Det var klart og tydeligt for alle, der voksede op i årtierne efter Anden Verdenskrig, at en atomkrig mellem verdens stormagter dengang var det ultimative skrækscenarie. Fra begyndelsen af 2000’erne blev den trussel udvidet til at omfatte terrororganisationers og slyngelstaters interesse for såkaldte beskidte bomber og atomprojekter. Men for at sætte tingene på spidsen er vejen til et moderne Hiroshima-lignende scenarie blevet kortere. Takket være cyberspace, det virtuelle rum, der blandt andet gør det muligt at sende elektronisk post, surfe på internettet og ja, ringe gratis til udlandet. Meget er blevet lettere. Temperaturen på klimaanlægget kan reguleres på afstand via mobiltelefonen, så der enten allerede er køligt eller lunt, når man træder indenfor netop hjemvendt fra arbejde. Avisartikler fra alle verdenshjørner er kun et par klik borte.
Men det virtuelle rum, der gør livet så mange gange mere mageligt, har også en bagside, hvor stater bevidst angriber hinanden, og hackere stjæler følsomme oplysninger, som de sælger videre. I andre tilfælde tvinges pengestærke virksomheder til at udbetale løsesummer. Når man ser nærmere på, hvad der er muligt, og i hvilket omfang, der udføres angreb via cyberspace, virker det underligt, at det endnu ikke har ført til en reel krig mellem nationer. Men der synes ikke at herske tvivl om, at fremtidige konfrontationer vil tage udspring i cyberangreb og blive præget af nationers evne til at rette lammende angreb mod fjendens civile og militære infrastrukturer via det samme cyberspace.
I denne uge satte USA’s præsident, Joe Biden, ord på truslen.
”Det er mere end sandsynligt, at hvis vi ender i en krig – en reel skydekrig med en stormagt – så vil det være som konsekvens af et cyberangreb med omfattende følger,” sagde Joe Biden i en tale under et besøg hos USA’s nationale efterretningstjeneste.
Kristeligt Dagblad har sat to israelske cybereksperter stævne i Tel Aviv for at tale om den ofte usynlige trussel anno 2021. Direktør Ehud Haik og Harel Menashri, leder af cyberfakultetet ved Holons Teknologiske Institut. De har begge en fortid i det israelske sikkerhedsapparat, men arbejder nu for det private firma Cstrategy, der specialiserer sig i at sikre israelske og internationale virksomheder mod cyberangreb.
”Der eksisterer en enorm asymmetri. Det er så mange gange lettere at angribe end at forsvare sig i cyberspace,” siger Ehud Haik.
Han fortæller om tiden i 1970’erne, hvor den første e-mail blev sendt, som en tid, hvor man tænkte fremskridt uden at bekymre sig om negative følger.
”Forestil dig middelalderen, hvor hære stødte på en mur, når de angreb. I dag findes der også en mur i cyberspace, men alle stenene er løse, og jeg skal ikke bruge mere end en lille hammer for at få muren til at falde,” siger direktøren.
Med ansvar for at evaluere andre firmaers sårbarhed mod cyberangreb er Cstrategy ofte selv nødt til at simulere angreb mod disse firmaer. Selvom den slags angreb finder sted efter aftale med de pågældende firmaers ledelse, er der altid en vej ind.
Her taler de to cyberspecialister i munden på hinanden, mens de remser nogle af de angreb op, som firmaet har simuleret. Et af dem var mod en international bank, hvor hele ledelsen vidste, at angrebet ville finde sted mellem klokken 9 og 11 den udvalgte dag. Alligevel lykkedes det Ehud Haik og Harel Menashri at plante en virus via en e-mail, der i sidste ende kunne give dem adgang til alle bankens oplysninger. Og derfra sætter kun fantasien grænser for, hvad de vil være i stand til at gøre. Overføre penge til egne konti, få bankens hævemaskiner til at spytte penge ud på gaden eller slette kunders konti. Sådanne angreb gør ondt, mens de står på, men på længere sigt er de med til at underminere store virksomheders og institutioners troværdighed. For hvem vil have sine penge i en bank, der spytter pengesedler ud på fortovet eller får stjålet sine kunders mest private oplysninger?
I slutningen af 2020 skete præcis dette for det israelske forsikringsselskab Shirbit. Hackere stjal personoplysninger fra selskabet og krævede en løsesum for ikke at sælge dem videre. Shirbit nægtede at betale, og derefter offentliggjorde hackerne personlige detaljer om nogle af kunderne, inden de angiveligt solgte resten videre til højeste byder. Efterfølgende mistede Shirbit hele sit oveskud fra 2020 og blev sagsøgt for omkring 10 milliarder kroner.
De to israelere fortæller om disse sager for at understrege tommelfingerreglen om, at hvis store private virksomheder er så sårbare, ja, så er offentlige institutioner det også. Vand og el-forsyning, dæmninger, flytrafik, børser, hele infrastrukturer, militære installationer og de allermest følsomme projekter lande råder over.
Spørg bare USA og Iran.
Af de cyberangreb, der er blevet omtalt offentligt, er USA og Iran de to lande, der er blevet ramt hårdest.
I 2010 blev Irans atomanlæg ramt af den sofistikerede Stuxnet-virus, der ifølge avisen The New York Times var skabt i samarbejde mellem Israel og USA. Virussen bragte angiveligt et højt antal iranske centrifuger til sprængning og er til dato det mest omfattende angreb mod Irans atomprojekt. Rusland blandede sig i den amerikanske valgkamp forud for præsidentvalget i 2016 ved blandt andet at hacke Det Demokratiske Partis computere. Det lykkedes ifølge Cstrategy ved brug af den såkaldte fishing-metode, hvor man sender e-mails til en række af partiets topfolk i håb om, at en eller flere vil åbne den sendte mail og måske endda også et link i mailen. For så begynder virussen at sprede sig.
Men det største russiske cyberangreb mod USA begyndte et år senere, i 2017.
Der var ifølge Cstrategy et langt mere omfattende angreb mod USA end angrebet på Det Demokratiske Parti. Angrebet kaldes Solarwinds og blev først opdaget af amerikanerne i december 2020, tre år efter, at Rusland igangsatte angrebet.
Ifølge Cstrategy lykkedes det Rusland at hacke sig ind i et system, der blandt andet har hele den amerikanske administration som kunder. Herunder landets atomprojekt, forbundspolitiet FBI og efterretningstjenester.
Om dette cyberangreb skrev magasinet The New Yorker i januar 2021:
”Efter Solarwinds aner vi ikke, hvilke cybertrusler vi står over for.”
Listen af angreb er efterhånden så lang og svulstig, at nye angreb ikke overrasker. Omfang og niveau hæves konstant. Mellem 2010 og 2021 likviderede Kina ifølge Cstrategy omkring 30 agenter, der arbejdede for den amerikanske efterretningstjeneste CIA efter at være kommet i besiddelse af deres identiteter via et hack.
”Et af de virkelig store problemer er, at de våben og virusser, der bliver udviklet af lande i løbet af kort tid, sættes til salg på det mørke net (den del af internettet, der kun kan tilgås via en særlig krypteret browser) til højeste byder,” siger Ehud Haik og kalder det en glidebane af supermagtsteknologier på private hænder.
Der skal ikke megen fantasi til at forestille sig, hvad en gruppe hackere fra Islamisk Stat eller al-Qaeda ville kunne udrette af skade med en Stuxnet-lignende virus til rådighed.
”Hvis du har pengene, kan du som privatperson i dag købe de teknologier, USA havde til rådighed for fem-seks år siden,” siger Ehud Haik.
Coronakrisen har ifølge de to israelske cybereksperter sat ekstra gang i tingene. Dels fordi lande som Iran og Nordkorea i ly af pandemien er begyndt at hacke sig til pengesummer, og dels fordi mange større virksomheder er blevet mere sårbare, når direktører og andre ledere både arbejder hjemme og på kontoret.
Her fortæller Ehud Haik historien om, hvordan hackere skaffede sig adgang til en bankdirektørs computer og derefter hele bankens system. Hackerne angreb bevidst direktørens søn. Som mange andre teenagere spillede han onlinespil. Hackerne lærte ham at kende online, blev venner med ham, og sendte ham på et tidspunkt en e-mail, som han åbnede. På denne mail gemte sig en sofistikeret virus, der sprang over på hjemmets internetserver og derfra til bankdirektørens bærbare computer, da han åbnede den for at arbejde hjemmefra.
Der findes ligefrem grupper, der har specialiseret sig at stjæle penge fra banker. En af dem, Carbanak, oprettede et cyber-sikkerhedsfirma, hvor man ansatte et hold af cybereksperter. Medarbejderne blev sat til at finde smuthuller hos banker. Angiveligt for at styrke virksomhedernes forsvar mod angreb. Hvad de ikke vidste, var, at ledelsen bestod af en gruppe kriminelle, der brugte nogle af disse smuthuller til at stjæle, hvad der anslås til adskillige milliarder kroner.
Ifølge Ehud Haik er det måske største problem i kampen mod cyberangreb, at firmaer og deres ledere tror, at de er rustet mod angreb, fordi de anser sig selv for at være personer, der er handlestærke i krisetider.
”Det tager tid at forstå omfanget af cyberangreb. De er som en sten i vandet. Først mister man penge, så får man nedkæmpet angrebet. Men til den tid har man måske også mistet troværdigheden, kunderne og firmaets fremtid,” siger Ehud Haik.
Nogle firmaer opgraderer sikkerheden og tager truslerne alvorligt. Andre siger, det sker ikke for mig, og hvis det gør, er der nok tale om en isoleret episode. Sådan sagde en schweizisk hotelejer til sig selv, da hackere låste alle dørene på hotellet og bad om en løsesum for at åbne dem igen. Ejeren betalte løsesummen og lod som ingenting. Han blev angrebet på samme måde igen og igen. I dag har han skiftet de digitale låse ud med helt almindelige nøgler.
I den anden ende findes firmaer, der har rustet sig til tænderne med teknologisk udstyr, der skal dæmme op for angreb. Her er problemet ofte ifølge Cstrategy, at de ikke aner, hvordan disse systemer egentlig fungerer.
For snart 20 år siden gik USA i krig som følge af terrorangrebene den 11. september. I cyberuniverset har 11. september-lignende angreb allerede fundet sted, men ingen har endnu erklæret krig på baggrund af et cyberangreb. Nordkoreas angreb mod nationalbanken i Bangladesh i 2016, hvor der blev stjålet næsten en milliard kroner kan, ifølge Cstrategy sammenlignes med al-Qaedas 11. september-angreb.
Flere andre angreb falder i samme kategori, og hver dag flyttes grænserne for, hvad cyberangreb kan volde af skade. Ikke kun på privatpersoner eller firmaer, men også hele nationer. I begyndelsen af denne måned krævede Joe Biden i en telefonsamtale med sin russiske kollega, Vladimir Putin, at Rusland griber ind og stopper løsepenge-hackergrupper. Og med Bidens seneste udtalelser tyder meget på, at muligheden for reel krig på baggrund af cyberangreb også er rykket et stort skridt nærmere.