1: Den mest basale it-sikkerhed sejler hos Forsvaret
Der skal tilsyneladende ikke nye, smarte cyber-våben til for at bryde ind i mail-systemerne i det danske forsvar.
Ifølge Center For Cybersikkerhed er medarbejderne gået direkte i en klassisk phishing-fælde med falsk login-side til at franarre dem deres kodeord, og der er intet, der tyder på, at Fancy Bear har gjort brug af metoder, der ikke er set mange gange før.
Den kompromitterede mail-tjeneste er en standard webmail, og de ansatte i Forsvaret har ikke benyttet nogen former for sikkerhedsforanstaltninger.
Eksempelvis har der ikke været noget krav om at bruge to-faktor-godkendelse, hvilket de ansatte øjensynligt heller ikke har gjort.
Den kompromitterede mail-tjeneste er beregnet til såkaldt "ikke klassificerede" oplysninger, der ikke er underlagt strenge sikkerhedskrav.
Læs også: Sikkerhedsekspert kritiserer Forsvarets it-sikkerhed: "Der er bedre sikkerhed på mange Gmail-konti"
Men det er i den forbindelse værd at notere sig, at Forsvaret tilsyneladende ikke har haft helt styr på, hvilke mail-konti, der kræver hvilken sikkerhed.
I CFCS-rapporten om angrebet står det sort på hvidt, at Forsvaret ikke har opdateret sikkerheden i takt med, at cyber-truslen har udviklet sig, ligesom man hverken har spærret eller skiftet kodeord på de mail-konti, hackerne har haft adgang til.
2: De kompromitterede mails indeholdt oplysninger, der kan true Danmarks sikkerhed
Hackerne skaffede sig adgang til forsvarets interne mail-system mil.dk, der er beregnet til "ikke-klassificerede" oplysninger.
Dermed har Fancy Bear næppe stjålet missil-koder eller lignende, men oplysningerne kan alligevel bruges til skadelig aktivitet mod Danmark.
Center For Cybersikkerhed vurderer - ligesom flere eksterne sikkerhedseksperter - at de oplysninger, der findes i mail-systemet både er velegnede til at skræddersy fremtidige phishing-angreb og til at udøve rekruttering og pression mod ansatte i Forsvaret i fremtiden.
3: Forsvaret kender ikke problemets omfang
Lettere bekymrende står det også klart, at Forsvaret tilsyneladende ikke er klar over problemets omfang.
CFCS-rappporten beskriver ikke, hvor mange mail-konti i Forsvaret, de russiske hackere har haft adgang til.
I stedet skriver CFCS, at "Det er meget sandsynligt, at flere mil.dk-postkasser efterfølgende er blevet kompromitteret, og at postkassernes indhold er kommet i aktørens hænder over flere omgange i 2015 og 2016."
Sammenholdt med, at Forsvaret ikke har opdateret sikkerhedsforanstaltningerne på mail-tjensten, i takt med at truslen er vokset, og at kompromitterede konti ikke bliver spærret, er det foruroligende læsning.
Var det virkelig Rusland?
Der er stadig mange ubesvarede spørgsmål om hackerangrebet, og fra politisk hånd ved vi stadigvæk ikke meget mere, end at Forsvarsministeren er chokeret, og at oppositionen plus LA er mindre end tilfredse.
Men i princippet er det stadigvæk uklart, om den russiske stat står bag hackerangrebet fra Fancy Bear.
Rusland afviser at noget med sagen at gøre, og Claus Hjort Frederiksen (V) har afvist at afkræve Rusland en forklaring.
Læs også: Rusland nægter at stå bag hackerangreb mod Danmark: Afviser de danske anklager
Hvorfor offentliggøre det nu?
Flere observatører har undret sig over, hvorfor Claus Hjort Frederiksen vælger at offentliggøre, at Danmark har opdaget angrebet.
Efterretningsmæssigt kan det være værdifuldt holde den slags viden for sig selv.
Det kan selvfølgelig være brændstof til forhandling af et nyt forsvarsforlig, men motivationen for at offentliggøre det nu kan også være, at de kompromitterede mails indeholder oplysninger, der er mere følsomme end som så.
Hvis Forsvaret kan hackes så let - hvad så med resten af staten?
Forsvaret er Danmarks fremmeste sikkerheds-institution, og det er overraskende, at et banalt phishing-angreb kan give adgang til interne mail-systemer.
Forsvaret selv har så sent som i år anbefalet offentlige myndigheder at beskytte sig bedre mod målrettet phishing, og når man ikke engang selv har fulgt det råd, giver det anledning til en overordnet diskussion af it-sikkerheden i det offentlige Danmark. Computerworld arbejder stadig på at få en kommentar fra Forsvaret om, hvad man konkret vil gøre for at højne it-sikkerheden oven på angrebet.
Læs også:
Sikkerhedsekspert kritiserer Forsvarets it-sikkerhed: "Der er bedre sikkerhed på mange Gmail-konti"
Rusland nægter at stå bag hackerangreb mod Danmark: Afviser de danske anklager
