Dansk forskning udsættes for spionage og afpresning

Det kan lyde som noget fra en gamle spionfilm, erkender Henrik Larsen, chef for DKCERT (Danish Computer Security Incident Response Team), der overvåger sikkerheden på forskningsnettet, når han fortæller om nogle af de sager, der har ramt danske universiteter og uddannelsesinstitutioner. De trusler, som digitaliseringen har ført med sig, kan inddeles i tre kategorier; cyberspionage, cyberkriminalitet og cyberaktivisme. De to første er de alvorligste, og truslen for begge vurderes som meget høj i Danmark.
Aalborg Universitet kunne for eksempel i januar 2023 konstatere, at der i et helt år havde ligget såkaldt malware (skadelig software, kan eksempevis bruges til datatyveri, red.) på en webserver, som indeholdt persondata.

På DTU måtte 25.000 personer skifte kodeord efter et angreb på DTU’s centrale it-system i 2022. Og DTU har efterfølgende brugt et tocifret millionbeløb på it-sikkerheden, ifølge Henrik Larsen.
Professionshøjskolen Absalon oplevede også et angreb i januar 2023, hvor de måtte lukke deres it-systemer ned.

Danmark er forskningsmæssigt langt fremme. På World University Research Rankings over universiteter i verden med størst forskningsmæssig indflydelse og talent for internationale samarbejder ligger tre danske universiteter i top-100. Bagsiden af det høje danske forskningsniveau er, at fremmede magter vil have fat i forskningen. PET skriver i en rapport i 2022 til universiteterne om, hvordan de bedst passer på den:
»Danmarks førerposition inden for visse teknologiske områder (…) gør Danmark til et attraktivt mål for fremmede stater som Kina, Rusland og Iran, der gennem spionage, herunder statsfinansieret industrispionage, og ulovlig anskaffelsesvirksomhed forsøger at få fat i den nyeste viden og teknologi«.

Ifølge Henrik Larsen er de særligt attraktive områder dem, der handler om vores mest sårbare funktioner i samfundet såsom sundhedsområdet og de strategiske områder som forskning om Arktis, rumforskning og militærviden. Spionagen sker både som cyberspionage og fysisk spionage.

- Vi har for nyligt oplevet en kinesisk ph.d.-studerende, der tog fotos af laboratorier på et universitet med forklaringen om, at det havde hans kinesiske vejleder bedt ham om, siger Henrik Larsen.
Og PET har indskærpet, at universiteterne generelt er opmærksomme overfor kinesiske studerende, fordi de rent faktisk underskriver en troskabserklæring overfor det kinesiske styre, før de tager afsted, og er underlagt den kinesiske ambassade, mens de er i Danmark.
Der har også været en sag med en russisk forsker på DTU, der videregav oplysninger til Rusland, og som blev anholdt i 2020. Men det er ikke kun de naturvidenskabelige forskningsretninger, der har interesse.

- Lister over studerende, der læser statskundskab, har også altid været attraktive, fordi de studerende ofte får en fremtrædende rolle i samfundet senere, fortæller Henrik Larsen.

Cyberkriminaliteten handler om penge fremfor cyberspionagens videnstyveri af dansk forskning. De kriminelle stjæler data, som de enten tjener penge på at sælge eller kræver penge for at frigive igen.
- Det kan være malware, der sendes ind i universiteternes systemer og krypterer deres filer. Det medfører ofte utilgængelige services, aflyste eksaminer og så videre. Man må aldrig give efter for afpresning, men det koster mange penge at sikre sig mod det, siger Henrik Larsen.

En rapport om cybersikkerhed viser, at der i gennemsnit har været 2.314 angreb pr. uge i 2022 mod organisationer inden for uddannelse og forskning. En stigning på mere end 40 procent siden 2021. Man vurderer, at i alt 14 procent af de cyberangreb, der kommer mod Danmark, er rettet mod uddannelsessektoren.
Ifølge Henrik Larsen ser vi kun toppen af isbjerget af den cyberkriminalitet, der foregår, og især af den cyberspionage, der er. Vi opdager det simpelthen ikke. En tredje ting, der kan påvirke os, er cyberaktivisme.

Truslen fra cyberaktivisme mod uddannelses- og forskningssektoren er af DKCERT vurderet til høj i Danmark.

- Cyberaktivisme kan ses som demonstrationer, hvor det handler om at gøre opmærksom på sig selv, men hvor data som regel ikke er i fare. P.t. ser vi ofte grupper med tilknytning til Rusland, hvor budskabet er, at vi skal holde op med at sende våben til Ukraine. Et andet budskab har været, at Sverige ikke skal optages i Nato, siger Henrik Larsen.

Cyberaktivisme kan ske som en overbelastning af nettet, så en webside går ned, hvilke kan betyde, at man ikke kan afholde eksaminer og så videre.

Vi ser ofte cyberaktivisme mod Udenrigsministeriet, Statsministeriet og universiteterne. I februar foretog Anonymous Sudan for eksempel et angreb mod danske universiteter. Begrundelsen for angrebet var koran-afbrændingen i Sverige, og samme gruppe angreb svenske universiteter og lufthavnes it-systemer i januar.
- Formodentlig er det dog grupper med tilknytning til Rusland, der bruger koran-afbrændingen til at mobilisere grupper og enkeltpersoner til at rette et overbelastningsangreb mod den danske uddannelsessektor, siger Henrik Larsen.