Gang på gang bliver danske virksomheders hjemmesider lagt ned af kendte hackergrupper. For få dage siden var det (igen) SAS’ tur. Pludselig væltede det ind med så mange forespørgsler til selskabets webservere, at de gik ned med et brag. Det tog ikke lang tid, før frustrerede kunder udtalte sig til pressen – og det i en tid hvor SAS kæmper hårdt for at genvinde deres loyalitet. Timingen kunne ikke være dårligere, og det var ikke nogen tilfældighed.
Forløbet tegner et sigende billede af den forvirring og tøven, der hersker omkring de mange overbelastningsangreb (ddos), som danske virksomheder og myndigheder rammes af i øjeblikket. Og forvirringen bliver ikke mindre af, at diverse sikkerhedseksperter ofte citeres for, at ddos-angreb egentlig ikke er særlig farlige. Der bliver jo hverken stjålet eller ødelagt data. Det er “kun” webservere, der midlertidigt lægges ned – når angrebet er overstået, er alt godt igen.
Den holdning, mener jeg, er forkert. Især fordi angrebene helt åbenlyst vokser i antal. Dette bunder i en hastig professionalisering af det sorte marked for bestilte ddos-angreb. Det bliver hele tiden nemmere og billigere at købe sig til større angrebskapacitet.
“Nej, der bliver der ikke stjålet eller ødelagt data, men det er heller ikke meningen. Formålet med denne grove form for digital tæppebombning er at skabe frygt og forvirring
Der er tale om mafialignende tilstande, hvor enhver med penge på lommen kan købe sig til store angreb. Det gælder bare om at finde den rette udbyder på det mørke internet. Angiv venligst, hvem der skal angribes, hvor kraftigt angrebet skal være, og hvor lang tid det skal vare. Gå dernæst til kasse ét og betal med bitcoin. Farvel og tak.
Det kan lyde karikeret, men det er det ikke. Salg af angrebskapacitet og eksekvering af bestilte angreb er i dag en milliardindustri. De lyssky bagmænd tjener ikke alene enorme summer på at lamme udpegede mål over hele verden, de handler også med hinanden akkurat som lovlige virksomheder.
Det betyder, at ddos-angreb er et af de lettest tilgængelige våben i den hybridkrig, Danmark på grund af sin støtte til Ukraine er direkte involveret i. Der er ingen grund til at tro, denne trussel vil aftage – tværtimod. Hybridkrig er kommet for at blive, hvilket også afspejler sig i regeringens nye udspil til det kommende forsvarsforlig.
Nej, der bliver ikke stjålet eller ødelagt data, men det er heller ikke meningen. Formålet med denne grove form for digital tæppebombning er at skabe frygt og forvirring – en destabiliserende følelse af sårbarhed. Jo oftere det lykkes, jo større indtjening og jo mere blod på tanden får bagmændene. Tro mig – de angreb, vi læser om i pressen, udgør kun en brøkdel af, hvad der foregår derude.
Det er nærliggende at spørge: Vil vi fortsat tillade, at vores onlineforretninger udgør nemme mål for kyniske hackergrupper med stadig flere ressourcer til deres rådighed? For det er konsekvensen af en tilbagelænet holdning til ddos-angreb.
Der findes nok næppe en direktion eller bestyrelse, der ønsker at svare ja til det spørgsmål, og her når vi frem til et centralt dilemma. For uanset hvordan man vender og drejer det, så er der især én årsag til de mange vellykkede angreb: Manglende risk management.
Effektiv beskyttelse mod ddos-angreb er hverken særlig dyr eller kompliceret – relativt set. Årsagen er i højere grad, at ledelsen har undladt at tage stilling til denne risikofaktor eller ikke har fulgt sine konklusioner til dørs. Der bør findes klare svar på spørgsmål som:
Kan vi leve med, at hackere muligvis lukker vores onlineforretning i dagevis? Hvilke konsekvenser har det for vores omsætning? Renommé? Kundeservice? Partnerrelationer? Hvad koster det realistisk set pr. time eller døgn, at vores webservere er nede?
Min pointe er ikke, at alle organisationer bør fare ud og beskytte sig 100 pct. mod ddos-angreb. Pointen er, at der på topledelsesniveau bør tages stilling til alle relevante facetter af risikoen og handles derefter.
Vores verden og forretninger bliver hastigt mere digitale, og selvom vi i Danmark ynder at se os selv som digitale frontløbere, så har vi stadig brug for at justere på vores forretningskultur i forhold til cybersikkerhed, som bør integreres fuldstændigt.
Det betyder ikke, at vores direktioner og bestyrelser skal være tekniske sikkerhedseksperter. Men de bør omfavne risikovurdering af cybersikkerhed som et naturligt ansvarsområde. Det vil ruste dem godt til at finde de rigtige veje til en fremtid, hvor det næsten bliver umuligt for fremmede magter at lamme vores onlineforretninger, som det passer dem.
