272 virksomheder anmeldte et hackerangreb til politiet. 0 sager blev opklaret

Dette er et debatindlæg: Finans bringer løbende indlæg fra specialister og meningsdannere. De er alle udtryk for den pågældende skribents egen holdning.

Hvilken slags forbrydelse tror du, at politiet har mest succes med at opklare?

A: Cykeltyveri. Eller B: Datatyveri?

Det rigtige svar er A. Omkring to procent af alle cykeltyverier ender med, at politiet finder tyven. Statistikken er knap så god, når forbrydelsen består i, at en tyv er brudt ind i en virksomheds it-system og har kidnappet dens data. Her er politiets opklaringsprocent nul.

Nul er ikke meget. Nul er så lidt, at man godt kunne spørge, om Kling og Klang ikke bare skulle fortælle virksomheder, der vil anmelde et hackerangreb, at de har givet op. Tyvene har vundet.

Ifølge mediet Ingeniøren har 272 virksomheder siden 2021 meldt til politiet, at de har været udsat for et ransomware-angreb. Hackere er brudt ind i virksomhedens it-system og har kidnappet dens data. Hvis virksomheden vil have dem tilbage, skal den betale løsepenge.

Ingen – ikke én eneste – af de 272 anmeldelser har ført til opklaring.

På den baggrund konkluderer en professor i cybersikkerhed, at hackergrupperne ”reelt set har frit spil”. De kan begå kriminalitet, som de vil.

Eller sagt kort: Tyvene har vundet. Punktum.

Nogen vil pege på politiet og kræve handling. Andre vil konstatere, at man er sin egen lykkes smed i cyberspace. Man kan købe sig fattig i it-sikkerhedsundersøgelser og digitale hængelåse – hele den industri, der lever af de datakriminelles foretagsomhed. Men finder hackerne trods hele sikkerheds-hurlumhejet alligevel en sprække i it-systemet, er man solgt. Tyvene bliver aldrig fundet, og forbrydelsen fører ikke til domfældelse.

Men set fra toppen er problemet, at de professionelle it-kriminelle er løbet fra samfundet. Sådan er det. Ransomware-angreb er en form for kriminalitet, der har outsmartet retssystemet. Retssystemet, erhvervslivet og resten af samfundet var ikke forberedt på, at digitalisering kunne udvikle en sideindustri, hvis aktører er usynlige, og hvis forretningsmodel er at kapre data.

For en måned siden var det den svenske folkekirke, der fik sine data kapret af en ”udenlandsk aktør”. Konsekvenserne var lammende. Kirken kunne ikke udbetale løn eller gennemføre begravelser. Ansatte måtte finde gamle skrivemaskiner frem for at passe deres arbejde.

Ikke overraskende var kirkens egen fortælling, at der var tale om ”en sikkerhedsbrist”. En mail med en advarsel om en mulig it-trussel var endt i en forkert indboks.

Med ordet sikkerhedsbrist gør man fænomenet ransomware-angreb kontrollabelt. Man får puttet problemet ned i kassen med ting, der kan undgås, hvis man gør noget. Men er det sandheden?

A.P. Møller - Mærsk mistede 1,6 mia. kroner på et hackerangreb i 2018. I år blev virksomheden angrebet igen – nu med mindre konsekvenser. Ejendomsmæglerkæden EDC fik også kapret data i år. Oven i er der de angreb, som ingen hører om, fordi virksomheden i dybeste stilhed betalte løsesummen. Sagerne bliver ikke anmeldt til politiet og bliver ikke kendt af offentligheden.

Kan man kalde en form for kriminalitet, der har ramt 272 danske virksomheder siden 2021 – plus mørketallet – for ”en sikkerhedsbrist”? Som det har vist sig umuligt at gøre noget ved for politiet?

Svaret er selvfølgelig nej. Med digitaliseringen af samfundet er der flyttet en ny form for kriminalitet ind. Den har sendt virksomheder og institutioner ud i lovløst land og sat retsstaten skakmat. 272 anmeldelser. Ingen opklaringer. Ingen domfældelser. Kan det siges tydeligere?

Ved at tale om sikkerhedsbrist spredes præcis det billede, som de it-kriminelle lukrerer på. Billedet af, at den enkelte virksomhed har dummet sig.

Men billedet er jo lige så falsk, som hvis man lod cyklister, der havde fået stjålet en aflåst cykel foran Netto, forstå, at de havde ”dummet sig”.

Cykeltyveri er et fænomen. Det er datatyveri også. Den sidste form for tyveri bliver bare aldrig opklaret.

Anders Heide Mortensen er kommentator på Finans og kommunikationsrådgiver. Cand.scient.pol. og tidligere pressechef i Erhvervsministeriet og Finansministeriet. Han kan kontaktes via www.andersheide.dk