Han får dine data hjem, når hackerne har taget dem. Mød internettets gidselforhandler

I et gråzone-marked forsvarer danske ex-elitesoldater og spioner erhvervslivet mod udenlandske hackere.

Foto: Kasper Løftgaard for Zetland

Vores medlemmer foretrækker at lytte

Zetlands medlemmer kan høre alle vores artikler som lyd - oplæst af skribenterne selv. De fleste foretrækker at lytte i vores app, hvor man får den bedste oplevelse. Men du er velkommen til at lytte med her.

Der findes en efterretningstjeneste, du næppe har hørt om. Den ligger i det indre København, har sit anonyme kontor i Bredgade og går under navnet Eagle Shark. Her arbejder manden, jeg skal tale med. Michael Andersen, hedder han. Han har langt, brunt hår og krøllet fuldskæg. Han er tidligere militærmand og udlært fra nogle af verdens fineste skoler, og hos Eagle Shark har han et af den slags jobs, som de færreste overhovedet ved findes. Men det er et job, der er mere og mere brug for.

Jeg er på kontoret i Bredgade, fordi Eagle Shark, et privat sikkerheds- og efterretningsbureau, og Michael Andersen er en del af en af de helt store kampe, der lige nu foregår på internettet. I takt med at virksomheder bliver mere og mere sammenfiltret med internettet, er truslen mod helt almindelige virksomheder steget. Og truslen har formet sig i en sådan grad, at der er mere og mere behov for de tjenester, Eagle Shark leverer. Vi arbejder med det samme, som en efterretningstjeneste laver for en nation,” siger Michael Andersen til mig. Det laver vi for virksomheder.”

Eagle Sharks kuriøse navn er et hint om, hvilke folk vi har med at gøre her. Den ene grundlægger, Christian Spohr, var i syv år snigskytte i Frømandskorpset, en militær specialenhed, og har været på særligt farlige operationer i Kosovo og Afghanistan og jagtet pirater i Adenbugten. Og har man været frømand, får man tatoveret en haj. Ørnen får man tatoveret, hvis man har gjort tjeneste i Jægerkorpset, den anden af militærets specialenheder, som den anden grundlægger har. Ørnen og hajen symboliserer et broderskab, man altid vil være en del af, og på nogle af Eagle Sharks ansattes kroppe finder man disse særlige tusser. Resten af de ansatte har baggrund i politiet og efterretningstjenesten. Alle er toptrænede specialister, og de opererer i gråzonen mellem, hvad myndigheder tager sig af, og hvad private aktører som dem selv kan stikke snuden i. For det findes flere og flere problemer, politiet ikke vil eller har ressourcer til at løfte. Og så ringer man til Eagle Shark.

Det kan være skjulte observationer, hvor de som i en spionfilm ligger på lur et sted for at skaffe dokumentation som fotografier, videoer og lydoptagelser, som den virksomhed, der har hyret Eagle Shark, kan bruge i en retssag eller overdrage til myndigheder. Det sker i sager om industrispionage, kopivarer, forsikringssvindel eller svind, altså hvor penge eller produkter på mystisk vis forsvinder. Eagle Shark laver også personbeskyttelse af udsatte individer, graver i chikanesager og risikovurderer trusler mod ansatte, og er truslerne meget alvorlige, kan den ansatte få bygget et citadel, et sikkerhedsrum i personens hjem. Eagle Sharks specialister kan også hyres til at trawle internettet for oplysninger om en person eller virksomhed. Måske for at baggrundstjekke en person, som en virksomhed gerne vil ansætte, eller retsforfølge vedkommende.

Men i det her gråzone-marked har en ny, alvorlig og usynlig trussel mod virksomheder fået telefonen til at bimle på kontoret i Bredgade. Og dén trussel kræver en helt ny type specialist. Sådan en er Michael Andersen. Han bruger nemlig sin psykologiske viden og erfaring som en moderne gidselforhandler. Det handler ikke om at befri mennesker, men om at befri data.

Når en dansk direktør ser sin virksomhed, sit livsværk i virkeligheden, blive inficeret af et virus, som låser virksomheden ud af deres systemer, og hackerne bagefter kræver en løsesum på millioner af kroner for at låse op, er det Eagle Shark med Michael Andersen som gidselforhandler, mange ringer til. Hans job går ud på at mægle mellem en direktør og hackeren, som holder virksomheden i et dødsgreb ved at have den eneste nøgle til at gendanne systemerne. Punger direktøren ikke ud, forsvinder nøglen, og hackeren sletter alt. I nogle tilfælde er virksomheder efterfølgende gået konkurs. Ransomware-angreb hedder denne type cyberangreb, og de er i stigning.

Alene denne sommer har vi set store danske virksomheder blive lagt ned i dage, mens man har forhandlet med hackere. I juni blev Bauhaus’ systemer taget til gidsel af, hvad man mener var russiske hackere, der krævede en løsesum. Angrebet betød, at erhvervskunder ikke kunne handle, Click & Collect-funktionen var død, og kun lige akkurat kunne byggemarkederne holde åbent. I samme måned måtte hundredvis af danske hoteller undvære deres bookingsystem og bittert afvise gæster, fordi virksomheden bag systemet, danske AK Techotel, var taget til gidsel. De her angreb er kun toppen af isbjerget, for de fleste vælger at tie om angrebene.

Det uhyggelige ved ransomware er, at de ofte udnytter sårbarheder i den menneskelige psyke. Hackerne bruger sociale teknikker til at få en ansat til at handle skødesløst, selvsagt uden at den ansatte ved det. Klikke på et link med den nye frokostordning’ eller låne nøglen til serverrummet til den nye praktikant’. På den måde vedrører cybersikkerhed os alle sammen, og cybersikkerhedsfirmaer måler faktisk lige nu den største stigning i løsesumsangreb mod Danmark og Skandinavien. Og ifølge Michael Andersen er vi ekstra sårbare, fordi hackere udnytter vores tillidskultur. Det er sørgeligt, vi bliver angrebet på vores tillid til andre mennesker,” siger han.

Men noget andet og meget større stikker også under, at vi har fået en skydeskive på ryggen. Hvad det er, kræver, at vi træder ind i den skyggeverden, Michael Andersen opererer i. En verden af frustrerede direktører, hemmelighedskræmmeri og umenneskelige beslutninger.

Foto: Kasper Løftgaard for Zetland

Michael Andersen begyndte i militæret og blev senere uddannet på verdens to mest eftertragtede business-universiteter, Harvard i USA og INSEAD i Frankrig. Han har netop afsluttet en sag for en virksomhed, hvor en tidligere ansat var anklaget for pædofili. Det kan godt lægge en belastning på medarbejderne, så jeg har hjulpet med den psykologiske bearbejdning, og hvordan virksomheden kan samarbejde med myndigheder.”

Psykologi fylder meget i Eagle Sharks arbejde, for når Michael Andersens kolleger har indsamlet oplysninger om en person, er det op til ham at tolke på oplysningerne og opsætte hypoteser om, hvad man kan sige om det her menneske. I sidste ende er det det, bureauet sender til kunden, en virksomhed, der måske mistænker, at en ansat har gjort noget kriminelt, eller hvis en ansat modtager trusler udefra. Man skal altid tage trusler seriøst, men kommer han og hugger hende i stykker med en økse om natten, eller gør han ikke?” siger han. Det skal han afgøre.

Ransomware-angreb er på en måde også psykologisk krigsførelse. Det handler for hackeren om at presse en virksomheds ledelse derud, hvor de ingen anden udvej ser end at betale løsesummen. Gennem et hul i it-sikkerheden eller sociale teknikker har hackeren listet sig ind i systemerne. Men inden hackeren giver sig til kende og låser systemerne ned, forsøger hackeren at slette den backup af systemerne, som virksomheden ofte har. Når så hackeren eksekverer angrebet, går skærmene i sort, og uanset hvor hurtigt virksomhedens it-ansatte flår kablerne ud af computerne, er ødelæggelsen total. Backuppen er slettet, og kun hackeren kan gendanne systemet. Men det koster, får direktøren at vide i en mail fra en krypteret mailadresse. Svar venligst inden for 24 timer, hvad I har tænkt jer at gøre. Det er her, at Michael Andersen bliver indkaldt.

Om natten den 9. juni blev den danske hotelbookingplatform AK Techotel, der har hovedkvarter i Brøndby, ramt af cyberangrebet, der lammede Sommerdanmark. Timingen var forfærdelig, landet var netop åbnet efter corona, men nu lukkede bookingsystemet, livsnerven for hundredvis af hoteller, ned. I Vestjylland måtte Hotel Skjern afvise gæster. Alle vores data og alle vores reservationer er væk,” fortalte ejeren til TV Midtvests udsendte.

Først i de tidlige morgentimer opdagede hotelplatformen, at den var helt gal. Og de kontaktede Eagle Shark og bad dem rykke ud. Michael Andersen læste op på sagen og virksomheden og forberedte sig på forhandlingen med hackeren, der krævede en ukendt løsesum udbetalt i bitcoins. Ret utraditionelt var AK Techotel offentlige om angrebet. På hjemmesiden skrev de til hotellerne: I er nødt til at være forberedt på ikke at have adgang til jeres data de næste timer.” I virkeligheden skulle der komme til at gå dage. Om formiddagen skrev AK Techotel, at specialister fra Eagle Shark var på opgaven, og tilføjede, at folk, der producerer virusser, hører til i fængsel”.

Det sker ret tit, at Michael Andersen kommer ud til virksomhedsejere i deres følelsers vold. Du skal forestille dig det fra ejerens synspunkt: Intet virker, arbejdspladsen er gået i stå, dit livsværk og alle dine ansattes jobs er pludselig på spil, og du skal forholde dig til, om du vil betale løsesummen, og hvordan du betaler, og hvordan du er blevet hacket, og hvad der kan ske med dine kunders og alle virksomhedens data. Det er vanvittigt, hvad de skal forholde sig til.” Eagle Sharks teknikere kunne se, at ransomware-virusset nok var købt på mørkenettet. Der er ikke noget mere urimeligt end en eller anden hacker, der har købt et program og kan ødelægge et menneskes livsværk. Det kan gøre meget helt hysterisk inde i,” siger Michael Andersen. Men som forhandleren må han ikke falde i pølen af vrede og afmagt som ejeren. Fakta er, at jeg skal være gode venner med den her hacker, den her bandit, for at vi kan samarbejde.”

Michael Andersen har selv sociale teknikker til at komme ind i hovedet på gidseltageren. I en krypteret mail introducerer han sig selv med fornavn og skriver, han er virksomhedens forhandler og håber, de kan finde en god løsning. Han er høflig og prøver at få hackerens fornavn. For jeg vil gerne kunne skrive: Hi Andre, thank you for helping me with’ og sådan. Hackeren skal tænke, at han og jeg skal samarbejde. Det er selvfølgelig ikke det, han tænker. Han tænker, han skal have de her penge. Så jeg skal have ham til at forstå, at vi samarbejder om et fælles mål.” Det fælles mål er at få så meget data som muligt genskabt, gerne uden nogen betaling. Her skal han passe på ikke at presse for hårdt, for, siger han, så siger de bare fuck dig, og så er de væk”.

Foto: Kasper Løftgaard for Zetland

Forhandlingerne forløber som regel udramatisk. Får Michael Andersen ikke et navn, begynder han at knytte bånd med Hey mate’ eller Hey dude’. Han forsøger samtidig at finde ud af, hvor meget hackerne ved om deres offer. Det siger noget om, hvor specifikt de er gået efter virksomheden. Hvis de tror, de kan få 20 millioner dollars fra en lille dansk virksomhed, siger det mig, de ikke aner noget. Det afslører noget om deres professionalisme. Andre hackere har fuldstændig styr på virksomheden og kender navnene i dens bestyrelse.”

Michael Andersen forholder sig ikke til spørgsmålet om at betale. Det er et spørgsmål om etik og moral, men også overlevelse,” siger han. Om eftermiddagen besluttede AK Techotels ledelse at betale. Beløbet var højt. På hjemmesiden stod der, det var langt mere, end vi forventede!” Hvor højt er hemmeligt, men en stor sum”.

Senere på eftermiddagen, mere end et døgn efter angrebet, skrev AK Techotel, at de havde adgang til bitcoins og er nu ved at overføre dem til banditterne”. Hoteldanmark holdt vejret. To timer senere kom den glædelige nyhed. AK Techotel skrev, de havde fået redskaber til at dekryptere hotelfilerne med”. Hele natten og morgenen arbejdede teknikere på at genskabe systemerne, men der skulle gå halvanden måned, før AK Techotel var helt tilbage. AK Techotels direktør, Klaus Ahrenkilde, har ikke ønsket at kommentere sagen.

Cybersikkerhedsfirmaer påstår, at størstedelen af virksomheder i Danmark, de spørger, har været ramt af ransomware-angreb. Tallene svinger mellem 67 procent og 78 procent i 2020. Men jeg kender kun til et par håndfulde. Tavsheden forklares med, at virksomheder frygter at skræmme investorer og kunder væk, chefer risikerer at blive fyret, og kursen kan tage et dyk. Og så kommer hele den moralske diskussion, hvis virksomheden betaler løsesummen. Politiet fraråder det, men det er ikke ulovligt, men alligevel svært at forsvare på nationalt tv, at man har finansieret kriminalitet. For en amatørhacker kan et enkelt succesfuldt ransomware-angreb indbringe millioner af kroner. Meget godt klaret med et museklik. Og hver gang det lykkes, ansporer det nye.

Nok derfor vælger virksomheder at tie. Og når vi så alligevel kender til angreb, skyldes det, at ransomware-angreb har det med at vise sig i vores fysiske verden. I USA i foråret eksempelvis fik et angreb på en olieledning tankstationer i flere stater til at løbe tør for benzin, og i Sverige måtte Coop i sommer lukke 800 indkøbscentre i dagevis, mens hackere afpressede koncernen for en halv milliard kroner. Det er også i den fysiske verden, at danske virksomheder er sårbare over for cyberangreb. Det er her, vores tillidssamfund gør os sårbare for den nye trussel. Michael Andersen har testet det selv, for en anden af hans opgaver er at lave psykologiske angrebsplaner på virksomheder.

Det fungerer sådan her: En ledelse i en dansk virksomhed beslutter, de gerne vil trykteste it-sikkerheden. Det handler om systemernes robusthed, men også de ansattes robusthed. Så de skal også tryktestes. Det ved de selvfølgelig ikke. Sådan en fysisk penetrationstest, som det hedder, sker i hemmelighed. Her betaler en virksomhed Eagle Shark eller et andet cybersikkerhedsfirma for at forsøge at bryde ind i virksomheden og indsætte et virusinficeret usb-stik i en computer. Og for at dét skal lykkes, benytter specialisterne sig af sociale teknikker. Michael Andersen er ikke selv i marken. Hvis han blev sat til at skygge nogen fra en bil, ville han, griner han, snorksove efter fem minutter. I stedet analyserer han mulige sårbarheder i de ansattes psykologi.

Et tænkt eksempel kunne være, forklarer han, at en virksomheds direktør var på ferie. Ham kalder vi Paul. Stedfortrædende for Paul er en chef, som Michael Andersen udser som sin indgang. Han læser op på hende og opdager, at hendes store passion er Berner Sennen, en stor bamset hunderace. Så går operationen i gang. En af specialisterne ringer til den nye chef og spørger, om han kan tale med Paul. Han er på ferie, lyder svaret, kan du måske ringe tilbage i morgen? Nej, svarer han, for der er jeg til … Berner Sennen-træf! Nå, siger hun så, det er sjovt, for jeg elsker Berner Sennen! Jeg laver en bonding,” siger han. Jeg bliver ekstremt ufarlig for hende.” Herfra er det nemt at snakke sig frem til en invitation, så Eagle Sharks specialist kan gå lige gennem hoveddøren.

Når specialisten er inde, kan han lægge et virusinficeret usb-stik på en ansats bord (usb-stikket er selvfølgelig uskadeligt). Når man ser et usb-stik på ens bord, trigger man deres nysgerrighed, og de fleste tænker: Det er nok til mig. Jeg prøver lige at se, hvad der er på,’ siger Michael Andersen. Andre gange har et succesfuldt cyberangreb været så let som, at en undercover Eagle Shark-specialist har sagt, det er hans første dag i it-afdelingen, og blev eskorteret ind. Men, siger Michael Andersen, det må aldrig blive skamfuldt at begå fejlen, for det er det mest naturlige gerne at ville hjælpe”. Så hvis en vicevært låner en nøgle væk, fordi han tror, at Eagle Sharks folk faktisk er malere, skal viceværten ikke straffes af ledelsen. I stedet skal ledelsen gøre medarbejderne opmærksomme på, at der er blevet lavet en test, og vi skal være mere opmærksomme.”

Foto: Kasper Løftgaard for Zetland

I årtier har vi talt om, hvad det egentlig betyder for Danmark, at vi er en lille, åben økonomi. Truslen fra hackere er desværre en af bivirkningerne. Og det er en helt særlig kombination, der gør, at lige præcis Danmark er et yndlingssted for hackerne at slå til. Vi er tillidsfulde. Vi er ekstremt digitaliserede. Og, siger Michael Andersen som det sidste: Vi har afsindig travlt.

Vi bliver taget på sengen af vores liderlighed efter mere effektivitet og digitalisering, for det er dér, man kan lave cyberangrebene. I vores iver efter at få et nyt it-system og spare 20 medarbejdere væk blotter vi os for en ny sikkerhedstrussel. Og de brutale hackere, de sidder bare og smiler.” Løsningen er ikke nødvendigvis mindre it, men, siger han, mindre stress. Jo mere travlt vi har på arbejdet, jo mere bøvlet er det at have to-faktor-godkendelse, når man logger på sin pc.” Eller at tjekke, om der faktisk begynder en ny it-medarbejder.

Denne her kombination af tillid, digitalisering og travlhed har Michael Andersen set udfolde sig på smukkeste vis på en af Eagle Sharks penetrationstest hos en virksomhed. Her så de en sikkerhedsdør, hvor man låser sig ind med kort, men det havde de ansatte for travlt til, så de havde sat en brandslukker i klemme i døren. Han griner, men faktisk er det alvor.

Da jeg talte med Michael Andersen, fik jeg fornemmelsen af, at vi må nedbryde al tillid for at få en statistik, der hedder 0 ransomware-angreb i 2022. Hackere vil os det ondt, og ikke engang malerne kan man stole på. Er det målet, spørger jeg ham. Jeg ville være ked af, hvis vi ikke længere skal have tillid til hinanden. Når du kommer herinde eksempelvis og besøger mig, så vil jeg skulle kropsvisitere dig. Det ville virkelig være ærgerligt,” siger han. Desværre er det på baggrund af, at der er ondsind i verden. Der er nogen, der ikke vil os det godt. Det må vi forholde os til.”

Tillid er smart, fordi det gør vores samfund smidigt. Når vi ikke behøver tjekke hinanden hele tiden eller frygte hinandens hensigter, kan vi bruge kræfterne på noget andet. Men vi mangler stadig at finde ud af, hvordan dén tillidskultur skal fungere i en hyperforbundet og digital verden.