"Jeg tabte simpelthen kæben, da jeg så dette her."
Sådan lyder sikkerhedsekspert Peter Kruses reaktion på nyheden om, at russiske hackere gennem to år har skaffet sig adgang til systemer under det danske forsvar ved hjælp af phishing-angreb.
Den russiske hackergruppe Fancy Bear har fra marts 2015 til oktober 2016 sendt omkring 1000 phishing-mails til udvalgte ansatte under Forsvarsministeriet, og det har virket ganske glimrende.
De statsstøttede hackere har haft adgang til Forsvarets interne mailsystem, der ikke er beskyttet af nogen form for sikkerhed udover traditionelt brugernavn og kodeord, som man kender det fra en gammeldags Hotmail.
Webmail uden sikkerhed
Peter Kruse er medstifter af sikkerhedsfirmaet CSIS, og det kommer ikke bag på ham, at russerne forsøger at få adgang til oplysninger om danmarks sikkerhedsarbejde.
Men han er noget overrasket over det lave sikkerhedsniveau hos Forsvaret og kritiserer blandt andet de ansattes brug af ubeskyttet webmail.
"Det er ret kritisabelt, at man et sted som Forsvaret lader de ansatte bruge webmail uden så meget som et krav om to-faktor-godkendelse. Der er altså bedre sikkerhed på mange menneskers Gmail," siger han til Computerworld.
Ifølge en rapport om angrebet fra Center For Cybersikkerhed (CFCS) er der tale om Forsvarets web-baserede interne mail-tjeneste mil.dk, der bruges til at kommunikere såkaldte "ikke-klassificerede" oplysninger.
De russiske hackere har således næppe fået fingrene i de dybeste militære hemmeligheder, men ifølge Peter Kruse kan oplysninger, der ikke i sig selv er følsomme, være nyttige for russerne på længere sigt.
"Den slags operationer handler ofte om for eksempel at få en klemme på de ansatte. Og i den forstand er det værdifuldt for hackerne, hvis de kan få fat i personlige oplysninger om medarbejdere hos Forsvaret, der kan bruges i fremtiden," siger han.
Sikkerheden blev ikke opdateret
Også hos Center For Cybersikkerhed erkender man, at de ikke-klassificerede oplysninger fra Forsvaret udgør en sikkerhedsrisiko i hænderne på fremmede aktører.
"Kompromitteringen af mil.dk-e-mail-konti udgør en sikkerhedsrisiko, selvom der er tale om en ikke-klassificeret e-mail-løsning."
"Fra et cybersikkerheds-perspektiv kan informationerne anvendes til blandt andet at skræddersy phishing-mails, og kompromitterede konti kan misbruges som afsenderadresser for flere phishing-mails. Informationer taget fra ansatte under Forsvarsministeriets myndighedsområdes e-mail-indbakker kan også være værdifulde ud fra et klassisk efterretningsperspektiv."
"De kan f.eks. omhandle møde- og rejseaktivitet, kontaktoplysninger eller private forhold. Informationerne kan misbruges til forsøg på rekruttering, afpresning eller til planlægning af yderligere spionage," hedder det i rapporten fra CSCS, der også afslører, at sikkerhedsniveauet på forsvarets mail-tjeneste ikke har udviklet sig i takt med trusselsniveauet:
"Forsvarets mil.dk mail-service er beregnet til ikke-klassificeret kommunikation. Derfor er mil.dk-mail-servicen ikke underlagt de samme sikkerhedskrav, som de systemer der håndterer klassificeret information. I takt med, at mil.dk-mail-servicen bliver brugt i stadig større omfang i Forsvarsministeriets myndighedsområde, har dens anvendelsesområde udvidet sig."
"Selvom trusselsbilledet løbende har ændret sig, har der ikke været iværksat nye sikkerhedsforanstaltninger for at imødegå disse ændringer. Én konsekvens af det er, at konti, der burde have været spærret eller underlagt tvungen passwords-skifte, stod åbne for aktøren efter loginoplysningerne blev franarret," skriver CFCS.
Computerworld arbejder på at få en kommentar fra Forsvaret.
Du kan læse rapporten fra CFCS her.
Læs også: Mød de to russiske hackergrupper, der spreder skræk og rædsel i hele it-verdenen