skærmdump
Affotografering af skærmdump til afpresning af penge for at låse filerne op igen.
Foto: Mads Jensen / Ritzau Scanpix

IT-sikkerhed

journalist Mikkel Danielsen, Bureauet, august 2018.
Top image group
skærmdump
Affotografering af skærmdump til afpresning af penge for at låse filerne op igen.
Foto: Mads Jensen / Ritzau Scanpix

Indledning

Internettet har givet et hav af nye muligheder til borgere, virksomheder og myndigheder. Men med de mange nye digitale teknologier kommer også nye risici: hacking, identitetstyveri, overvågning og mange andre former for IT-kriminalitet. Truslerne skifter konstant karakter og kræver, at både den enkelte borgere og samfundet gør en indsats, hvis IT-sikkerheden skal være i top.

 

Borgerservice har talt med danskere, som er blevet udsat for svindel på nettet.

 

Artikel type
faktalink

Baggrund om IT-sikkerhed

Hvad er IT-sikkerhed?

Grundlæggende handler IT-sikkerhed om at beskytte informationer på internettet, computere og computernetværk. Mange forbinder IT-sikkerhed med antivirusprogrammer og stærke kodeord. Men IT-sikkerhed dækker mere end det – alt fra den enkelte borgers adfærd på internettet, til hvordan nationer og det internationale samfund tilrettelægger sin IT-politik for at beskytte sig mod IT-kriminalitet og cyberangreb.

Hvad er IT-kriminalitet?

IT-kriminalitet er en betegnelse for en lang forskellige former for kriminalitet, der har vundet indpas i takt med, at vores samfund er blevet mere og mere digitalt. En opgørelse fra Det Kriminalpræventive Råd (DKR) viste, at 150.000 danskere blev udsat for IT-kriminalitet i 2014, fremgår det af rapporten Cybercrime (se kilder).

Det Kriminalpræventive Råd deler IT-kriminalitet op i tre kategorier, som hver især kræver forskellige sikkerhedsmæssige tiltag:

· Computerintegritetsforbrydelser: De kriminelle går efter at ramme computeren direkte for på den måde at beskadige eller bryde ind i computeren eller computersystemet. Det kan eksempelvis være hacking, virusangreb, trojanske heste eller såkaldte DDOS-angreb, der kan lægge en hjemmeside ned. Ofte rettes disse typer angreb mod myndigheder eller virksomheder.

· Computerassisterede forbrydelser: Omfatter mere traditionelle typer af kriminalitet som tyveri og bedrag, hvor computerbaseret teknologi anvendes som redskab – eksempelvis identitetstyveri, misbrug af betalingskort, datingbedrageri eller phishing, som bliver beskrevet senere i artiklen.

· Computerindholdsforbrydelser: Deling og distribuering af ulovligt materiale online, eksempelvis børneporno eller racistisk materiale.

De digitale trusler

Hvem har ansvaret for sikkerheden på nettet?

Som borger er der en lang række ting, man selv kan gøre for at mindske risikoen at blive udsat for kriminalitet eller misbrug på internettet. Det skriver blandt andet TV2 i artiklen “Guide: Sådan beskytter du dig mod kriminelle på nettet” (se kilder). Men som med al anden kriminalitet er offeret for IT-kriminalitet ikke selv skyld i forbrydelsen. Derfor har virksomheder også et ansvar for, at det er sikkert at færdes på deres hjemmesider, mens politikere og myndigheder har ansvar for at udforme reguleringer og politik, der skal sikre vores færden på nettet. Alle parter har et ansvar for at øge IT-sikkerheden, skriver Det Kriminalpræventive Råd: “I realiteten er ansvaret ofte delt mellem mange forskellige aktører. Sandheden er nemlig, at vi hver især – det være sig som privatperson, virksomhed eller myndighed – kan gøre noget for at beskytte os selv, vores virksomhed, vores kunder eller borgerne i samfundet,” fremgår det af rapporten “Når Forbrydelser Bliver Digitale” (se kilder).

I de kommende afsnit beskrives nogle af de mest hyppige og alvorlige IT-trusler, og hvordan privatpersoner og myndigheder bedst beskytter sig mod dem.

Hvad er misbrug af betalingskort?

Den mest udbredte form for IT-kriminalitet mod privatpersoner er misbrug af betalingskort tilhørende personer, der handler på nettet, skriver Det Kriminalpræventive Råd i artiklen “It-kriminalitet i tal” (se kilder). De seneste tal anslår, at 1,78 % af danskerne var udsat for betalingskortmisbrug i 2014. Det svarer til 74.400 personer.

For at bekæmpe svindlen indførte betalingskortudstederen Nets i 2017 to tiltag, der skulle gøre det vanskeligere at svindle med danskernes kort. For det første modtager alle e-handlende en kode på SMS, som skal indtastes, hvis man handler for mere end 450 kr. For det andet har Nets lanceret et program, der ved hjælp af kunstig intelligens advarer om mystiske dankorttransaktioner, skriver DR i artiklen “Gode råd: Sådan handler du sikkert på nettet” (se kilder). Artiklen nævner en række forholdsregler, som privatpersoner kan tage for at undgå, at dankortet bliver misbrugt:

· Vær forsigtig med at handle på hjemmesider, du ikke kender, og som ser mistænkelige ud. Mange stavefejl eller mange skæve priser kan f.eks. være tegn på, at hjemmesiden er direkte oversat af en computer.

· Sørg for at betale med betalingskortet gennem autoriserede hjemmesider. Oplys ikke kortnummer i mails og tjek gerne, om hjemmesiden har et CVR-nummer eller e-mærke.

Hvad er phishing og direktørsvindel?

I forsøget på at franarre privatpersoner og virksomheder penge, bliver IT-kriminelle stadigt mere kreative. Blandt de nyeste former for IT-kriminalitet er såkaldt phishing og direktørsvindel, skriver IT-mediet Version2 i artiklen “Falske direktørmails i kraftig stigning” (se kilder).

Phishing foregår oftest over mail og er kendetegnet ved, at en medarbejder eller privatperson modtager en e-mail fra en afsender, som man fejlagtigt tror, er en kollega, bekendt, en troværdig myndighed eller virksomhed såsom SKAT eller Nem-ID. Mailen indeholder ofte en forespørgsel på at sende bank- eller loginoplysninger.

De kriminelle bag disse mails bliver dygtigere, skriver Forbrugerrådet Tænk i artiklen “Fupmails: Sådan gennemskuer du dem” (se kilder), og ofte ligner disse mails troværdige e-mails til forveksling.

På det seneste er især virksomheder blevet udsat for en gren af denne type IT-kriminalitet, der kaldes direktørsvindel. Her udgiver de kriminelle sig ofte for at være chef i en virksomhed og lykkes med at overbevise en medarbejder om at overføre penge til en konto. Siden midten af 2016 er danske virksomheder blevet franarret mere end 200 millioner kroner gennem denne type svindel, skriver DR i artiklen “Falske direktører har snydt sig til 200 mio. kroner på under et år (se kilder).

For at sikre sig mod phishing og direktørsvindel anbefaler Forbrugerrådet Tænk i artiklen “Fupmails: Sådan gennemskuer du dem” (se kilder), at man aldrig udleverer følsomme oplysninger over mails, da SKAT eller andre myndigheder aldrig vil bede om disse oplysninger over mail. Hvis e-mailen kommer fra en virksomhed, som man ikke kender, anbefaler Tænk, at man tjekker, om virksomheden er reel, ved f.eks. at tjekke virksomhedens hjemmeside på dk-hostmaster.dk, hvor man kan se, hvor i verden domænet er registreret. Modtager man en mail fra sin chef, der handler om pengetransaktioner, bør man ringe og få forespørgslen bekræftet, skriver TV2 i artiklen “Ny direktørsvindel rammer Danmark” (se kilder).

 

Jyske Banks tv-kanal forklarer, hvad direktørsvindel er.

 

Hvad er identitetstyveri?

Identitetstyveri er, når en person tilegner sig andres personoplysninger eller udgiver for at være en anden person. Det kan eksempelvis være misbrug af navn, CPR-nummer, mail-konto eller andre identitetsbeviser. Med en andens persons identifikationsoplysninger kan en kriminel eksempelvis oprette abonnementer online eller købe ting på nettet med kredit. I 2014 blev cirka 34.000 danskere udsat for identitetstyveri, viser tal fra Det Kriminalpræventive Råds opgørelse “IT-kriminalitet i tal” (se kilder)

Identitetsoplysninger kan franarres gennem svindelmails, som får privatpersoner til at udlevere følsomme oplysninger, men også når virksomheder eller databaser bliver hacket og kriminelle dermed får adgang til ID-oplysninger, skriver Jyllands-Posten i artiklen “Hvad er identitetstyveri” (se kilder).

I rapporten “Når forbrydelser bliver digitale” giver Det Kriminalpræventive Råd (se kilder) råd til, hvordan man kan sikre sig mod identitetstyveri:

· Undlad at videregive personlige oplysninger som CPR-nummer i mails eller på sociale medier.

· Undlad at bruge samme login-oplysninger til alle mailkonti og digitale profiler.

· Opbevar ikke alle dine personlige kort i samme pung.

 

Alka Forsikring giver råd til, hvordan identitetstyveri kan undgås.

Hvad er cyberspionage?

IT-truslerne er langtfra kun en risiko for privatpersoner. Stater, myndigheder og multinationale virksomheder kan også blive ramt af IT-kriminalitet. Det danske Center for Cybersikkerhed, der hører under Forsvarets Efterretningstjeneste, vurderede i 2017, at truslen fra cyberspionage mod danske myndigheder og private virksomheder er “meget høj,” hvilket er det højest mulige trusselsniveau (se kilder). Center for Cybersikkerhed har blandt andet kendskab til forsøg på cyberspionage mod Udenrigsministeriet og Forsvarsministeriet.

Ofte bliver cyberspionage begået af fremmede stater, skriver DR i artiklen “Overblik: Her er cybertruslerne mod Danmark” (se kilder). Det kan være i forsøg på at få fat i interne dokumenter, der kan give viden op til vigtige internationale forhandlinger.

Når virksomheder udsættes for cyberspionage, kan det være forsøg på at kopiere produkter eller for at finde ud af, hvordan en konkurrerende virksomhed agerer på et marked.

Antallet af forsøg på cyberspionage mod danske myndigheder og virksomheder er stigende, skriver Center for Cybersikkerhed.

Hvad er cyberterror og destruktive cyberangreb?

Den mest alvorlige – men yderst sjældne – form for IT-trusser er cyberterrorisme og såkaldte destruktive cyberangreb, der har til formål at forårsage store ødelæggelser eller dødsfald.

Der findes flere definitioner af cyberterror, men ifølge Center for Cybersikkerheds seneste analyse “Cybertruslen mod Danmark” (se kilder) drejer det sig om “terrorhandlinger via internettet med det formål at forårsage død eller voldsom ødelæggelse”. Det er eksempelvis ikke cyberterrorisme, når terrororganisationer bruger internettet til at sprede budskaber eller rekruttere medlemmer.

Center for Cybersikkerhed vurderer, at risikoen for cyberterrorangreb er “lav,” da de ekstremistiske grupper ikke har de fornødne ressourcer til et angreb. Et tænkt eksempel på cyberterrorisme kunne ifølge rapporten være, at en terrorgruppe forsøger at forsinke førstehjælp eller svække et beredskab under et regulært terrorangreb.

Såkaldte destruktive cyberangreb er angreb, hvor “den forventede effekt af angrebet er død, personskade, betydelig skade på fysiske objekter eller ødelæggelse eller forandring af informationer, data eller software, så de ikke længere kan anvendes,” skriver Center for Cybersikkerhed. Det er en IT-trussel, som stater kan benytte under krig eller konflikter. Under konflikten i Ukraine i 2015, blev flere elselskaber eksempelvis ramt af et cyberangreb, der betød, at flere bygninger i en hel region var uden strøm i flere timer, skriver DR i artiklen “Overblik: Her er cybertruslerne mod Danmark” (se kilder).

Hvad er deling af krænkende materiale?

Unges adgang til internettet og smartphones har skabt en ny ubehagelig trussel på nettet: deling af krænkende billeder. Det er ulovligt at dele seksuelle og krænkende billeder eller videoer af andre uden deres samtykke i henhold til straffeloven (se kilder). Alligevel sker det ofte. I starten af 2018 blev mere end 1.000 danskere sigtet for at have delt en sexvideo af en 15-årig pige og flere drenge gennem Facebooks chat-platform Messenger.

Ifølge Ritzau-artiklen ”Overblik: Her er sagen om deling af sexvideoer” i Jyllands-Posten (se kilder) har landsretten kørt en række prøvesager, hvor to af de anklagede har fået betingede fængselsdomme. Tre er straffet med bøder. En er blevet frifundet. Og så har landsretten stadfæstet en betinget fængselsstraf på 30 dage til en 20-årig mand.

Flere kampagner fra en række organisationer opfordrer unge til at slette krænkende billeder omgående. Det Kriminalpræventive Råd skriver blandt andet i sin vejledning “Deling af billeder” (se kilder):

· Del aldrig billeder eller video, som du ikke har fået lov til at dele – heller ikke med de bedste venner.

· Modtager man krænkende eller seksuelt materiale, uden at have tilladelse af de medvirkende, skal det slettes omgående. Det gælder på alle digitale platforme og sociale medier.

· Har man gemt seksuelle eller krænkende billeder eller videoer på computeren eller telefonen, skal de slettes.

· Har man allerede delt krænkende billeder eller videoer, skal man kontakte dem, man har sendt det til og sige, at billeder og videoer skal slettes med det samme.

 

Kampagne, der opfordrer til at bremse deling af intimt materiale. Udarbejdet i samarbejde med Undervisningsministeriet, Red Barnet, Sex og Samfund og Børns Vilkår.

Tiltag for at forbedre IT-sikkerheden

Hvad er persondataforordningen?

For at forbedre beskyttelsen af de europæiske borgeres data på nettet vedtog EU i 2016 en omfattende lov, persondataforordningen. Den nye EU-lov trådte i kraft 25. maj 2018.

Forordningen stiller en lang række sikkerhedskrav til virksomheder, der håndterer persondata digitalt. Og det gør stort set alle virksomheder, da persondata dækker over oplysninger som adresser, e-mails, CPR-numre, bankoplysninger eller billeder.

Mange af reglerne om, hvordan persondata skal beskyttes mod tyveri og deling med tredjepart, findes allerede i den danske persondatalov (se kilder), men EU-forordningen medfører også en række stramninger af reglerne. Erhvervsorganisationen Dansk Industri (DI) har samlet et overblik over de væsentligste ændringer i folderen “Persondataforordningen – i kort form” (se kilder). Organisationen skriver blandt andet:

· Mange virksomheder skal fremover have en databeskyttelsesrådgiver – en ansat, der holder øje med, at virksomheden overholder reglerne om databeskyttelse, og som skal rapportere direkte til virksomhedens øverste ledelse.

· Borgernes samtykke til at overgive data til virksomheden skal være tydeligere, så borgerne klart informeres om, hvilke data de giver samtykke til at dele. Det skal også sikres, at borgeren præsenteres for et reelt og frit valg, når det handler om at dele oplysninger med en virksomhed.

· Virksomheder risikerer millionbøder, hvis ikke de har styr på datasikkerheden. I dag kan Datatilsynet give bøde på op til 25.000 kroner, men med den nye forordning kan virksomheder få bøder på helt op til 4% af deres årlige globale omsætning, hvis de groft forsømmer deres forpligtelser.

 

Organisationen Dansk IT forklarer EUs nye Persondataforordning.

 

Hvad er Danmarks digitale infrastruktur?

I et samfund som det danske er vitale samfundsfunktioner som sundhedsvæsenet, banker, energiforsyningen, styrelser og ministerier dybt afhængige af adgang til internettet. Det kan ramme Danmark og danskerne hårdt, hvis den nationale digitale infrastruktur angribes. Men den danske digitale infrastruktur er ikke tilstrækkeligt beskyttet mod de nye trusler, sagde innovationsminister Sophie Løhde (V) i februar 2018 i en pressemeddelelse fra Finansministeriet (se kilder): “der er steder, hvor der ikke er godt nok styr på it-sikkerheden. Det skal der selvfølgelig rettes op på i en fart,” udtalte ministeren.

På Finansloven for 2018 afsatte regeringen 100 millioner kroner, der skal beskytte den offentlige sektor mod virus- og hackerangreb, skrev Computerworld i artiklen “Nu skal den digitale infrastruktur topsikres” (se kilder). “Når vores digitale infrastruktur angribes, kan det have alvorlige økonomiske og samfundsmæssige konsekvenser,” skrev regeringen i sit forslag til Finansloven 2018 (se kilder).

Der arbejdes i øjeblikket på en såkaldt “Ny National strategi for cyber- og informationssikkerhed”, der ifølge forsvarsminister Claus Hjort Frederiksen (V) skal tage højde for, at “Danmark står over for en reel cybertrussel”. Det fremgår af en pressemeddelelse fra Digitaliseringsstyrelsen (se kilder).

Perspektiv på IT-sikkerhed

Hvad er debatten om sociale medier og retten til privatliv?

Når vi bruger internettet, efterlader vi konstant digitale aftryk – data, som bliver opsamlet af de hjemmesider, vi besøger. Eksempelvis gemmer Google søgninger i 10 år, skriver DR i artiklen “Forbrugerrådet anmelder Google for at krænke retten til privatliv” (se kilder). Facebook har adgang til enorme mængder data om vores privatliv: Hvem vi skriver beskeder til, hvilke fotos vi lægger op, hvad vi liker, hvor vi befinder os og meget andet, skriver DR i artiklen “Hvad ved Facebook om mig” (se kilder). Alt, vi foretager os på nettet, netbank, e-mails, chatsamtaler, tjek af sundhedsjournaler og alt muligt andet, efterlader digitale spor.

Vi afslører alverdens ting om os selv på nettet – særligt på sociale medier – og en tilbagevendende debat handler om, hvorvidt vores brug af internettets mange muligheder kompromitterer den grundlæggende ret til privatliv. Vores digitale fodaftryk kan bruges af virksomheder til at målrette reklamer mod os, men kan også overvåges af myndigheder eller risikere at havne i hænderne på kriminelle, skriver Politiken i artiklen “Her er værktøjerne, der sikrer dit privatliv på nettet” (se kilder).

“I takt med at teknologi i stigende grad bliver integreret i vores hverdag, flyder grænserne mellem digitalt privatliv og offentlighed sammen,” skriver Natascha Friis Saxberg – forfatter til bøger og artikler om det digitale menneske – i klummen “Vores privatliv er en online affære” i Mandag Morgen (se kilder).

Debatten fik fornyet liv i foråret 2018, da det viste sig, at Facebook-data blev brugt til at påvirke vælgere under vigtige politiske valg. Se nærmere i faktalink-artiklen Facebook.

Hvorfor er data lig med penge?

Mange af de mest populære sociale medier og websites som Facebook, Instagram, Twitter og Google er gratis at bruge. Alligevel omsætter disse virksomheder for enorme milliardbeløb, skriver TV2 i artiklen “Her er de 10 mest værdifulde firmaer i verden” (se kilder). Det skyldes, at de tjener penge på brugernes data.

Det foregår ved, at internetvirksomhederne gemmer alle de informationer, som de får, når brugerne klikker og bevæger sig rundt på hjemmesiderne. De digitale data giver et unikt indblik i den enkelte persons vaner og tilbøjeligheder og kan derfor sælges til virksomheder, som ønsker at bestemme, præcist hvem de præsenterer for deres annoncer og reklamer, skriver TV2 i artiklen “Sådan tjener Facebook milliarder på dig” (se kilder).

Baggrundskilder

Originalkilder

Holten, Emma: Samtykke. Friktion, 2014-09-01.
Center for Cybersikkerhed: Cybertruslen mod Danmark, FE, 2017-02.

Rapporter

Center for Cybersikkerhed har samlet en række vejledninger til, hvordan privatpersoner, virksomheder og myndigheder sikrer sig mod IT-kriminalitet.

Artikler

Jung, Eva, Lars Nørgaard og Jesper Woldenhof: Sporet. Berlingske, 2014-02.

Radio

Radio24syv, 2017-08-03.

Søgning i bibliotek.dk

Emnesøgning på it-sikkerhed

Kilder citeret i artiklen

Pressemeddelelser og informationer

Fm.dk, 2018-02-09.

Artikler

Jyllands-Posten, 2018-06-29.
Jyllands-Posten, 2011-06-18.