IT-sikkerhed

Hvad er IT-sikkerhed?

Grundlæggende handler IT-sikkerhed om at beskytte informationer på internettet, på computere og i computernetværk. Mange forbinder IT-sikkerhed med antivirusprogrammer og stærke kodeord. Men IT-sikkerhed handler om mere end det – alt fra den enkelte borgers adfærd på internettet, til hvordan nationer og det internationale samfund tilrettelægger deres IT-politik for at beskytte sig mod IT-kriminalitet og cyberangreb.

Hvad er IT-kriminalitet?

IT-kriminalitet er en betegnelse for en lang række forskellige former for kriminalitet, der har vundet indpas, i takt med at vores samfund er blevet mere og mere digitalt. En opgørelse fra Det Kriminalpræventive Råd (DKR) (se kilder) viste, at i 2020 havde cirka fem procent af danskerne mellem 16 og 74 år været udsat for IT-kriminalitet i form af misbrug af kortoplysninger, bedrageri ved samhandel på internettet, kontaktbedrageri, misbrug af personoplysninger og hadefulde ytringer. Det svarer til mellem 178.000 og 208.000 personer.

Hvilke former for IT-kriminalitet findes der?

Det Kriminalpræventive Råd deler IT-kriminalitet op i tre kategorier, som hver især kræver forskellige sikkerhedsmæssige tiltag:

• Computer-integritetsforbrydelser. Disse forbrydelser går ud på at skade en persons eller en virksomheds IT-system. Det er forbrydelser, der angriber computeren – f.eks. hacking, distribuering af malware, f.eks. vira, orme og trojanske heste eller såkaldte DDoS-angreb, der går ud på at overbelaste en internetside.
• Computer-assisterede forbrydelser. Disse forbrydelser har ofte et økonomisk sigte. Det er kendte kriminalitetsformer som tyveri og bedrageri, der begås ved hjælp af internetteknologi. Det er f.eks. Nigeriabreve, phishing eller indbrud i en netbank.
• Computer-indholdsforbrydelser. Forbrydelserne handler om at besidde eller dele kriminelt materiale. Det kan være ulovligt indhold i filer, beskeder eller andre informationer, der sendes ud på internettet. Det er f.eks. børnepornografisk, racistisk eller voldeligt materiale.

Hvem har ansvaret for sikkerheden på nettet?

Som borger er der en lang række ting, man selv kan gøre for at mindske risikoen for at blive udsat for kriminalitet eller misbrug på internettet. Det skriver Forbrugerrådet Tænk i rapporten Digital Risikoadfærd fra 2021 (se kilder). Men som med al anden kriminalitet er offeret for IT-kriminalitet ikke selv skyld i forbrydelsen. Derfor har virksomheder også et ansvar for, at det er sikkert at færdes på deres hjemmesider, mens politikere og myndigheder har ansvar for at udforme reguleringer og politik, der skal sikre vores færden på nettet. Alle parter har et ansvar for at øge IT-sikkerheden, skriver Det Kriminalpræventive Råd: “I realiteten er ansvaret ofte delt mellem mange forskellige aktører. Sandheden er nemlig, at vi hver især – det være sig som privatperson, virksomhed eller myndighed – kan gøre noget for at beskytte os selv, vores virksomhed, vores kunder eller borgerne i samfundet,” fremgår det af rapporten Når Forbrydelser Bliver Digitale (se kilder).

I de kommende afsnit beskrives nogle af de mest hyppige og alvorlige IT-trusler, og hvordan privatpersoner og myndigheder bedst beskytter sig mod dem.

Hvad er misbrug af betalingskort?

I mange år var den mest udbredte form for IT-kriminalitet mod privatpersoner misbrug af betalingskort tilhørende personer, der handler på nettet. Men i takt med introduktionen af kontaktløse betalingskort samt bedre sikkerhed og oplysning på hjemmesider, så er svindlen faldet markant i de senere år. Alene fra 2019 til 2020 faldt misbrug af betalingskort med 46 procent. Det fremgår af en pressemeddelelse fra Nets i 2021 (se kilder). For at bekæmpe svindlen indførte betalingskortudstederen Nets i 2017 to tiltag, der skulle gøre det vanskeligere at svindle med danskernes kort: For det første modtager alle e-handlende en kode på SMS, som skal indtastes, hvis man handler for mere end 450 kr. For det andet har Nets lanceret et program, der ved hjælp af kunstig intelligens advarer om mystiske dankorttransaktioner, skriver DR i artiklen “Gode råd: Sådan handler du sikkert på nettet” (se kilder). Artiklen nævner en række forholdsregler, som privatpersoner kan tage for at undgå, at dankortet bliver misbrugt:

· Vær forsigtig med at handle på hjemmesider, du ikke kender, og som ser mistænkelige ud. Mange stavefejl eller mange skæve priser kan f.eks. være tegn på, at hjemmesiden er direkte oversat af en computer.

· Sørg for at betale med betalingskortet gennem autoriserede hjemmesider. Oplys ikke kortnummer i mails, og tjek gerne, om hjemmesiden har et CVR-nummer eller e-mærke.

Hvad er phishing og direktørsvindel?

I forsøget på at franarre privatpersoner og virksomheder penge, bliver IT-kriminelle stadigt mere kreative. Blandt de nyeste former for IT-kriminalitet er såkaldt phishing og direktørsvindel, skriver IT-mediet Version2 i artiklen “Falske direktørmails i kraftig stigning” (se kilder).

Phishing foregår oftest over mail og er kendetegnet ved, at en medarbejder eller privatperson modtager en e-mail fra en afsender, som man fejlagtigt tror, er en kollega, bekendt, en troværdig myndighed eller virksomhed såsom SKAT eller NemID. Mailen indeholder ofte en forespørgsel på at sende bank- eller loginoplysninger.

De kriminelle bag disse mails bliver dygtigere, skriver Forbrugerrådet Tænk i artiklen “Fupmails: Sådan gennemskuer du dem” (se kilder), og ofte ligner disse mails troværdige e-mails til forveksling.

Den seneste måling af befolkningens oplevede IT-kriminalitet fra 2019 viser, at 43 procent af den voksne befolkning i Danmark har oplevet at modtage e-mails afsendt med en hensigt om, at lokke modtageren til at afgive fortrolige oplysninger, altså phishing. Det fremgår af Danmarks Statistiks rapport Halvdelen har oplevet it-sikkerhedsproblemer (se kilder).

Jyske Banks tv-kanal forklarer, hvad direktørsvindel er.

Hvad er identitetstyveri?

Identitetstyveri er, når en person tilegner sig andres personoplysninger eller udgiver sig for at være en anden person. Det kan eksempelvis være misbrug af navn, CPR-nummer, mail-konto eller andre identitetsbeviser. Med en andens persons identifikationsoplysninger kan en kriminel eksempelvis oprette abonnementer online eller købe ting på nettet med kredit. I 2020 blev ca. 0,4 procent af danskerne mellem 16 og 74 år udsat for misbrug af personoplysninger. Det svarer til mellem 13.000 og 22.000 personer ifølge Det Kriminalpræventive Råds opgørelse It-kriminalitet i tal (se kilder). Ifølge rådet er man heldigvis stillet relativt godt, hvis man har været udsat for, at ens identitetsoplysninger er blevet misbrugt: “I de fleste tilfælde, hvor ID-misbruget medfører et økonomisk tab, hæfter man nemlig som hovedregel ikke selv for dette tab – det gør kreditgiveren, typisk banken.”

Alka Forsikring giver råd til, hvordan identitetstyveri kan undgås.

Hvad er cyberspionage?

IT-truslerne er langtfra kun en risiko for privatpersoner. Stater, myndigheder og multinationale virksomheder kan også blive ramt af IT-kriminalitet. Det danske Center for Cybersikkerhed, der hører under Forsvarets Efterretningstjeneste, vurderer i 2021 (se kilder), at truslen fra cyberspionage mod danske myndigheder og private virksomheder forsat er “meget høj”, hvilket er det højest mulige trusselsniveau. Center for Cybersikkerhed har blandt andet kendskab til forsøg på cyberspionage mod Udenrigsministeriet og Forsvarsministeriet.

Ofte bliver cyberspionage begået af fremmede stater, skriver DR i artiklen “Overblik: Her er cybertruslerne mod Danmark” (se kilder). Det kan være i forsøg på at få fat i interne dokumenter, der kan give viden op til vigtige internationale forhandlinger.

Når virksomheder udsættes for cyberspionage, kan det være forsøg på at kopiere produkter eller for at finde ud af, hvordan en konkurrerende virksomhed agerer på et marked. Antallet af forsøg på cyberspionage mod danske myndigheder og virksomheder er voksende, skriver Center for Cybersikkerhed.

Hvad er cyberterror og destruktive cyberangreb?

Den mest alvorlige – men yderst sjældne – form for IT-trusler er cyberterrorisme og såkaldt destruktive cyberangreb, der har til formål at forårsage store ødelæggelser eller dødsfald.

Der findes flere definitioner af cyberterror, men ifølge Center for Cybersikkerheds seneste analyse “Cybertruslen mod Danmark” (se kilder) drejer det sig om “terrorhandlinger via internettet med det formål at forårsage død eller voldsom ødelæggelse”. Det er eksempelvis ikke cyberterrorisme, når terrororganisationer bruger internettet til at sprede budskaber eller rekruttere medlemmer.

Center for Cybersikkerhed vurderer, at risikoen for cyberterrorangreb er “lav”, da de ekstremistiske grupper ikke har de fornødne ressourcer til et angreb. Et tænkt eksempel på cyberterrorisme kunne ifølge rapporten være, at en terrorgruppe forsøger at forsinke førstehjælp eller svække et beredskab under et regulært terrorangreb.

Såkaldte destruktive cyberangreb er angreb, hvor “den forventede effekt af angrebet er død, personskade, betydelig skade på fysiske objekter eller ødelæggelse eller forandring af informationer, data eller software, så de ikke længere kan anvendes”, skriver Center for Cybersikkerhed. Det er en IT-trussel, som stater kan benytte under krig eller konflikter. Under konflikten i Ukraine i 2015 blev flere elselskaber eksempelvis ramt af et cyberangreb, der betød, at flere bygninger i en hel region var uden strøm i flere timer, skriver DR i artiklen “Overblik: Her er cybertruslerne mod Danmark” (se kilder).

I 2021 spredte et hackerangreb på den amerikanske IT-leverandør Kaseya sig som en steppebrand til op mod 1.500 andre virksomheder verden over. Bl.a. lammede det kassesystemerne hos 800 af svenske Coops dagligvarebutikker, der helt måtte lukke, og tabet blev opgjort til at overstige 100 millioner svenske kroner. Som det fremgår af Berlingskes artikel “Truslen fra cyberkriminalitet stiger” (se kilder) er det et eksempel på, at professionelle cyberangreb kan ramme kritiske samfundsfunktioner. I det svenske tilfælde er der tale om fødevareforsyningen. I artiklen siger Jens Myrup Pedersen, professor i cybersikkerhed ved Aalborg Universitet: “Det siger noget om, hvor skrøbelige vi er som samfund. Den seneste tids angreb viser dybest set, at virksomheder ikke kan drive deres forretninger uden deres it-systemer, og det rammer ikke kun virksomhederne. I værste fald kan det ramme hele vores samfund, og derfor skal vi tage truslen dybt alvorligt.”

Hvad er deling af krænkende materiale?

Unges adgang til internettet og smartphones har skabt en ny ubehagelig trussel på nettet: deling af krænkende billeder. Det er ulovligt at dele seksuelle og krænkende billeder eller videoer af andre uden deres samtykke i henhold til straffeloven (se kilder). Alligevel sker det ofte. I starten af 2018 blev mere end 1.000 danskere sigtet for at have delt en sexvideo af en 15-årig pige og flere drenge gennem Facebooks chat-platform Messenger.

Ifølge Ritzau-artiklen “Overblik: Her er sagen om deling af sexvideoer” i Jyllands-Posten (se kilder) har landsretten kørt en række prøvesager, hvor to af de anklagede har fået betingede fængselsdomme. Tre er straffet med bøder. En er blevet frifundet. Desuden har landsretten stadfæstet en betinget fængselsstraf på 30 dage til en 20-årig mand.

Flere kampagner fra en række organisationer opfordrer unge til at slette krænkende billeder omgående. Det Kriminalpræventive Råd skriver blandt andet i sin vejledning “Deling af billeder” (se kilder):

· Del aldrig billeder eller video, som du ikke har fået lov til at dele – heller ikke med de bedste venner.

· Modtager man krænkende eller seksuelt materiale, uden at have tilladelse af de medvirkende, skal det slettes omgående. Det gælder på alle digitale platforme og sociale medier.

· Har man gemt seksuelle eller krænkende billeder eller videoer på computeren eller telefonen, skal de slettes.

· Har man allerede delt krænkende billeder eller videoer, skal man kontakte dem, man har sendt det til, og sige, at billeder og videoer skal slettes med det samme.

Kampagne, der opfordrer til at bremse deling af intimt materiale. Udarbejdet i 2016 afi samarbejde med Undervisningsministeriet, Red Barnet, Sex og Samfund og Børns Vilkår.