Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 29. august 2003.
Pinligt: De færreste, der finder ud af, at de er blevet hacket, vælger at anmelde sagen til politiet. Området er tabu, man riskerer nye angreb og udbyttet af anmeldelsen er yderst begrænset.
Ofre for hackere går sjældent til politiet med deres sag - selv om der er tale om kriminalitet. At blive hacket er stadig belagt med tabu, offentlighed om sagerne er forbundet med ubehageligheder såsom yderligere hacker-angreb, og man får alligevel ikke noget ud af at ulejlige sig med at anmelde sagen. Sådan lyder de mest almindelige forklaringer på, hvorfor man undgår politiet - også som offer.
Hvad offentligheden angår, er hacker-sager god underholdning. De har duft af drama, og de trækker overskrifter. Men offeret efterlades i et dårligt lys, stemplet for ikke at have sikret sig tilstrækkeligt.
- Man bryder sig ikke om at vise sit snavsede vasketøj frem, lyder det umiddelbare svar fra Janne Glæsel, næstformand for regeringens it-sikkerhedsråd, formand for foreningen Danske IT-advokater og partner i Devoteam Fischer & Lorenz.
At det er pinligt og pinagtigt, når der kan sættes spørgsmålstegn ved it-sikkerheden, ekkoer i svarene fra både Rigspolitiet og DK-CERT på, hvorfor så få anmelder hacker-sager.
- Vi modtager talrige henvendelser fra firmaer, der er blevet hacket og har brug for hjælp - men ikke vil søge den hos politiet. For det er jo forfærdeligt at blive taget i, at det ikke går så godt med sikkerheden. Virksomheden har måske sagt til samarbejdspartnere og andre, at de har styr på det, og de vil nødig miste deres tillid, siger lederen af DK-CERT, Preben Andersen.
Flere hackere
For virksomhederne går den umiddelbare bekymring også i høj grad på, at den offentlighed om sagen, som uvægerligt følger en politianmeldelse, blot vil føre til yderligere hackerangreb.
ATP, der i øvrigt har outsourcet overvågningen af sikkerhedskontrollen mod omverdenen, er blandt de få, som har anmeldt hackersager.
- Mange forsøg gøres fra Brasilien, Filippinerne og andre fjerne steder, hvor vi må sige, nå, det kan vi ikke gøre noget ved. Det er noget andet, når hackeren er inden for rækkevidde. Vi har fra tid til anden meldt hackere til politiet - ligesom vi har anmeldt andre tilfælde af hærværk og svindel. Hver gang har vi overvejet, om vil skulle anmelde eller ej. Det ubehagelige er, at det bliver kendt. For så kan du være næsten 100 procent sikker på, at nogen nok skal prøve, om de er klogere end dem, det gik galt for, siger Sven Fristrup, der er chefjurist og formand for sikkerhedsudvalget i ATP.
Virksomheden fik for et par år siden ved retten i Ålborg en ung mand dømt for hacker-virksomhed. Han fik en betinget dom og mistede sin computer.
- I 14 dage efter blev vi "kimet ned" af hackerforsøg. Og man risikerer jo at pådrage sig opmærksomhed fra nogen, der kan lave ulykker, siger Sven Fristrup.
Han er vred på de unge hackere, der gør det for sjov, for at se om de kan, men som risikerer at ødelægge systemer ved et uheld, og som spilder folks tid og penge. Andre forsøger sig med andre motiver, og det har han heller ikke noget til overs for.
I et konkret tilfælde, hvor ATP undlod en politianmeldelse, forsøgte en medarbejder i et firma med interesse i it-sikkerhed at hacke sig ind i ATP. Muligvis for at kunne tilbyde sine ydelser, hvis det lykkedes.
- Medarbejderen sad og lavede sikkerhedstjek uden at være bedt om det. Vi spurgte firmaet, hvad de bildte sig ind, og de lovede bod og bedring. Deres sikkerhedschef undskyldte mange gange, og den pågældende medarbejder fik en røffel.
Sven Fristrup tilføjer, at det positive ved historien er, at systemet virkede, for den pågældende kom ikke igennem.
Fra Velux-koncernen oplyser sikkerhedsauditor Thomas Wibroe Leth, at det ikke er lykkedes nogen at hacke sig ind her. Selv om der gøres masser af forsøg hver dag.
- Kom det til stykket, ville vi næppe anmelde det. Vi ville anse det for et internt anliggende. At anmelde det er derudover en måde at tiltrække øvrige hackere på, og det er vi ikke interesseret i. Samtidig kan det simpelthen ikke betale sig. En anmeldelse bibringer ikke os noget; vi får intet ud af den tidkrævende proces, det ville udløse. Og det vigtigste for os er virksomhedens sikkerhed, siger Thomas Wibroe Leth.
Han understreger, at koncernledelsen i givet fald skulle tage stilling til spørgsmålet, og man ikke kan udelukke, det kunne ske.
I Velux erkendes det, at en hackersag kan sende skadelige signaler om, at man ikke har styr på tingene.
Hvordan sagen lanceres i medierne har imidlertid også en betydning for, om den offentlige omtale giver skrammer i lakken, mener Thomas Wibroe Leth. Men det væsentlige er, at vi ved, it-sikkerheden er i top - uanset hvordan den omtales, noterer han og tilføjer:
- Det er jo positivt, at man er i stand til at fange en indbrudstyv - også når vedkommende optræder elektronisk og bliver nappet af intrusion detection software.
I en konkret sag kunne et struktureret forsøg på at komme ind i Velux' system spores tilbage til en hollandsk internetudbyder, hvis egen server var blevet hacket. Her søgte man at hjælpe med IP-adresser og tidspunkter for angreb.
It-revision
CERT modtager talrige henvendelser fra firmaer, der er blevet hacket og har brug for hjælp - men ikke vil søge den hos politiet. Herfra nævner Preben Andersen nok en god grund til at gå stille med dørene, hvis man er blevet hacket - ud over at undgå offentlighedens søgelys. Nemlig at undgå en anmærkning fra sin revisor.
- De store revisionsfirmaer har en afdeling for it-revision, og hvis de læser i pressen om et hackerangreb, vil de spørge til det, og så får virksomheden en anmærkning i næste revisionsprotokollat.
Virksomheden har ikke pligt til at oplyse til it-revisor, hvis den er blevet hacket. Revisor skal selv spørge om det. Og, som Preben Andersen siger, så er det meget menneskeligt at prøve at undgå, det bliver kendt i en større kreds, hvis man bliver taget i noget uheldigt.
- It-revisionsrapporter bliver dog bedre og bedre. Det bliver et afgørende instrument i fremtiden. De er det ikke endnu. Men eksempelvis samarbejdspartnere vil i stigende grad ønske at se it-revisionsrapporter, mener Preben Andersen.
