GULDBORGSUND: - Det er helt sikkert ikke sidste gang, at vi ser sådan noget. Men jeg håber hver gang, det sker, at det bliver dén her sag, som får sat gang i tingene. Det er rystende, at der sker så lidt.
Sådan lyder det fra Jens Myrup Pedersen, der er professor i cybersikkerhed ved Aalborg Universitet og desuden også landstræner for det danske cyberlandshold.
Det, han taler om, er cybersikkerheden i landets kommuner med afsæt i det nylige hackerangreb mod Guldborgsund Kommune, hvor det lykkedes en eller flere ukendte gerningsmænd at skaffe sig adgang til en medarbejders mailkonto og efterfølgende få kommunens økonomiafdeling til at udbetale knap 1,4 millioner kroner til konti i fire forskellige banker i Belgien, Tyskland og Spanien.
Kommunen udsendte tidligere på ugen en længere pressemeddelelse om hackerangrebet, og Jens Myrup Pedersen understreger, at han kun kender sagen fra pressemeddelelsen. Informationerne heri er dog nok til, at han synes, han kan genkende et mønster, han har set før.
- Hvis først man er inde, kan man sende mails i den hackede medarbejders navn og se, hvad der ellers ligger i den pågældendes indbakke. Det er ikke let at opdage som medarbejder, hvis først det er sket, for dem, der laver det, er professionelle.
- Det kunne godt se ud til, at kommunen (Guldborgsund, red.) ikke har to-faktor-login på deres mailkonti (hvor man eksempelvis også får en kode via sms, som man skal taste ind, før man kan logge på, red.). Og hvis det er tilfældet, er det ringe, mener Jens Myrup Pedersen.
Det afvises dog af kommunaldirektør Søren Bonde, som oplyser til Folketidende, at to-faktor-login er det normale i kommunerne.
Ifølge Jens Myrup Pedersen var netop manglende to-faktor-login tilfældet i forbindelse med den førnævnte sag fra Høje Taastrup Kommune.
- Jeg er ikke overrasket, men det er ærgerligt, at sikkerheden er så ringe i kommunerne. Hver gang, der sker et læk af følsomme oplysninger, er det med til at underminere borgernes tillid til vores digitale samfund, siger han.
I løbet af næste år bliver en lang række virksomheder og offentlige forvaltningsenheder underlagt et nyt EU-direktiv, der skal øge cybersikkerheden. Jens Myrup Pedersen ser gerne, at der bliver stillet større krav til kommunernes cybersikkerhed, og at de får hjælp fra centralt hold til at leve op til det.
- Der er mange fordele ved at digitalisere, men man skal huske at have sikkerheden med, siger han.
Bedre koordinering og samarbejde
Gert Læssøe Mikkelsen, der er chef for cybersikkerheds-afdelingen på Alexandra Instituttet, mener også, at kommunerne generelt kunne blive bedre til at koordinere og samarbejde om it-sikkerhed.
Alexandra Instituttets opgave er at sikre, at den nyeste it-forskning kommer ud i erhvervslivet og det offentlige og skaber værdi.
Han kender også kun sagen fra Guldborgsund Kommune via omtale i pressen, men han hæfter sig blandt andet ved en ting:
- Det lader til, art man er gået specifikt efter den pågældende medarbejder eller en med den jobfunktion. Måske har hackerne haft konkret kendskab til kommunen, eller de har fundet frem til vedkommende via LinkedIn eller kommunens hjemmeside.
Ligesom Jens Myrup Pedersen, anbefaler Gert Læssøe Mikkelsen også, at man har to-faktor-login, når man skal åbne sin mailkonto.
- Jeg tror desværre, at det kunne ske i mange private virksomheder også. Cybertruslen mod Danmark er meget høj og har været det længe. Der er mange, der gerne vil tjene penge på den måde, hvis de kan slippe afsted med det, så jeg vil ikke blive overrasket, hvis det sker igen, siger Gert Læssøe Mikkelsen.
Læs også: