere sig. Trusselsvurderingen fra 2024 fastslår, at truslen fra destruktive cyberangreb mod Danmark er middel – altså ikke den højeste kategori, men heller ikke ubetydelig. Myndigheden hævede dette niveau, hvilket afspejler en forværring af trusselsbilledet i takt med Ruslands invasion af Ukraine og den geopolitiske spænding i Europa.
Statsstøttede hackergrupper har ifølge CFCS's egne vurderinger i årevis forsøgt at kompromittere offentlige myndigheder med strategisk viden og højteknologiske virksomheder. Novo Nordisk er en oplagt kandidat i den kategori: Virksomheden besidder enormt værdifuld forskning og produktionshemmeligheder inden for medicin, og den er af strategisk betydning for dansk økonomi.
Nationalmuseet: et blødt mål
Kulturinstitutioner er klassiske "bløde mål" i cybersikkerhedsterminologi. De har offentlig adgang, mange brugere, komplekse it-systemer med meget gamle og meget nye komponenter side om side – og de har historisk set ikke haft cybersikkerhed øverst på budgetprioriteringslisten.
Et angreb på Nationalmuseet er ikke nødvendigvis et angreb på Danmarks strøm eller vandforsyning. Men det er et angreb på en offentlig institution, der opbevarer data om ansatte, besøgende og muligvis historisk følsomme dokumenter. Og truslen om at offentliggøre data kan have reelle konsekvenser for de mennesker, hvis oplysninger er kompromitteret.
Der er også en symbolsk dimension: Nationalmuseet er et dansk nationalt vartegn. At angribe det sender et signal – om sårbarhed, om at ingen er fredet.
Gråzonen mellem kriminalitet og statslig aggression
Et af de vanskeligste aspekter ved russisktalende hackergrupper er, at det ofte er svært at placere dem entydigt som enten kriminelle eller statsaktører. Mange grupper opererer i en gråzone, hvor de forfølger egne kriminelle interesser – typisk pengekrævende ransomware-angreb – men gør det med statens stiltiende tolerance eller ligefrem beskyttelse, så længe de holder sig fra russiske mål og lejlighedsvis udfører opgaver for efterretningstjenesterne.
Det betyder, at selv et tilsyneladende kriminelt angreb ikke nødvendigvis er fuldstændig afkoblet fra statslig russisk interesse. Det er ikke muligt på baggrund af de offentligt kendte oplysninger at fastslå, hvilken kategori angrebet på Nationalmuseet falder i. Det er vigtigt at understrege den usikkerhed.
Hvad CFCS anbefaler
CFCS udgiver løbende vejledninger og anbefalinger til organisationer. Kernen i anbefalingerne handler om at opdatere systemer, anvende stærk autentifikation, tage backup af data og have en beredskabsplan, der er testet og klar til brug.
Myndigheden understreger, at truslen ikke kun rammer store virksomheder og statslige aktører. Også mindre institutioner er attraktive mål – enten fordi de i sig selv har noget af værdi, eller fordi de kan bruges som indgangsvej til større systemer via leverandørkæder og samarbejdspartnere.
Ressourcerne følger ikke altid truslen
Et strukturelt problem i dansk cyberberedskab er, at de ressourcer, der allokeres til cybersikkerhed, ikke nødvendigvis følger med trusselsbilledet hos alle aktører. Banker og energiselskaber har typisk robuste sikkerhedsprogrammer og dedikerede teams. Men kulturinstitutioner, kommuner og mindre offentlige myndigheder kan have vanskeligt ved at matche de krav, som trusselsbilledet stiller.
CFCS kan rådgive og vejlede, men myndigheden kan ikke tvinge institutioner til at implementere bestemte sikkerhedsforanstaltninger – med mindre der er tale om sektorer, der er underlagt specifik regulering.
Det geopolitiske perspektiv
De seneste angreb skal også ses i den geopolitiske kontekst. Siden Ruslands invasion af Ukraine i 2022 har der været en markant stigning i cyberaktivitet rettet mod NATO-lande og særligt de lande, der aktivt støtter Ukraine – herunder Danmark. Det er ikke en sammenhæng, CFCS skjuler: Myndigheder vurderer åbent, at den øgede geopolitiske spænding øger cybertrusselniveauet mod Danmark.
Det betyder, at angreb som dem på Nationalmuseet og Novo Nordisk ikke opstår i et vakuum. De er en del af et bredere mønster, der handler om at teste og udfordre vestlige landes institutioner – og i nogle tilfælde at signalere kapacitet.
Konklusion
Angrebene på Nationalmuseet og Novo Nordisk er ikke isolerede hændelser. De er del af et velkendt og dokumenteret mønster, som de danske cybermyndigheder har advaret om i årevis.
Center for Cybersikkerhed vurderer trusselsniveauet fra destruktive cyberangreb mod Danmark som middel og har løbende dokumenteret, at både statslige og kriminelle aktører søger at kompromittere danske institutioner og virksomheder.
Det presserende spørgsmål er ikke, om Danmark kan forhindre alle angreb – det kan ingen. Spørgsmålet er, om institutionerne – offentlige som private, store som små – har de nødvendige ressourcer, kompetencer og beredskabsplaner til at opdage angreb tidligt, begrænse skaderne og komme sig hurtigt.
Nationalmuseet-sagen viser, at "bløde mål" som kulturinstitutioner er sårbare. Novo Nordisk-sagen viser, at selv verdens mest ressourcestærke virksomheder kan rammes af avancerede aktører. Fælles for begge er, at angrebet kom – og at forberedelsen afgør, hvor galt det går.
Myndighedernes anbefalinger er tilgængelige. Det er implementeringen, der er den svære del.
Kilder
- Russiske hackere tager ansvar for angreb på Nationalmuseet: Vil offentliggøre data »snart« – Ingeniøren
- Cybertruslen – Center for Cybersikkerhed (CFCS)
- Cybertruslen mod Danmark – Trusselsvurderinger, CFCS
- Trusselsvurdering: Cybertruslen mod Danmark 2024 (PDF) – CFCS
- Trusselsvurdering: Cybertruslen mod Danmark 2024 – Offentlig version via Folketinget (PDF)
- Trusselsvurdering fra Forsvarets Efterretningstjenestes Center for Cybersikkerhed, 2015-16 – Folketinget