Det hele starter ofte med en såkaldt phishing mail. En medarbejder sidder måske på corona-hjemmekontoret og modtager en mail, der giver svar på lige netop de spørgsmål, vedkommende har forsøgt at google sig frem til de sidste dage. Et øjebliks uopmærksomhed, og et link man nok ikke skulle have klikket på – og så er skaden sket. En malware er trængt ind i computeren, og hackere kan nu have tiltvunget sig adgang til virksomhedens data eller styresystemer. Og nu kræver de penge for at frigive den igen.
Det er i grove træk sådan et ransomware-angreb kunne se ud. Og de hører ikke sjældenhederne til. Allerede i første halvdel af 2021 er der sket mere end 304,7 millioner angreb på globalt plan, viser en ny rapport fra det amerikanske sikkerhedsfirma SonicWall.
”Det er jo alarmerende, fordi det er så voldsomme stigninger, som særligt er sket her over de seneste to år,” lyder det fra Christel Teglers, der er advokat og partner hos Kromann Reumert og specialiseret inden for teknologi og outsourcing.
Ifølge hende findes der en ganske simpel årsag til, at vi nu ser en så markant stigning; fordi det udgør en god forretning for de kriminelle.
”Der er tale om alvorlig økonomisk kriminalitet, som er meget effektiv. Det er en nem måde at tjene penge på, fordi mange af de ramte organisationer vælger at betale løsepenge, og fordi kriminaliteten er grænseoverskridende og typisk foretages af it-kriminelle i lande, der ikke har tænkt sig at retsforfølge dem, så det er stort set risikofrit for dem at gøre det,” siger hun.
Christel Teglers peger derudover på, at også corona har gjort det lettere for de kriminelle.
”Covid19 har gjort det hele værre, fordi hackerne har lykkes i høj grad med at udnytte, at pandemien og hjemmearbejdet har gjort os mere sårbare over for bl.a. phishingkampagner. Folk har siddet hjemmefra og interesseret sig for smitte, vacciner mv. og dermed været i højere risiko for utilsigtet at åbne ondsindede e-mails og links, der kan lukke virus ind i systemerne,” siger hun og tilføjer:
”Så jeg ser egentlig stigningen som bekymrende, men det er også fuldstændig forventeligt, at det er den her form for kriminalitet, som er så eksplosiv.”
Løsesummerne finansierer potentielt menneskehandel og terror
Udover at corona kan have været med til at gøre det lettere for hackerne at trænge igennem, så er der endnu en simpel årsag til, at det er så god en forretning – nemlig at virksomhederne rent faktisk betaler løsepengene, for at få frigivet deres data eller styresystemer.
”Det er helt åbenlyst, at ransomware virker, fordi der betales løsesummer – for hvis ingen betalte, så ville den her form for kriminalitet logisk set forsvinde,” forklarer Christel Teglers. Hun uddyber dog også, at det er lettere sagt end gjort.
”Men det er en virkelig kompleks problemstilling. Myndighedernes anbefaling herhjemme er også, at man ikke skal betale løsepenge – og i den ideelle verden bør virksomhederne heller ikke gøre det – men fordi vi ikke er godt nok rustet til at dæmme effektivt op for truslen, så er det forståeligt at nogle virksomheder i den konkrete situation vælger at betale. For hvad skal de ellers gøre?” spørger hun retorisk og uddyber:
”Hvis du som organisation er ramt, så er du angrebet på flere fronter – hvilket er så ødelæggende ved de her angreb. Man bliver ramt på tilgængelighed, fordi man mister adgangen til systemer og data; man bliver ramt på fortrolighed, fordi nogen får adgang til data, de ikke burde, og man bliver ramt på integritet, fordi man ikke ved, om der er blevet manipuleret med de data, man eventuelt får igen. Hertil kommer de potentielle juridiske og omdømmemæssige konsekvenser der er forbundet med et alvorligt ransomwareangreb, og det knæk som omverdenens tillid til den ramte organisation lider ved det. Hackerne sætter ofte en ekstra skruetvinge på ved at true med at offentliggøre data, hvis der ikke betales løsepenge. Enhver ramt organisation har i den situation et helt naturligt behov for at komme hurtigt tilbage og begrænse skaden mest muligt og vise deres kunder og omverdenen, at de gør alt for at vinde deres data tilbage.”
Selvom det for virksomhederne kan virke som den eneste mulige løsning at betale pengene, så åbner netop betaling af løsesummen op for yderligere dilemmaer. For man opildner ikke blot hackerne til at begå flere angreb – man kan også risikere at støtte op om yderligere alvorlig kriminalitet.
”Hvis man tager løsepengene isoleret set, så er det dybest set forkert at betale dem – både etisk og moralsk – dels fordi det gør, at denne form for kriminalitet fortsætter, dels fordi mange af løsepengene, som udgør milliardbeløb hvert år, bl.a. også går til at finansiere menneskehandel, terrorisme og anden dybt alvorlig kriminalitet i banditstater. Så i den henseende er der et moralsk dilemma. Betaling af løsepenge er ikke selvstændigt kriminaliseret i dansk ret, men man kan forestille sig, at man kan ramme ind i nogle andre juridiske problemstillinger er med til at finansiere strafbare handlinger som spionage, hacking og terror.”
Vi kan ikke retsforfølge dem i Kina
I USA har de faktisk en bestemmelse, der gør det ulovligt at betale løsepenge til hackere bag ransomware-angreb. Men det betyder ikke, at angrebene er stoppet. Tværtimod er USA fortsat det land, der er hårdest ramt, viser rapporten.
Men ifølge Christel Teglers er det ikke overraskende, at et forbud mod betaling i sig selv ikke er en effektiv løsning. I stedet peger hun på en bedre internationalt koordineret indsats, der eksempelvis satte ind med en regulering overfor kryptovaluta-sektoren, hvor betalingerne af løsesummerne oftest sker.
”Det her er for egen regning: men som situationen er i dag internationalt, hvor der er så lidt en koordineret indsats på tværs og en mangel på et reelt, internationalt framework, så tror jeg man må sige, at det at have et forbud mod at betale løsepenge er ikke det, der gør at man ikke bliver ramt. Hvis man kunne løse det med et forbud mod løsepenge, så var det blevet løst,” siger hun og uddyber:
”Det er en international indsats, med pres på de her stater der agerer safe-havens for it-kriminelle, mere aggressive offentlige og private kampagner, mere støtte til ransomware respons, der drives enten nationalt eller fx i EU-regi, og så et reelt framework – nogle fælles principper, hvor man er enige om best practice, der kan hjælpe organisationer til at forebygge og håndtere det her, samt reguleringen af kryptovaluta-sektoren. Jeg tror de ting, er noget af det, der vil kunne give et mere effektivt forsvar end blot et forbud mod løsepenge.”
Noget andet, der besværliggør håndteringen af angrebene, er netop, at de foregår på kryds og tværs af grænser, og fra de såkaldte safe haven.
”Udfordringen er, at hvis hackerne sidder i Rusland, så kan vi ikke retsforfølge dem i Rusland, uanset at det er kriminaliseret i Danmark. I dansk ret er selve det at lave et hackerangreb dækket af gerningsindholdet i forskellige bestemmelser i straffeloven. Så hvis hackerne sad i et kælderlokale ude i Ballerup, ville vi kunne retsforfølge dem i Danmark – men når de sidder i Kina, Sydamerika, Rusland, eller et andet land, kan man egentlig ikke retsforfølge dem, medmindre det pågældende land selv tager sagen op eller der er et bilateralt samarbejde på politiområdet. Og i og med at mange af de her hackergrupper er statsfinansierede i lande, som ikke er Danmarks allierede, så er det jo overordentligt vanskeligt at komme selve retsforfølgelsen til livs. Derfor tror jeg, der skal internationale sanktioner på, hvis jeg skal være ærlig,” siger Christel Teglers.
Advokatbranchen er i samme båd som alle andre
Christel Teglers peger på, at hackerne særligt går efter virksomheder med samfundskritisk infrastruktur eller myndigheder, der er særligt afhængige af adgangen til deres systemer og data. Men advokatbranchen kan naturligvis også blive ramt, og er derfor i samme situation som alle andre virksomheder og organisationer.
”Vi (advokatbranchen, red.) skal være opmærksomme på det samme som andre offentlige og private organisationer. Vi er i besiddelse af fortrolig og i mange tilfælde yderst sensitive kommercielle og personlige informationer, hvor læk af data vil være katastrofalt for fortrolighed, tillid og omdømme. Indenfor ransomware er målgruppen især offentlige institutioner, herunder hospitalsvæsenet, og leverandører af samfundskritisk infrastruktur, eksempelvis indenfor energi- og finanssektoren, som advokatbranchen ikke falder ind under, men vi alle er i samme båd her,” siger hun.
Hendes forventning er, at advokatbranchen herhjemme har foretaget de mest gængse tiltag for at forsøge at undgå angreb.
”Min forventning vil være, at både i form af at købe systemmæssigt sikre løsninger hos velrenommerede leverandører, og i form af awareness-kampagner og træning af medarbejderne, fordi det er der, meget af det starter. Så de fleste vil nok mene, at de gør, hvad de skal,” siger hun, inden hun kommer med en lettere dyster uddybning:
”Realiteten er bare, at man ikke kan forvente, at man kan beskytte sig imod det. Det vil være totalt naivt at tro. Gartner estimerer, at i 2025 vil 75 procent af alle organisationer opleve et eller flere ransomware angreb. Det vil sige, at man observerer i hvert fald noget, der ligner en 700% stigning i antallet af angreb, og det fører mig tilbage til, at vi har jo de samme udfordringer som alle andre. Så ja, jeg vil tro, at der er meget stort fokus på det i branchen, men at realiteten er, at alle vil på et eller andet tidspunkt blive ramt af noget, og spørgsmålet er så, hvor alvorligt det er og hvor godt vi er forberedt på at håndtere det.”