Et globalt datalæk har ramt DSV, Mærsk og dansk politi – sagen afslører systematiske sårbarheder i dansk kritisk infrastruktur og rejser spørgsmål om, hvor godt det danske cyberberedskab egentlig er.
Konklusion
Et omfattende globalt datalæk fra netværkssikkerhedsvirksomheden Fortinet har ramt centrale danske aktører: logistikkoncernen DSV, shippinggiganten Mærsk og dansk politi. Forsvarets Efterretningstjeneste (FE) har aktivt advaret danske virksomheder. Sagen er ikke en isoleret hændelse. Den illustrerer et mønster, som Center for Cybersikkerhed (CFCS) har dokumenteret i år: Danmark befinder sig i et af de mest alvorlige trusselsbilleder siden Anden Verdenskrig, og angrebene mod kritisk infrastruktur intensiveres.
De vigtigste pointer:
- Datalækket rammer virksomheder og myndigheder, der udgør rygraden i dansk erhvervsliv og offentlig sikkerhed.
- FE vurderer truslen som alvorlig nok til at udsende aktive advarsler.
- CFCS har gentagne gange dokumenteret, at statslige og kriminelle hackere målrettet udnytter kendte sårbarheder i netværksudstyr – præcis som det er sket her.
- Det er uklart, hvilke konkrete data der er kompromitteret, og hvilke konsekvenser det får. Den usikkerhed er i sig selv et problem.
Baggrund
Fortinet er en af verdens største leverandører af netværkssikkerhedsudstyr – firewalls, VPN-gateways og adgangskontrolsystemer. Produkterne bruges af tusindvis af virksomheder og myndigheder globalt, herunder i kritisk infrastruktur. Når en sårbarhed i Fortinets systemer udnyttes, rammer det derfor ikke én organisation, men potentielt mange på én gang.
Det aktuelle datalæk er ifølge Ingeniørens dækning af global karakter. En trusselsaktør har tilsyneladende udnyttet kendte sårbarheder i Fortinet-udstyr til at skaffe sig adgang til netværk og eksfiltrere data. Blandt de ramte er altså DSV – en af verdens største transport- og logistikvirksomheder – Mærsk, der er afgørende for global og dansk skibsfartsinfrastruktur, og dansk politi, der besidder særdeles følsomme oplysninger om borgere, igangværende efterforskninger og operationelle procedurer.
Mærsk har tidligere været hårdt ramt af et destruktivt cyberangreb. NotPetya-angrebet i 2017 kostede virksomheden op mod 300 millioner dollars og lammede store dele af den globale containerlogistik i dagevis. Den erfaring bør have styrket beredskabet – og gør det endnu mere bemærkelsesværdigt, hvis selskabet igen optræder i en større sikkerhedshændelse.
Hvad sker der
Ifølge Ingeniørens artikel har FE udsendt en aktiv advarsel til danske virksomheder i kølvandet på datalækket. Det er ikke hverdagskost. FE og CFCS udsteder generelle trusselsvurderinger løbende, men direkte advarsler rettet mod konkrete hændelser signalerer, at myndighederne vurderer risikoen som umiddelbar og konkret.
Fortinet-sårbarheder er ikke nye på trusselslandkortet. CFCS har i sine trusselsvurderinger beskrevet, hvordan trusselsaktører – både statssponsorerede og kriminelle – systematisk scanner internettet for kendte sårbarheder i netværksudstyr og udnytter dem, inden virksomheder når at opdatere deres systemer. Det er en velkendt angrebsmetode: Find det svage led i perimetersikkerheden, skaff adgang, og enten sælg adgangen videre til andre kriminelle eller brug den direkte til spionage eller sabotage.
CFCS beskriver specifikt, hvordan ransomware-grupper anvender såkaldte "initial access brokers" – specialister, der skaffer sig adgang til netværk og sælger den videre til den højestbydende. Det er præcis den model, der kan være på spil her: En aktør udnytter Fortinet-sårbarheden, kompilerer en liste over kompromitterede systemer og sælger eller offentliggør dataene.
Det præcise omfang af lækket er endnu ikke fuldt klarlagt. Det er centralt at understrege: Vi ved, at navngivne danske organisationer optræder i det kompromitterede materiale. Vi ved ikke med sikkerhed, hvilke specifikke data der er eksfiltreret, om adgangsveje stadig er aktive, og om der er sket sekundær udnyttelse.
De centrale spørgsmål
Sagen rejser mindst fire spørgsmål, der fortjener seriøs opmærksomhed:
1. Hvorfor er offentlige myndigheder og systemkritiske virksomheder stadig sårbare over for kendte sårbarheder?
Fortinet har udsendt patches til de relevante sårbarheder. Spørgsmålet er, om de ramte organisationer ikke har opdateret deres systemer i tide, eller om angrebet er sket i vinduet mellem offentliggørelse af sårbarheden og udrulning af rettelsen. Begge scenarier er problematiske, men af meget forskellig karakter. Det første peger på mangelfulde interne sikkerhedsprocedurer. Det andet er udtryk for det grundlæggende problem, at angribere bevæger sig hurtigere end forsvarerne.
2. Hvad betyder det konkret, at dansk politi er ramt?
Politiet behandler ekstraordinært følsomme data: vidneoplysninger, efterretningsrelateret materiale, oplysninger om igangværende sager og personoplysninger om borgere. Hvis politiets netværksinfrastruktur har været kompromitteret – selv midlertidigt – kan det have konsekvenser for verserende sager, personsikkerhed og retssikkerheden generelt. Det er et område, der kræver fuld transparens, og offentligheden har en legitim interesse i at vide, hvad der konkret er sket.
3. Er det tilstrækkeligt, at FE advarer – eller kræver det regulering?
FE's advarsel er et reaktivt skridt. Det er godt, at myndigheder kommunikerer aktivt, men advarsler ændrer ikke fundamentalt på det strukturelle problem: Mange organisationer, der driver kritisk infrastruktur, har ikke ressourcerne, kompetencerne eller incitamenterne til at prioritere cybersikkerhed tilstrækkeligt. CFCS's beretning fra 2022 beskriver, hvordan cybertruslen mod Danmark er vokset markant, og at staten over for det mest alvorlige risiko- og trusselsbillede siden Anden Verdenskrig – ikke mindst på cyberområdet.
4. Hvad er Danmarks reelle kapacitet til at opdage og reagere på disse angreb?
CFCS har etableret en særlig enhed til at undersøge og håndtere cybertrusler mod kritisk infrastruktur. Men enheden kan ikke erstatte sikkerhedsarbejdet internt i de tusindvis af private og offentlige organisationer, der udgør dansk infrastruktur. Der er en strukturel kløft mellem den centrale myndighedskapacitet og den decentrale virkelighed.
Analyse
Et forudsigeligt angreb i et forudsigeligt mønster
Det er fristende at behandle dette datalæk som en overraskende begivenhed. Det er det ikke. CFCS har i sine løbende trusselsvurderinger beskrevet præcis dette scenarie: Angribere udnytter sårbarheder i udbredt netværksudstyr til at kompromittere mange organisationer på én gang. Fortinet er ikke første gang i søgelyset – og bliver næppe det sidste.
Det betyder ikke, at angrebene er uundgåelige. Det betyder, at de er forudsigelige – og at forudsigelighed burde medføre forebyggelse. At navngivne danske systemkritiske aktører optræder i et globalt datalæk som dette rejser legitime spørgsmål om, hvorvidt den eksisterende regulering og de eksisterende incitamenter er tilstrækkelige.
Kritisk infrastruktur er uensartet beskyttet
Dansk kritisk infrastruktur er ikke et monolitisk system med ens beskyttelsesniveau. Den spænder fra statslige myndigheder over store private virksomheder til mindre underleverandører. DSV og Mærsk har dedikerede sikkerhedsorganisationer og ressourcerne til at investere i cybersikkerhed. Politiet er en statslig myndighed, der i princippet er underlagt centrale sikkerhedskrav. Alligevel optræder alle tre i dette datalæk.
Det peger på, at problemet ikke udelukkende handler om manglende ressourcer. Det kan også handle om kompleksiteten i at beskytte store, distribuerede netværk med mange indgangspunkter, leverandørkæder og ældre systemer – og om den grundlæggende asymmetri, at angribere kun behøver at finde ét svagt punkt, mens forsvarerne skal beskytte alt.
Transparens er en forudsætning for tillid
En dimension, der ikke må undervurderes, er transparens. Borgere, kunder og samarbejdspartnere har en legitim interesse i at vide, hvad der er sket med data, der vedrører dem. EU's databeskyttelsesforordning (GDPR) stiller krav om notifikation ved databrud. Men juridiske minimumskrav er ikke det samme som den transparens, der er nødvendig for at opretholde tillid til offentlige institutioner og systemkritiske virksomheder.
Politiet er en særlig case. Tilliden til politiets arbejde afhænger delvist af, at borgere stoler på, at fortrolige oplysninger behandles sikkert. Hvis det ikke er tilfældet – eller hvis usikkerheden om omfanget af lækket lader sig vedblive – har det en selvstændig demokratisk skadesvirkning.
NIS2 og det europæiske rammeværk
EU's opdaterede direktiv om net- og informationssikkerhed (NIS2) stiller skærpede krav til cybersikkerhed i kritisk infrastruktur og er implementeret i Danmark. Direktivet pålægger blandt andet udvidede kategorier af virksomheder at rapportere sikkerhedshændelser og implementere risikobaserede sikkerhedsforanstaltninger. Om de ramte organisationer er underlagt NIS2-kravene, og om disse krav er overholdt, er et relevant spørgsmål.
Det er også værd at bemærke, at reguleringen ikke automatisk løser det tekniske problem. Krav om rapportering og risikostyring er ikke det samme som faktisk sikkerhed. Regulering skaber incitamenter og minimumsstandarder – men den operative sikkerhed skal leveres af menneskene og systemerne i de ramte organisationer.
Statssponsorerede aktører og den geopolitiske kontekst
CFCS's trusselsvurderinger skelner konsekvent mellem to typer trusler: kriminelle aktører, der primært er motiveret af finansiel gevinst, og statssponsorerede aktører, der opererer med mål om spionage, destabilisering eller forberedelse af fremtidig sabotage. Det aktuelle datalæk er på nuværende tidspunkt ikke entydigt attribueret til enten det ene eller det andet.
Det gør trusselsbilledet mere komplekst. CFCS beskriver i sin trusselsvurdering fra 2022, at Danmark befinder sig i et sikkerhedspolitisk landskab, der er fundamentalt forandret siden Ruslands invasion af Ukraine. Cyberangreb er en del af hybridkrigføring, og kritisk dansk infrastruktur – herunder transport og logistik – er potentielle mål ikke alene for kriminel udnyttelse, men for strategisk påvirkning.
Det er ikke muligt på grundlag af de foreliggende oplysninger at fastslå, om det aktuelle datalæk er et led i statssponsoreret aktivitet. Men spørgsmålet er relevant og bør indgå i myndighedernes vurdering.
Konklusion
Datalækket fra Fortinet er endnu en påmindelse om, at cybertruslen mod Danmark er reel, aktuel og rammer aktører, der er afgørende for samfundets funktion. FE's advarsel er et nødvendigt skridt, men den løser ikke de strukturelle problemer.
Det danske cyberberedskab er ikke svagt. CFCS er en kompetent myndighed, og Danmark har investeret i kapacitet på området. Men beredskabet er uensartet fordelt, og den grundlæggende asymmetri mellem angribere og forsvarere forsvinder ikke ved hjælp af advarsler alene.
Tre ting er nødvendige fremover:
Transparens: De ramte organisationer – og særligt politiet – skylder offentligheden en klar redegørelse for, hvad der er sket, hvilke data der er berørt, og hvilke skridt der er taget.
Systematisk opfølgning: Hændelsen bør analyseres systematisk af CFCS og relevante myndigheder med henblik på at identificere, om der er strukturelle huller i det danske beredskab – ikke kun i de ramte organisationer, men på tværs af kritisk infrastruktur.
Politisk prioritering: Cybersikkerhed i kritisk infrastruktur er ikke et teknisk nicheemne. Det er et kerneaspekt af national sikkerhed, der fortjener løbende politisk opmærksomhed i Folketinget – ikke kun i kølvandet på hændelser, men som en permanent prioritet.
Kilder
- DSV, Mærsk og dansk politi ramt af globalt datalæk: FE advarer danske virksomheder – Ingeniøren
- Cybertruslen – Center for Cybersikkerhed (CFCS)
- Undersøgelsesrapporter fra CFCS (engelske rapporter)
- Cybertruslen mod Danmark 2022 – CFCS trusselsvurdering
- CFCS's beretning for 2022 – Bilag til Folketingets Forsvarsudvalg
- Trusselsvurderinger – Styrelsen for Samfundssikkerhed