= Dybdeanalyse

Russiske hackere i dansk infrastruktur: Hvad angrebene på Nationalmuseet og Novo Nordisk afslører om Danmarks sårbarhed

← Analyser
beredskab 9 min. læsning

To cyberangreb mod danske institutioner inden for kort tid afslører et mønster af russisk-tilknyttet cyberkriminalitet og rejser alvorlige spørgsmål om Danmarks beredskab mod digitale trusler.

type: dybdeanalyse title: "Russiske hackere i dansk infrastruktur: Hvad angrebene på Nationalmuseet og Novo Nordisk afslører om Danmarks sårbarhed" category: beredskab date: 2026-06-18 status: published description: "To cyberangreb mod danske institutioner inden for kort tid afslører et mønster af russisk-tilknyttet cyberkriminalitet og rejser alvorlige spørgsmål om Danmarks beredskab mod digitale trusler."

Konklusion

Danmark er under vedvarende digitalt pres fra russisk-tilknyttede hackergrupper. Angrebene mod Nationalmuseet og Novo Nordisk er ikke isolerede hændelser — de er del af et bredere mønster, som de danske sikkerhedsmyndigheder allerede har kortlagt og advaret om. Cybertruslen mod Danmark er vurderet som meget høj, og den rammer både offentlige institutioner, kritisk infrastruktur og erhvervslivet. Alligevel afslører sagerne, at beskyttelsen langt fra er god nok — hverken teknisk, organisatorisk eller lovgivningsmæssigt. EU's NIS2-direktiv er et skridt i den rigtige retning, men det løser ikke problemet alene.

Baggrund

I løbet af kort tid er to markant forskellige danske institutioner blevet ramt af cyberangreb med russisk fingeraftryk: Nationalmuseet og Novo Nordisk.

I Nationalmuseets tilfælde har en russisk-tilknyttet hackergruppe offentligt taget ansvar for angrebet og varslet, at de vil offentliggøre stjålne data "snart". Det er en klassisk afpresningsstrategi, der kendes fra ransomware-miljøet: stjæl data, trusler om eksponering, og pres offeret til at betale eller forhandle.

Novo Nordisk, en af Danmarks absolut vigtigste virksomheder og p.t. den største målt på markedsværdi i Norden, er en oplagt mål for cyberspionage. Selskabets forskning i bl.a. GLP-1-medicin er milliarder værd — og erhvervshemmeligheder af den kaliber er et attraktivt bytte for statslige eller statsligt sponsorerede hackere.

De to sager handler umiddelbart om meget forskelligt: kulturarv kontra bioteknologi, offentlig institution kontra privat gigantvirksomhed. Men tilsammen peger de mod det samme underliggende problem: Danmark er et højt profileret mål, og vi er ikke godt nok beskyttet.

Hvad sker der

Nationalmuseet: Data som våben

Den russisk-tilknyttede gruppe, der har taget ansvar for angrebet på Nationalmuseet, anvender en metode, der er velkendt i cyberkriminalitetsmiljøet: såkaldt "dobbelt afpresning". Først krypterer eller stjæler man data, dernæst truer man med at offentliggøre dem, medmindre offeret betaler løsesum.

At en kulturinstitution rammes, er ikke tilfældigt. Museer og kulturinstitutioner har ofte ældre it-systemer, begrænset it-sikkerhedsbudget og store mængder persondata — herunder data om donorer, samarbejdspartnere og ansatte. De er med andre ord bløde mål med potentielt følsom information.

Det bekymrende ved Nationalmuseet-sagen er ikke kun bruddet i sig selv. Det er, at gruppen aktivt kommunikerer om det — offentligt og med en eksplicit trussel. Det er et signal, der er rettet mod andre potentielle ofre og mod den danske stat: Vi kan nå jer, og vi er ikke bange for at vise det.

Novo Nordisk: Erhvervsspionage i verdensklasse

Novo Nordisks situation er anderledes. Her handler det sandsynligvis ikke primært om løsesum, men om spionage. Selskabet sidder på nogle af verdens mest eftertragtede medicinske patenter og forskningsdata.

Russisk-statslige hackergrupper har en dokumenteret interesse i at stjæle vestlig industriel og medicinsk viden. Det sker ikke altid med umiddelbar profit for øje — det kan være et led i at opbygge russisk kapacitet på strategisk vigtige områder eller i at skaffe russiske virksomheder og statslige enheder en konkurrencefordel.

At disse to sager falder tæt i tid, kan være tilfældigt. Men det kan også afspejle en koordineret indsats, hvor Danmark er udpeget som mål — muligvis som reaktion på dansk støtte til Ukraine eller Danmarks øgede forsvarsudgifter.

De centrale spørgsmål

Er Danmark et særligt mål? Ja, og det er ikke nyt. Center for Cybersikkerhed — i dag en del af Styrelsen for Samfundssikkerhed — har i deres trusselsvurdering for 2025 slået fast, at cybertruslen er "blevet et grundvilkår" for Danmark. Det er ikke alarmistisk retorik — det er en faglig konstatering. Danmarks høje teknologiske udvikling, tætte NATO-tilknytning, stærke erhvervsliv og aktive udenrigspolitik gør landet til et oplagt mål for både kriminelle og statslige hackergrupper.

Er den kritiske infrastruktur tilstrækkeligt beskyttet? Det korte svar er: ikke godt nok. Styrelsen for Samfundssikkerhed vurderer selv, at cybertruslen mod Danmark er meget høj — og at den gælder bredt: mod myndigheder, virksomheder og borgere. Angrebene på Nationalmuseet og Novo Nordisk bekræfter, at hverken kulturinstitutioner eller private gigantvirksomheder er immune.

Hvad med NIS2? EU's NIS2-direktiv, der er implementeret i dansk ret, stiller skærpede krav til cybersikkerhed for en lang række sektorer og virksomheder. Det er et vigtigt redskab — men et direktiv er kun så stærkt som dets håndhævelse og den kultur, det skaber. Og det ændrer ikke ved, at mange institutioner og virksomheder allerede i dag opererer med utilstrækkelige sikkerhedsniveauer.

Hvad sker der med de stjålne data? Det ved vi endnu ikke. Hackergruppen har varslet en offentliggørelse "snart" — men det kan være en bluff for at lægge pres på, eller det kan være en reel trussel. Hvis personoplysninger fra Nationalmuseet offentliggøres, udløser det forpligtelser under GDPR og potentielt alvorlige konsekvenser for de berørte. Hvis det drejer sig om forskningsmæssige data fra Novo Nordisk, kan konsekvenserne for selskabets konkurrenceposition og aktionærer være betydelige.

Analyse

Et mønster, ikke undtagelser

Det er fristende at behandle hvert cyberangreb som en enkeltsag — et teknisk uheld eller et lokalt sikkerhedsbrist. Men det billede er misvisende.

Styrelsen for Samfundssikkerhed kortlagde allerede i 2024 og 2025 en konsistent og stigende trussel mod dansk infrastruktur. De har også specifikt vurderet cybertruslen mod den danske universitetssektor, og det billede ligner det, vi ser i sagerne om Nationalmuseet og Novo Nordisk: institutioner med værdifuld viden, relativt begrænsede sikkerhedsressourcer og høj eksponering.

Det er et systemisk problem, ikke et spørgsmål om enkeltinstitutioners forsømmelse.

Russisk motivation: Mere end penge

Russisk-tilknyttede hackergrupper opererer i et spektrum fra rent kriminelle ransomware-bander til grupper, der arbejder som forlænget arm af den russiske stat. Grænsen mellem de to er ofte uklar og bevidst sløret.

Det, der adskiller de russisk-statslige aktører fra traditionelle cyberkriminelle, er motivationen. Ud over direkte finansiel gevinst tjener angrebene geopolitiske formål: destabilisering, indsamling af efterretninger, afprøvning af sårbarhedslandskabet i fjendtlige eller kritiske nationer og demonstrering af magt.

Danmark har siden Ruslands invasion af Ukraine i 2022 leveret markant støtte til Kyiv — både militært og diplomatisk. Det gør Danmark til et naturligt mål i den russiske informations- og cyberkrigsførelse. Angrebene er ikke nødvendigvis kun om data. De er også signaler.

Beredskabsgabet: Viden kontra handling

Der er ingen mangel på viden om truslen. De danske myndigheder, CFCS og nu Styrelsen for Samfundssikkerhed har udgivet detaljerede trusselsvurderinger. De har givet vejledning. De har advaret.

Problemet er gabet mellem viden og handling. En analyse af den aktuelle situation peger på flere konkrete svagheder:

Ressourceskævhed: Store virksomheder som Novo Nordisk har ressourcer til at investere i avanceret cybersikkerhed. Men selv giganter kan rammes. For mindre institutioner — som Nationalmuseet — er ressourcerne til sikkerhed markant mere begrænsede, mens truslerne er de samme.

Ældre systemer: Mange offentlige institutioner kører stadig it-infrastruktur, der er årtier gammel og designet i en tid, hvor cybertruslen var et anderledes fænomen. At modernisere disse systemer koster tid og penge — to ressourcer, der altid er knappe i den offentlige sektor.

Menneskelige fejl: Langt de fleste cyberangreb begynder med en menneskelig fejl — et klik på et phishing-link, en svag adgangskode, en forkert konfigureret server. Tekniske løsninger er nødvendige, men ikke tilstrækkelige uden systematisk uddannelse og en sikkerhedskultur, der gennemsyrer organisationen.

Koordination: Cybersikkerhed er ikke ét ministeriums ansvar. Det berører Justitsministeriet, Forsvarsministeriet, Erhvervsministeriet og alle sektorministerier på én gang. Den tværgående koordination er forbedret, men den er fortsat en udfordring i praksis.

NIS2: Løsning eller plaster?

NIS2-direktivet er det mest ambitiøse EU-tiltag på cybersikkerhedsområdet nogensinde. Det udvider kredsen af virksomheder og institutioner, der er underlagt krav om sikkerhed og hændelsesindberetning. Det skærper kravene til ledelsens ansvar. Det styrker tilsynet.

Men NIS2 er ikke en teknisk løsning — det er et regulatorisk rammeværk. Det kan løfte det generelle sikkerhedsniveau over tid, men det forhindrer ikke, at en velressourceret og motiveret statslig hackergruppe finder en vej ind.

Det centrale spørgsmål er ikke, om NIS2 er et godt direktiv. Det er, om implementeringen er ambitiøs og konsistent nok, og om håndhævelseskapaciteten hos de relevante myndigheder matcher den opgave, de er sat til.

Erhvervshemmeligheder: En undervurderet national sikkerhedsrisiko

Novo Nordisk-sagen illustrerer en dimension af cybersikkerhed, der sjældent diskuteres tilstrækkeligt åbent: tyveri af erhvervshemmeligheder som national sikkerhedstrussel.

Novo Nordisk er ikke blot en privat virksomhed. Det er en af Danmarks vigtigste eksportvirksomheder, en central arbejdsgiver, en kilde til skatteindtægter i milliardklassen og en geopolitisk aktiv, der afspejler dansk innovations- og forskningskraft. Et systematisk tyveri af selskabets kerneforskningsdata er ikke kun et erhvervsproblem — det er et nationalt problem.

Alligevel behandles cyberspionage mod private virksomheder oftest som et anliggende for virksomheden selv. Det er en fejltagelse. Statslig cyberspionage mod strategisk vigtige virksomheder bør behandles med samme alvor som angreb på klassisk kritisk infrastruktur som elnet og vandforsyning.

Konklusion

Danmarks sikkerhed i det digitale rum er udfordret på en måde, der ikke lader sig løse med en enkelt politisk beslutning eller et teknisk fix. Angrebene på Nationalmuseet og Novo Nordisk er symptomer på en dybere og mere vedvarende trussel — en trussel, som de danske myndigheder er bevidste om, men som kræver langt mere systematisk og ressourcemæssigt understøttet handling.

Tre ting er afgørende fremadrettet:

Ressourcer følger ansvar. Det nytter ikke at pålægge institutioner og virksomheder skærpede sikkerhedskrav, hvis ikke der følger ressourcer med — særligt i den offentlige sektor, hvor budgetterne er stramme og it-systemerne ofte forældede.

Erhvervsspionage er nationalt sikkerhedsanliggende. Danmark bør behandle cyberangreb mod strategisk vigtige virksomheder med samme seriøsitet som angreb på klassisk kritisk infrastruktur. Det kræver tættere samarbejde mellem efterretningstjenester, erhvervsliv og de relevante ministerier.

Transparens frem for tavshed. Når hackergrupper offentligt tager ansvar for angreb og varsler datalæk, kan dansk tavlshed ikke beskytte nogen. En åben, faktabaseret kommunikation om trusler, hændelser og beredskab er ikke en svaghed — det er en forudsætning for, at borgere, virksomheder og institutioner kan handle fornuftigt.

Cybertruslen er et grundvilkår. Det er ikke en undskyldning for passivitet — det er et argument for, at vi handler med tilsvarende konsekvens.

Kilder

= Læs vores metodedokument →