Han er en af dem i Danmark, der ved allermest om, hvilke trusler danske virksomheder er udsat for, og hvilke cyberangreb som hver dag rammer dem. Og angrebene er der. Hver. Eneste. Dag.
- Lars Findsen advarer om, at danske virksomheder dagligt udsættes for cyberangreb og understreger, at det ikke er et spørgsmål om, men hvornår man bliver ramt.
- Findsen har en lang karriere inden for efterretningstjenester og cybersikkerhed, herunder oprettelsen af Cyberakademiet og Cybersituationscenteret.
- Han påpeger, at mange små og mellemstore virksomheder ikke er tilstrækkeligt sikrede mod it-kriminalitet og kunne gøre mere for at forbedre deres sikkerhed.
- Cyberkriminalitet er blevet mere tilgængelig, og hackere bruger ofte phishing og malware som deres primære angrebsmetoder.
- Findsen fremhæver vigtigheden af løbende at vurdere og forbedre cybersikkerheden i virksomheder, især i lyset af nye trusler som kunstig intelligens.
Dette resumé er genereret af kunstig intelligens og kvalitetssikret af journalister.Sjællandske Nyheder har sat Lars Findsen stævne for at blive klogere på cybertruslen, hvor godt sikret danske virksomheder er mod it-kriminelle, og hvordan trusselsbilledet har udviklet sig og vil gøre det i fremtiden.
Og det ved han meget om.
Desværre også meget mere, end han må fortælle os udenforstående, der vil have et kig bag skærmene på den kriminelle underverden, der trives på internettet.
71 dage i kachotten
Lars Findsen har selv fulgt cyberområdet helt tæt.
Fra han som fuldmægtig i Justitsministeriet i starten af 1990erne arbejdede i Registertilsynet, hvor han blandt andet under kontrolbesøg i virksomheder og myndigheder sikrede, at medarbejdernes computerskærme ikke havde en vinkel, så de var synlige gennem vinduerne, og folk udefra kunne opsnuse deres indhold.
Til han som øverste chef for Forsvarets Efterretningstjeneste (FE) i 2019 var med til at oprette Cyberakademiet, der skulle uddanne folk til en døgnbemanding i det nyoprettede Cybersituationscenter, hvor de blandt andet skal opdage cybertrusler mod virksomheder.
Derimellem har han været chef for Politiets Efterretningstjeneste og departementschef i Forsvarsministeriet, hvor han var med til at samle og etablere Center for Cybersikkerhed. Og så sluttede hans tid i FE på dramatisk vis med 71 dage i Hillerød Arrest mistænkt for at lække højt klassificerede oplysninger. Sagen blev senere droppet af Anklagemyndigheden.
Lars Findsen-forløbet: Fritaget, renset og sigtet
- 2020 - august: Daværende forsvarsminister Trine Bramsen (S) fritager Lars Findsen og tre andre ansatte fra tjeneste efter Tilsynet med Efterretningstjenesterne (TME) har udtalt kritik af FE.
- 2020 - december: Daværende justitsminister Nick Hækkerup (S) næster en kommission, der skal undersøge tilsynets kritik og sagen.
- 2021 - december: Lars Findsen anholdes sammen med tre andre ansatte i FE og PET. De er mistænkt for at have lækket højt klassificerede oplysninger. Fire dage efter varetægtsfængslingen konkluderer undersøgelseskommissionen, at der er ikke er grundlag for kritik af medarbejdere eller FE.
- 2022 - februar: Efter 71 dages varetægtsfængsling løslades Lars Findsen fra Hillerød Arrest.
- 2022 - september: Anklagemyndigheden rejser tiltale mod Lars Findsen efter straffelovens § 109, stk. 1 ved i flere tilfælde at have røbet og videregivet hemmeligheder af betydning for statens sikkerhed og straffelovens § 152, stk. 2 for uberettiget at have videregivet fortrolige oplysninger under særligt skærpende omstændigheder. Senere tiltales tidligere forsvarsminister Claus Hjort Frederiksen (V) også efter straffelovens § 109, stk. 1.
- 2023 - november: Efter Højesteret har afvist Anklagemyndighedens ønske om, at Lars Finsen blandt ikke må få anklageskriftet udleveret frafalder Anklagemyndigheden tiltalen mod Lars Findsen og Claus Hjort Frederiksen.
- 2024 - april: Lars Findsen tilkendes erstatning for uretmæssig varetægtsfængsling i 71 dage og uberettiget aflytning i omkring et år.
- 2024 - nu: Lars Findsen er teknisk set stadig chef for FE, da Forsvarsministeriet og DJØF ikke er nået til enighed om, hvad der skal ske med hans ansættelsesforhold i Forsvarsministeriet.
I dag er Lars Findsen ved at finde ud af, hvad der skal ske. Karrieren som topembedsmand kommer næppe tilbage og i ventetiden besøger han virksomheder, hvor han taler om geopolitik og cybersikkerhed.
- Det er rart at kunne bruge min viden og faglighed, siger han.
Konstant trussel
Vi møder ham på Café Jorden Rundt i Charlottenlund. Den var praktisk placeret mellem hans hjem i Charlottenlund, og den aftale han skal videre til efter interviewet.
Det er en af årets første dage, hvor solen anstrenger sig en smule. De andre gæster er trukket udenfor med fadøl, roséglas og kaffekopper for at nyde varmen.
Ikke os.
Vi finder et bord indenfor, går i baren og bestiller to kopper kaffe, der fyldes til kanten.
Det bord, jeg havde valgt, var åbenbart ikke diskret nok, så vi går længere ind i caféen med vores overfyldte kaffekopper og sætter os ved et bord i et afsides hjørne, så langt væk fra andre, som stedet tillader.
Den hvide serviet, der ligger mellem min kop og underkop, er søbet ind i kaffe. Jeg skeler til Lars Findsens serviet, der stadig er kridhvid, selvom han endda skulle have en sjat mælk i kaffen.
- Vi har en konstant cybertrussel, som er meget høj, siger han efter at have sat sig ned.
- Det er ikke et spørgsmål, om man bliver angrebet, det er et spørgsmål om hvornår. Ingen kan føle sig sikre på ikke at blive ramt.
Blå bog: Lars Findsen
- Født i Hull i England i 1964, student fra Amtsgymnasium Sønderborg i 1983 og cand.jur. fra Københavns Universitet i 1990.
- Fuldmægtigt i Justitsministeriet i 1990, ministersekretær i 1995 og kontorchef i 2001.
- Chef for Politiets Efterretningstjeneste (FE) fra 2002 til 2007.
- Departementschef i Forsvarsministeriet fra fra 2007 til 2015.
- Chef for Forsvarets Efterretningstjeneste siden 2015.
- I 2020 blev han hjemsendt på grund af tilsynssagen.
- I 2021 blev han sigtet og fængslet i 71 dage mistænkt for at lække højt klassificerede oplysninger.
- I 2022 blev han løsladt og tiltalt, men i 2023 frafaldt Anklagemyndigheden tiltalen.
- I dag er han stadig hjemsendt chef for FE mens Forsvarsministeriet og DJØF finder ud af, hvad der skal ske.
- Han er kommandør af Dannebrogordenen.
Det kan man også læse i diverse rapporter fra Center for Cybersikkerhed. Trusselsniveauet har i mere end et årti været vurderet som ’meget højt’, og antallet af angreb er kun vokset.
Fra 2018 til 2022 er antallet af politianmeldelser fra virksomheder med ordene ’DDoS’, ’hacker’ eller ’malware’ steget med 186 procent, ifølge SMVDanmark. Samtidig viste en undersøgelse fra EU-Kommissionen i 2022, at 39 procent af små og mellemstore danske virksomheder, der var udsat fra cyberkriminalitet, ikke indberettede det til nogle. Kun 19 procent fortalte det til politiet.
Ufaglærte hackere
Den store stigning i hackerangreb skyldes ikke, at hackernes metoder er blevet mere avancerede, fortæller Lars Findsen. Det handler derimod om at vejen til hackerlivet er blevet mere tilgængeligt.
- Tærsklen for at kunne blive cyberkriminel er sænket forstået på den måde, at de værktøjer, du skal bruge, kan du sådan set hente på darkweb, hvis du ikke kan udvikle dem selv. Det kræver altså ikke de helt store skills længere. Derfor er bredden og mængden af cyberkriminelle vokset, siger han.
Nogle hackere er drevet af aktivisme, andre støttet af fremmede stater, men langt de fleste er drevet af økonomiske interesser.
Og der er rigtig mange penge på spil.
Ifølge Cybersecurity Ventures kostede cyberkriminalitet i 2015 globalt 2.000 milliarder kroner, mens det i 2025 vil koste omkring 68.000 milliarder kroner, svarende til 24 gange det danske bruttonationalprodukt.
Var omkostningerne ved cyberkriminalitet et land, ville det være verdens tredje største økonomi - kun overgået af Kina og USA.
Kombinationen af økonomiske muligheder og lettilgængelig hackerredskaber gør det attraktivt for kriminelle at kaste sig ud i.
Ingen virksomheder kan vide sig sikre i forhold til at blive ramt af cyberangreb, hvor en økonomisk gevinst er målet. Det er så billigt og nemt, at intet mål er for småt til at gå efter, forklarer Lars Findsen.
Forbedringsplads
I sin tid i efterretningsvæsnet har Lars Findsen både besøgt virksomheder efter cyberangreb og har fået et dybt indblik i, hvor sikrede danske virksomheder er.
- Med fare for at fornærme SMV’erne, er der meget at arbejde med i forhold til sikkerhed. Mange er klar over truslen, men de kunne gøre væsentlig mere for at gøre sikkerheden robust. Og der er mange lavthængende frugter, understreger Lars Findsen.
Hans bemærkninger bakkes op af undersøgelsen fra EU-Kommissionen. 26 procent af virksomhederne svarer, at deres medarbejdere ”slet ikke” eller ikke er ”ret godt informeret” om risikoerne ved it-kriminalitet, mens 23 procent svarer, at de ikke ved det.
En undersøgelse fra Danmarks Statistik tyder samtidig på, at it-sikkerheden går i den forkerte retning. I hvert fald i de mindste virksomheder med fem til ni ansatte. I 2022 var andelen, der brugte adgangskontrol til virksomhedens netværk og kryptering af data, faldet sammenlignet med 2019.
I takt med den dalende sikkerhed er kvaliteten af it-kriminaliteten blevet bedre. Det er ikke længere bare en prins i Dubai, der har en stor sum penge, han vil dele ud af.
Lars Findsen har dog ikke mulighed for at fortælle om konkrete angreb, da han og Center for Cybersikkerhed som udgangspunkt ikke uden aftale skal dele oplysninger om konkrete virksomheders sikkerhedsmæssige forhold.
- Det kan jeg ikke, nej. Det er vigtigt, at dem vi er i kontakt med, har vores fortrolighed, og det skal være dem, der vælger at gå ud og sige det, fortæller
Angrebenes anatomi
Lars Findsen kommer dog med en god nyhed. For selvom kvaliteten af de kriminelles metoder er i hastig udvikling, hvor for eksempel phishingmails bliver mere troværdige, så ændrer metoderne sig ikke meget.
De to hyppigste typer angreb er og har længe været phishing og malware.
Ved phishingangreb forsøger hackeren at lokke information ud af virksomheden, som kan misbruges, mens malwareangreb er en ondsindet software, man uanet får installeret på sin computer eller telefon. Den mest almindelige type malware er såkaldt ransomware, hvor hackerne krypterer virksomhedens systemer, og kræver en løsesum for at frigive dem.
- Det er i høj grad det samme sæt af grundangrebsformer, men de bliver hele tiden mere sofistikerede. Og mere vanskelige at se, når det rammer en, siger han.
Men det betyder også, at man faktisk har mulighed for at forbygge størstedelen af angrebene. I bund og grund handler det om at opveje risikoen for et angreb plus omkostningerne forbundet med at forbygge det overfor omkostningerne, hvis eller når man bliver ramt.
- Det starter med, at man i virksomheden får drøftet og gjort sig klart, hvad trusselniveauet er i ens specifikke branche. Er der noget, man skal være særligt opmærksom på? Denne drøftelse skal ikke kun ske i it-afdelingen, men løftes op og drøftes strategisk i ledelsen, direktionen og bestyrelsen.
Tankeeksperiment: Ødelæg en elpære
Når du skal overveje it-sikkerheden i din virksomhed og opveje risikoer mod omkostningerne forbundet med at forbygge risikoerne, kan du lave et tankeeksperiment.
Forestil dig et rum med en elpære. Formålet er nu at overveje, hvor mange forskellige måder du kan ødelægge elpæren, så den ikke længere lyser.
Du kan skrue pæren ud af fatningen eller slukke for kontakten. Du kan smadre den udefra ved at kaste en sten på den, du kan skærer ledningen, der forsynet rummet med strøm over, eller mere drastisk ødelægge elværket, der leverer strømmen. Måske er du mere fremsynet og sikrer, at der ikke bliver leveret flere elpærer til rummet. Du kan fulde rummet med vand, til det når samme højde som pæren eller kører en bulldozer ind i rummet.
Hvordan forebygger du så, at det ikke sker? Sæt en lås på rummet, så pæren ikke kan skrues ud eller kontakten slukkes. Et hegn rundt om rummet kunne undgå de fleste stenkastere, og det er nok en god idé, at ledningen er gravet ned. Samtidig er der underleverandørerne. Har elværket styr på sin sikkerhed og har du en alternativ leverandør af pærer? Er det en god idé at lave huller i rummet, så vand kan sive ud, og hvad kræver det egentlig at forbygge en bulldozer fra at bulldoze bygningen? Hvor vigtigt er det overhovedet at pæren altid kan lyse, og hvor meget nedetid er der plads til?
På samme måde kan du tænke it-sikkerhed. Hvor vigtig er den funktion, du vil beskytte, hvor sandsynligt er de forskellige risikoer, og hvad koster det at forebygge dem.
Og så skal have afdækket sine sårbarheder i virksomhedens forskellige led, særligt i forhold til de forretningskritiske systemer.
- I værdikæden, i forsyningskæden, ved underleverandører. Er man sikker på, at de har styr på sikkerheden? Hvis systemet, der styrer produktionsflowet, rammes og blokeres eller låses, stopper det hele så? Der skal kigges holistisk på det, siger han.
Ifølge Lars Findsen er der ingen vej uden om.
- Der er ingen vej uden om den øvelse. Identificer sårbarheder og vurder, hvilke risici man kan leve med. Det gælder om at passe på forretningen, værdierne og muligheden for fremtidig værdiskabelse. Og så skal der skabes awareness i hele virksomheden og blandt medarbejderne, siger han og tilføjer:
- Og generelt er det klart, at jo mere kritisk en sektor din virksomhed er en del af, og jo mere sensitive data din virksomhed ligger inde med, jo mere optaget af det skal du være.
Falske stemmer
En ting, der fremover vil påvirke hackerne og deres muligheder, er kunstig intelligens (AI).
Dels giver store sprogmodeller som ChatGPT hackerne mulighed for at skabe meget troværdige phishingmails og falske hjemmesider, men det giver også personer uden en særlig teknisk indsigt mulighed for at hacke, forklarer Lars Findsen.
Læs også
- Virksomhed: Der er brug for videndeling om kunstig intelligens
- Digital ekspert: Derfor skal virksomheder i gang med AI nu
Det udbreder også phishingmetoderne fra mails til andre kommunikationsformer. Med en lydstump af en persons stemme på ganske få sekunder kan man skabe en troværdig udgave af stemmen i en samtale. Det giver de kriminelle muligheder for at imitere opkald fra ledende medarbejder, der for eksempel kan bede om en akut overførsel af penge.
- Man kan bruge AI til kunstig stemmegenerering og lave opringninger, der lyder som direktøren eller økonomidirektøren. Det vil have en helt anden troværdighed med en kendt stemme i røret, siger Lars Findsen.
Skærmens vinkel
Derfor må man heller ikke betragte cybersikkerhed som noget, man nogensinde bliver færdig med. Det skal ind i årshjulet, så der løbende følges op ligesom med produktion og økonomi.
- Der kommer aldrig et tidspunkt, hvor man kan sige job-done, og det er helt usandsynligt, at truslen kommer til at aftage. Det skal man som SMV være opmærksom på, komme ind i kampen og få gjort sin forretning robust, siger han.
I virkeligheden er der rigtig mange lavpraktiske tiltag, der kan forebygge cyberangreb på virksomheden, sikre mod svindel og altså gøre forretningen mere robust. Ikke meget ulig Lars Findsens første job i Justitsministeriet, hvor han rettede på computerskærmenes vinkler for at deres indhold ikke var synligt gennem vinduerne.
- Lavpraktiske tiltag kan handle om små procedurer, som er enkle, men vigtige at få etableret og oplyst medarbejderne om. Så de for eksempel ved, at hvis direktøren ringer og beder om at overføre penge, så er aftalen, at man lægger på og ringer tilbage. Og først og sidst er det et ledelsesansvar at sikre, at den slags er på plads.
Læs også
- Erhvervsorganisationer: Kunstig intelligens er det nye dyr i åbenbaringen
- - Vi skal regulere teknologien af hensyn til borgernes tryghed
