skærmdump
Affotografering af skærmdump til afpresning af penge for at låse filerne op igen.
Foto: Mads Jensen / Ritzau Scanpix

IT-sikkerhed

journalist Mikkel Danielsen, Bureauet, august 2018.
Top image group
skærmdump
Affotografering af skærmdump til afpresning af penge for at låse filerne op igen.
Foto: Mads Jensen / Ritzau Scanpix

Indledning

Internettet har givet et hav af nye muligheder til borgere, virksomheder og myndigheder. Men med de mange nye digitale teknologier kommer også nye risici: hacking, identitetstyveri, overvågning og mange andre former for IT-kriminalitet. Truslerne skifter konstant karakter og kræver, at både den enkelte borgere og samfundet gør en indsats, hvis IT-sikkerheden skal være i top.

 

Borgerservice har talt med danskere, som er blevet udsat for svindel på nettet.

 

Artikel type
faktalink

Baggrund om IT-sikkerhed

Hvad er IT-sikkerhed?

Grundlæggende handler IT-sikkerhed om at beskytte informationer på internettet, computere og computernetværk. Mange forbinder IT-sikkerhed med antivirusprogrammer og stærke kodeord. Men IT-sikkerhed dækker mere end det – alt fra den enkelte borgers adfærd på internettet, til hvordan nationer og det internationale samfund tilrettelægger sin IT-politik for at beskytte sig mod IT-kriminalitet og cyberangreb.

Hvad er IT-kriminalitet?

IT-kriminalitet er en betegnelse for en lang forskellige former for kriminalitet, der har vundet indpas i takt med, at vores samfund er blevet mere og mere digitalt. En opgørelse fra Det Kriminalpræventive Råd (DKR) viste, at 150.000 danskere blev udsat for IT-kriminalitet i 2014, fremgår det af rapporten Cybercrime (se kilder).

Det Kriminalpræventive Råd deler IT-kriminalitet op i tre kategorier, som hver især kræver forskellige sikkerhedsmæssige tiltag:

· Computerintegritetsforbrydelser: De kriminelle går efter at ramme computeren direkte for på den måde at beskadige eller bryde ind i computeren eller computersystemet. Det kan eksempelvis være hacking, virusangreb, trojanske heste eller såkaldte DDOS-angreb, der kan lægge en hjemmeside ned. Ofte rettes disse typer angreb mod myndigheder eller virksomheder.

· Computerassisterede forbrydelser: Omfatter mere traditionelle typer af kriminalitet som tyveri og bedrag, hvor computerbaseret teknologi anvendes som redskab – eksempelvis identitetstyveri, misbrug af betalingskort, datingbedrageri eller phishing, som bliver beskrevet senere i artiklen.

· Computerindholdsforbrydelser: Deling og distribuering af ulovligt materiale online, eksempelvis børneporno eller racistisk materiale.

De digitale trusler

Hvem har ansvaret for sikkerheden på nettet?

Som borger er der en lang række ting, man selv kan gøre for at mindske risikoen at blive udsat for kriminalitet eller misbrug på internettet. Det skriver blandt andet TV2 i artiklen “Guide: Sådan beskytter du dig mod kriminelle på nettet” (se kilder). Men som med al anden kriminalitet er offeret for IT-kriminalitet ikke selv skyld i forbrydelsen. Derfor har virksomheder også et ansvar for, at det er sikkert at færdes på deres hjemmesider, mens politikere og myndigheder har ansvar for at udforme reguleringer og politik, der skal sikre vores færden på nettet. Alle parter har et ansvar for at øge IT-sikkerheden, skriver Det Kriminalpræventive Råd: “I realiteten er ansvaret ofte delt mellem mange forskellige aktører. Sandheden er nemlig, at vi hver især – det være sig som privatperson, virksomhed eller myndighed – kan gøre noget for at beskytte os selv, vores virksomhed, vores kunder eller borgerne i samfundet,” fremgår det af rapporten “Når Forbrydelser Bliver Digitale” (se kilder).

I de kommende afsnit beskrives nogle af de mest hyppige og alvorlige IT-trusler, og hvordan privatpersoner og myndigheder bedst beskytter sig mod dem.

Hvad er misbrug af betalingskort?

Den mest udbredte form for IT-kriminalitet mod privatpersoner er misbrug af betalingskort tilhørende personer, der handler på nettet, skriver Det Kriminalpræventive Råd i artiklen “It-kriminalitet i tal” (se kilder). De seneste tal anslår, at 1,78 % af danskerne var udsat for betalingskortmisbrug i 2014. Det svarer til 74.400 personer.

For at bekæmpe svindlen indførte betalingskortudstederen Nets i 2017 to tiltag, der skulle gøre det vanskeligere at svindle med danskernes kort. For det første modtager alle e-handlende en kode på SMS, som skal indtastes, hvis man handler for mere end 450 kr. For det andet har Nets lanceret et program, der ved hjælp af kunstig intelligens advarer om mystiske dankorttransaktioner, skriver DR i artiklen “Gode råd: Sådan handler du sikkert på nettet” (se kilder). Artiklen nævner en række forholdsregler, som privatpersoner kan tage for at undgå, at dankortet bliver misbrugt:

· Vær forsigtig med at handle på hjemmesider, du ikke kender, og som ser mistænkelige ud. Mange stavefejl eller mange skæve priser kan f.eks. være tegn på, at hjemmesiden er direkte oversat af en computer.

· Sørg for at betale med betalingskortet gennem autoriserede hjemmesider. Oplys ikke kortnummer i mails og tjek gerne, om hjemmesiden har et CVR-nummer eller e-mærke.

Hvad er phishing og direktørsvindel?

I forsøget på at franarre privatpersoner og virksomheder penge, bliver IT-kriminelle stadigt mere kreative. Blandt de nyeste former for IT-kriminalitet er såkaldt phishing og direktørsvindel, skriver IT-mediet Version2 i artiklen “Falske direktørmails i kraftig stigning” (se kilder).

Phishing foregår oftest over mail og er kendetegnet ved, at en medarbejder eller privatperson modtager en e-mail fra en afsender, som man fejlagtigt tror, er en kollega, bekendt, en troværdig myndighed eller virksomhed såsom SKAT eller Nem-ID. Mailen indeholder ofte en forespørgsel på at sende bank- eller loginoplysninger.

De kriminelle bag disse mails bliver dygtigere, skriver Forbrugerrådet Tænk i artiklen “Fupmails: Sådan gennemskuer du dem” (se kilder), og ofte ligner disse mails troværdige e-mails til forveksling.

På det seneste er især virksomheder blevet udsat for en gren af denne type IT-kriminalitet, der kaldes direktørsvindel. Her udgiver de kriminelle sig ofte for at være chef i en virksomhed og lykkes med at overbevise en medarbejder om at overføre penge til en konto. Siden midten af 2016 er danske virksomheder blevet franarret mere end 200 millioner kroner gennem denne type svindel, skriver DR i artiklen “Falske direktører har snydt sig til 200 mio. kroner på under et år (se kilder).

For at sikre sig mod phishing og direktørsvindel anbefaler Forbrugerrådet Tænk i artiklen “Fupmails: Sådan gennemskuer du dem” (se kilder), at man aldrig udleverer følsomme oplysninger over mails, da SKAT eller andre myndigheder aldrig vil bede om disse oplysninger over mail. Hvis e-mailen kommer fra en virksomhed, som man ikke kender, anbefaler Tænk, at man tjekker, om virksomheden er reel, ved f.eks. at tjekke virksomhedens hjemmeside på dk-hostmaster.dk, hvor man kan se, hvor i verden domænet er registreret. Modtager man en mail fra sin chef, der handler om pengetransaktioner, bør man ringe og få forespørgslen bekræftet, skriver TV2 i artiklen “Ny direktørsvindel rammer Danmark” (se kilder).

 

Jyske Banks tv-kanal forklarer, hvad direktørsvindel er.

 

Hvad er identitetstyveri?

Identitetstyveri er, når en person tilegner sig andres personoplysninger eller udgiver for at være en anden person. Det kan eksempelvis være misbrug af navn, CPR-nummer, mail-konto eller andre identitetsbeviser. Med en andens persons identifikationsoplysninger kan en kriminel eksempelvis oprette abonnementer online eller købe ting på nettet med kredit. I 2014 blev cirka 34.000 danskere udsat for identitetstyveri, viser tal fra Det Kriminalpræventive Råds opgørelse “IT-kriminalitet i tal” (se kilder)

Identitetsoplysninger kan franarres gennem svindelmails, som får privatpersoner til at udlevere følsomme oplysninger, men også når virksomheder eller databaser bliver hacket og kriminelle dermed får adgang til ID-oplysninger, skriver Jyllands-Posten i artiklen “Hvad er identitetstyveri” (se kilder).

I rapporten “Når forbrydelser bliver digitale” giver Det Kriminalpræventive Råd (se kilder) råd til, hvordan man kan sikre sig mod identitetstyveri:

· Undlad at videregive personlige oplysninger som CPR-nummer i mails eller på sociale medier.

· Undlad at bruge samme login-oplysninger til alle mailkonti og digitale profiler.

· Opbevar ikke alle dine personlige kort i samme pung.

 

Alka Forsikring giver råd til, hvordan identitetstyveri kan undgås.

Hvad er cyberspionage?

IT-truslerne er langtfra kun en risiko for privatpersoner. Stater, myndigheder og multinationale virksomheder kan også blive ramt af IT-kriminalitet. Det danske Center for Cybersikkerhed, der hører under Forsvarets Efterretningstjeneste, vurderede i 2017, at truslen fra cyberspionage mod danske myndigheder og private virksomheder er “meget høj,” hvilket er det højest mulige trusselsniveau (se kilder). Center for Cybersikkerhed har blandt andet kendskab til forsøg på cyberspionage mod Udenrigsministeriet og Forsvarsministeriet.

Ofte bliver cyberspionage begået af fremmede stater, skriver DR i artiklen “Overblik: Her er cybertruslerne mod Danmark” (se kilder). Det kan være i forsøg på at få fat i interne dokumenter, der kan give viden op til vigtige internationale forhandlinger.

Når virksomheder udsættes for cyberspionage, kan det være forsøg på at kopiere produkter eller for at finde ud af, hvordan en konkurrerende virksomhed agerer på et marked.

Antallet af forsøg på cyberspionage mod danske myndigheder og virksomheder er stigende, skriver Center for Cybersikkerhed.

Hvad er cyberterror og destruktive cyberangreb?

Den mest alvorlige – men yderst sjældne – form for IT-trusser er cyberterrorisme og såkaldte destruktive cyberangreb, der har til formål at forårsage store ødelæggelser eller dødsfald.

Der findes flere definitioner af cyberterror, men ifølge Center for Cybersikkerheds seneste analyse “Cybertruslen mod Danmark” (se kilder) drejer det sig om “terrorhandlinger via internettet med det formål at forårsage død eller voldsom ødelæggelse”. Det er eksempelvis ikke cyberterrorisme, når terrororganisationer bruger internettet til at sprede budskaber eller rekruttere medlemmer.

Center for Cybersikkerhed vurderer, at risikoen for cyberterrorangreb er “lav,” da de ekstremistiske grupper ikke har de fornødne ressourcer til et angreb. Et tænkt eksempel på cyberterrorisme kunne ifølge rapporten være, at en terrorgruppe forsøger at forsinke førstehjælp eller svække et beredskab under et regulært terrorangreb.

Såkaldte destruktive cyberangreb er angreb, hvor “den forventede effekt af angrebet er død, personskade, betydelig skade på fysiske objekter eller ødelæggelse eller forandring af informationer, data eller software, så de ikke længere kan anvendes,” skriver Center for Cybersikkerhed. Det er en IT-trussel, som stater kan benytte under krig eller konflikter. Under konflikten i Ukraine i 2015, blev flere elselskaber eksempelvis ramt af et cyberangreb, der betød, at flere bygninger i en hel region var uden strøm i flere timer, skriver DR i artiklen “Overblik: Her er cybertruslerne mod Danmark” (se kilder).

Hvad er deling af krænkende materiale?

Unges adgang til internettet og smartphones har skabt en ny ubehagelig trussel på nettet: deling af krænkende billeder. Det er ulovligt at dele seksuelle og krænkende billeder eller videoer af andre uden deres samtykke i henhold til straffeloven (se kilder). Alligevel sker det ofte. I starten af 2018 blev mere end 1.000 danskere sigtet for at have delt en sexvideo af en 15-årig pige og flere drenge gennem Facebooks chat-platform Messenger.

Ifølge Ritzau-artiklen ”Overblik: Her er sagen om deling af sexvideoer” i Jyllands-Posten (se kilder) har landsretten kørt en række prøvesager, hvor to af de anklagede har fået betingede fængselsdomme. Tre er straffet med bøder. En er blevet frifundet. Og så har landsretten stadfæstet en betinget fængselsstraf på 30 dage til en 20-årig mand.

Flere kampagner fra en række organisationer opfordrer unge til at slette krænkende billeder omgående. Det Kriminalpræventive Råd skriver blandt andet i sin vejledning “Deling af billeder” (se kilder):

· Del aldrig billeder eller video, som du ikke har fået lov til at dele – heller ikke med de bedste venner.

· Modtager man krænkende eller seksuelt materiale, uden at have tilladelse af de medvirkende, skal det slettes omgående. Det gælder på alle digitale platforme og sociale medier.

· Har man gemt seksuelle eller krænkende billeder eller videoer på computeren eller telefonen, skal de slettes.

· Har man allerede delt krænkende billeder eller videoer, skal man kontakte dem, man har sendt det til og sige, at billeder og videoer skal slettes med det samme.

 

Kampagne, der opfordrer til at bremse deling af intimt materiale. Udarbejdet i samarbejde med Undervisningsministeriet, Red Barnet, Sex og Samfund og Børns Vilkår.