Dansk it-sikkerhedsmand bliver jagtet af kriminelle: "Jeg forsøger at holde lav profil"

Interview: Når it-sikkerhedsfolkene ødelægger de kriminelles forretninger, kan det blive en personlig affære, hvor der ikke lægges fingre imellem, når truslerne slynges ud. Læs her et interview med en sikkerhedsmand, der har oplevet de it-kriminelles skræmmekampagner på den hårde måde.

It-sikkerhedsekspert Peter Kruses telefon ringer, og på displayet skimter han sin mors telefonnummer, før han besvarer opkaldet.

Men til sin store overraskelse svarer displayets nummer ikke til den angivne opkaldsperson. 

Telefonsamtalen er nemlig fyldt med trusler om bål og brand fra en it-kriminel, der har fået ødelagt sin ulovlige forretning af sikkerhedsfirmaet CSIS, hvor Peter Kruse er ansat.

Moderens telefonnummer blev misbrugt i et såkaldt Caller ID spoof, der angiver et falsk nummer i forbindelse med et opkald.

"Min første reaktion var raseri, og jeg reagerede meget aggressivt. Det er selvfølgelig ikke hensigtsmæssigt, men jeg følte mig særligt eksponeret, fordi jeg troede det var min mor, der ringede, og så viste det sig at være en trussel," fortæller han om episoden.

Har du oplevet andre episoder?

"Ja, der har været en del episoder. CSIS har været med i flere hændelser, hvor der er blevet afdækket internetsvindel og lukket ned for ulovlig virksomhed, hvilket har betydet en del direkte kontroverser med it-kriminelle."

Disse sammenstød har betydet, at Peter Kruse har været nødt til at ændre på sin adfærd i det offentlige rum.

"Jeg har nok hørt til de meget åbenmundede i branchen, men i dag forsøger jeg at nedtone kommunikationen om konkrete episoder. Hvis vi eksempelvis lukker et botnet ned, nævner vi ikke enkelte navne, men bruger højst firmanavnet som reference. Vi udnytter ikke vores håneret over for de it-kriminelle i dag. Der er konsekvenserne simpelthen for store," fortæller han.

Når de it-kriminelles forretninger bliver ødelagt, så gør det selvsagt ondt på deres pengepung. Derfor kan reaktionerne være ret håndfaste overfor it-sikkerhedsfolkene, der ødelægger de kriminelles levegrundlag.

"Vi har ofte oplevet, at vores arbejde har havnet i sanktioner og i direkte hævnaktioner. Det har mange i branchen oplevet, det er ikke kun mig eller CSIS."

Der er eksempler på indbrud i folks hjem, elektroniske trusler, breve og sågar fax-beskeder med påskrevne beskeder om alverdens ondskab, hvis sikkerhedsfolkene ikke holder nallerne for sig selv.

"Vi får jævnligt beskeder om, at vi ikke skal ødelægge deres forretning, for ellers vil det få konsekvenser."

Spørgsmålet om chikane fra it-kriminelle er et følsomt område, som sikkerhedsbranchen ikke altid taler åbent om. Et svar fra et andet stort sikkerhedsfirma lyder eksempelvis:

"Generelt kommenterer vi desværre ikke på tidligere, nuværende eller fremtidige sikkerhedshændelser, trusler eller chikane mod ansatte. Vi samarbejder med myndigheder lokalt og globalt i tilfælde af hændelser, som kunne udgøre en form for trussel mod ansatte."

Men det er et problem, der bliver snakket om bag lukkede døre

"Vi har selvfølgelig vores egne lukkede netværk i sikkerhedsindustrien, hvor vi mødes. Og her diskuterer vi med jævne mellemrum disse episoder. Ligeledes er der stor disciplin om, hvad der slipper ud til offentligheden fra disse samlinger," siger Peter Kruse.

Læs også: Han var med til at afsløre Stuxnet: "Der er tonsvis af spionageprogrammer"

Alt fra telefontrusler til joe job
Kan du fortælle hvilke typer angreb, der har været rettet mod din person?

"Der har været telefontrusler, voicemail-beskeder, mails og DDoS-angreb rettet mod mig. Der har været Joe job-angreb, hvor der sendes spambeskeder ud i mit navn, der har været alle tænkelige og utænkelig angreb."

Hvad sker der i dit hoved, når det sker?

"Det er en blanding af to følelser. Man bliver selvfølgelig ængstelig og bekymret. Den næste følelse er vrede. Vrede er selvfølgelig ikke løsningen, men det er nok en naturlig psykologisk reaktion, fordi man selvfølgelig føler et pres. Det er en blanding af de to."

Hvordan tackler man situationerne?

"Vi gør flere ting. I første omgang har vi valgt en langt mere defensiv stil i vores kommunikation i forbindelse med de aktioner, som vi indgår i. Vi har erkendt, at vi ikke får noget ud af at vifte med en rød klud under næsen på de kriminelle. I den fysiske verden uddanner vi løbende vores personale i håndtering af konfliktsituationer for at polstre dem."

Foretager I også tekniske tiltag?

"Vi gør alle mulige tiltag på den front. Både i forbindelse med generelle virusangreb eller de virusangreb, der ser ud til at være udsendt fra os, hvilket vi har prøvet et par gange. Vi forsøger at beskytte systemerne mod bomber af datapakker i form af DDoS. Der er flere tiltag i den retning, og vi flytter os hele tiden fordi teknologien rykker sig."

Læs også: Tag med på en rejse ned i det dybe, sorte net hvor kriminelle og aktivister holder hof

Vi har snakket med sikkerhedsfirmaer, der ikke ønsker, at fortælle om problemerne. Hvorfor gør du det?

"Jeg tror, at man er nødt til at være åben til en vis grænse. Der skal være en debat om tingene, ellers ligger de bare og ulmer. Vi taler også åbent om det internt for at kunne imødegå konflikter. Det er en risiko i vores arbejde, som vi må forholde os til."

Kender man ligefrem hinanden i denne krig? De it-kriminelle kender i et vist omfang it-sikkerhedsfolkene, men ved i også hvem de it-kriminelle er?

"Vi opererer i en åben verden, mens de kriminelles miljø er meget lukket. Der er et generelt indtryk af, at kriminaliteten bliver mere og mere organiseret, som den kendes fra den fysiske verden. Derfor er det svært at gennemskue præcis hvem, der bliver ramt, når vi lukker en ulovlighed ned. Så på den måde er det ikke et personligt opgør mellem to stammer."

Betyder disse trusselssituationer, at sikkerhedsbranchen bliver mere og mere lukket og ugennemskuelig for offentligheden?

"Ja, det gør det nok. Der er flere og flere ting, der bliver holdt inden for lukkede fora. Ligeledes bliver der ofte lagt et slør hen over hvem, der gør hvad i en nedlukning af en kriminel forretning, der ofte involverer politi, sikkerhedsfirmaer og andre myndigheder. Det handler jo også om, at it-sikkerhedsfolk skal have en sikker og tryg hverdag, når de går hjem fra arbejde."



mest debatterede artikler

Computerworld
For to år siden nedsænkede Microsoft 864 servere i Nordsøen: Nu er datacenteret på land igen - se resultatet her
Microsoft har efter to år hævet sit undervands-datacenter op af Nordsøen. Her er de erfaringer, selskabet har gjort sig.
CIO
Torben Fabrin og Arla måtte på få dage omstille hele deres produktion da coronaen ramte
Da coronaen ramte verden måtte mejerigiganten Arla på få dage omstille sin produktion. Samtidig voksede salget massivt til supermarkeder mens institutioner og restauranter gik næsten i stå. Hør hvordan Arla kom gennem krisen ved blandt andet være klar med realtime analytics.
Job & Karriere
På jagt efter et it-job i Jylland? Her er 10 stillinger fra Aabenraa til Aalborg, der ledige netop nu
Vi har fundet en række spændende stillinger til dig, der jagter et it-job. Her kan du vælge og vrage mellem ledige stillinger lige fra Aabenraa til Aalborg.
White paper
Tør du vente på et databrud? Kom i gang med at sikre dig nu!
Agilitet er nødvendigt, når der skal godkendes brugere og det er der en simpel grund til. Adgangsscenarierne er for forskellige til at stole på en enkelt måde at autentificere på. Din autentificeringsproces er nødt til at udvikle sig med flere adgangsscenarier. Det og meget mere kigger vi på i dette whitepaper, så du er i stand til at vælge den mest agile løsning for dig og din virksomhed.