Hackerangreb kan løses. Men hvem skal betale?

Det undrer mig, at så mange virksomheder ikke kunne klare den byge af overbelastningsangreb, vi har set de seneste måneder. Med gentagne nedbrud af Forsvarsministeriets hjemmesides som det mest pinlige eksempel. De er trods alt ansvarlige for nationens cyberforsvar.

Overbelastningsangreb, eller DDoS (Distributed Denial of Service) som de kaldes, sker ved at målene bombarderes med trafik fra tusindvis af smittede pc’er og alt muligt andet it-udstyr. Det er, som når 10 tykke mænd skal gennem samme dør. Intet kommer ind, intet kommer ud. Denne slags bøllestreger har fundet sted siden 1996, og kraftige angreb har været almindelige de seneste 10-15 år. Samtidig findes der mange metoder og værktøjer, der kan løse problemerne.

Angrebene er altså hverken nye eller umulige at bekæmpe. Men hvorfor kan banditterne så stadig lamme større eller mindre dele af det danske digitale samfund?

Prioriteres ikke

For nogle er der simpelthen ikke tilstrækkelig prioritering eller opmærksomhed på problemet. Som hos Bankdata, hvor direktør for sikkerhed Bo Florin overfor ITWatch indrømmede, at ledelsen først tirsdag formiddag blev klar over, at man var under angreb af hackere, der med succes havde overbelastet datacentralens servere. Dette selvom bl.a. Nationalbanken havde været under angreb dagen før. 

Prioriteres i strategierne

Men sådan er det ikke på ledelsesniveauet de fleste andre steder: Lige fra regeringens luftige cyber-sikkerhedsløfter og store budgetter til hele branchers løfter om bedre sikkerhed.

Således blev der i 2021 afsat 500 mio. kr. til at styrke Danmarks cyberforsvar. Senest lovede digitaliseringsminister Marie Bjerre i sit svar til Folketinget: ”Samtidig er det afgørende, at vi har fokus på sikkerhed. Virksomheder og borgere skal vide, hvordan de beskytter sig bedst muligt mod it-kriminelle. Det skal være så svært som muligt for hackere at forhindre vores myndigheder i at udføre deres opgaver.”

I eksempelvis brancheforeningen Teleindustriens seneste strategi hedder det at: ”Danskerne skal trygt kunne bruge teleselskabernes produkter og ydelser og opleve en sikker og tryg digital hverdag, hvor teleselskaberne beskytter kunderne mod svindel og skadeligt indhold.”

Det er let at være cyberskurk

Hvorfor har vi så stadig problemerne? Dels er angrebene blevet kraftigere, dels er værktøjerne let tilgængelige for cyberbøllerne. Alle kan i dag bestille et angreb hos en af de kriminelle udbydere, vurderer Ulrik Ledertoug, direktør i sikkerhedsfirmaet Orange Cyberdefence Danmark A/S. 

Cyberbanderne fusionerer, så angrebene hele tiden kan blive bliver kraftigere. I styrke og i udstrækning: Det kraftigste angreb indtil nu var rettet mod et asiatisk online-spillested: Hjemmesiden skulle modstå 3,47 Tbit/s. Svarende til flere end 10.000 husstandes højeste, samlede internetkapacitet. Det er svært – men ikke umuligt - at modstå. Samtidig er angrebene blevet længere: Hvor de før varede nogle minutter, kan de i dag strække sig over flere dage.

Det koster kun ca. 300 dollar om måneden at have denne slags værktøjer til rådighed, skriver Microsoft. Til den pris kan man lægge det meste af Danmark ned, når man har lyst til det.

Heldigvis kan ofrene – os - abonnere på en anden slags særlige tjenester, som opdager at man er under angreb, sender trafikken til et såkaldt scrubbing-center, inden det sendes tilbage i ”renset” form. Men de er ret dyre. Meget dyrere end hackernes angrebsvåben.

Ingen vil betale

Man kan også spørge: Hvorfor skal vi betale for skadelig trafik? Er det ikke internetudbyderne, som af sig selv kunne – og burde – udrydde dette uvæsen? Ligesom forbrugerne ikke - i første omgang - behøver at bekymre sig om, hvem der skal betale for rensningen af drikkevand?

Det mener brancheforeningen Teleindustrien ikke. Ifølge foreningens direktør Jakob Willer har teleselskaberne allerede i dag ydelser på hylderne til kunder, der ønsker at beskytte sig mod DDoS-angreb. Willer mener heller ikke, at overbelastningsangreb helt kan kan løses eller undgås. 

Men man kan mildne konsekvenserne af angrebene. For de virksomheder, der vil betale beskyttelse, kan man overvåge trafikken og blokere for den trafik, der så kommer under et DDoS-angreb. Han peger også på, at teleselskaberne ikke er de eneste, der har sådanne løsninger. Det kan f.eks. også løses af dedikerede selskaber som CloudFlare.

Men hvad så med de datacentervirksomheder, der tjener penge ved at have vores servere og tele-operatørernes og el-selskabernes internetlinjer liggende i deres kølige kæmpehaller?

Brancheorganisationen Datacenter Industrien, melder hal forbi:

Bestyrelsesmedlem Per Anders Hansen siger, at det er muligt at løse problemerne med overbelastningsangreb. Men at det ikke er hans brancheforenings medlemmer, der kan eller skal dette. For de lægger blot fysiske rammer til virksomhedernes rackskabe med it-udstyr, og teleselskabernes tilsvarende skabe, som giver adgangen til internettet. 

Datacentrene er et neutralt, digitalt mødested, påpeger han. Dem, der kan og skal løse problemerne er TDC, Telia, Telenor og Global Connect, mener Per Anders Hansen.

Men har du penge…

De eneste, der i første omgang slipper let og billigt, er altså de digitale hærværksmænd og -kvinder. Men var det ikke en bedre idé at løse - eller mildne - problemet en gang for alle danske virksomheder og organisationer?

Det kræver nok at vi alle kommer til lommerne. Men modsat: Kan vi leve med at kun de mest velbeslåede virksomheder og borgere, som har internet, de kan stole på?

Løsningerne findes. Men brugen af dem skal finansieres. Lige som vi bruger fælles midler på rent drikkevand.

PS: Og så drop lige ordene ”komplekst” eller ”sofistikeret” om overbelastningsangreb. Det er de ikke. Lige som bøllerne i skolegården heller ikke var det.

Per Palmkvist Knudsen er en af de meste erfarne digitaliseringseksperter i Danmark og har arbejdet i ledende stillinger hos bl.a. Datacentralen, Devoteam/Fischer & Lorenz, Krak, Virk.dk og JP/Politikens Hus.