Send en tanke til Zetlands medlemmer

De har betalt for, at vi kunne lave denne artikel. Uafhængig journalistik er ikke gratis.

Et cyberangreb saboterede dronningens nytårstale. Det blev Torstens opgave at finde de skyldige

Da YouSee gik i sort nytårsaften, kom Torsten på sit livs opgave.

Foto: Kasper Løftgaard for Zetland

Vores medlemmer foretrækker at lytte


22. februar 2022
15 min.

Hackeren eller hackerne havde forberedt sig. De havde tålmodigt bygget deres angreb op i noget tid uden at blive opdaget, og nu ventede de blot på det rette tidspunkt at slå til. I løbet af eftermiddagen blev angrebet sat i værk, og klokken 16:30 nytårsaften 2016 begyndte angrebet. Først gik nogle hundrede tusinde tv’er i Danmark i sort. Og så endnu flere. Til sidst var over én million af YouSees kunder uden tv-signal. Lige op til dronningens nytårstale.

Ved midnat, da nytårsselskaber rundtomkring i Danmark igen trak ind i stuerne for at se Rådhuspladsen gennem fyrværkeritåge, var tv-signalet fortsat dødt hos mange. Torsten Juul-Jensen vidste det ikke på det tidspunkt. Men hans liv var på vej ned ad en vild sidegade.

Han blev udpeget som manden i sikkerhedsafdelingen i TDC, der ejer YouSee, der skulle lede efterforskningen af nedbruddet. Han skulle finde ud af, om det var en teknisk svipser på et utroligt ubelejligt tidspunkt, eller om der stak noget mere ondsindet under? Havde en fremmed stat eller måske antiroyalister saboteret ikke bare dronningens tale, men en national fejring? Var det en forsmag på fremtidens cyberangreb?

På det tidspunkt,” siger Torsten Juul-Jensen, tror jeg ikke, nogen havde forestillet sig, at der skulle gå 18 måneder, før jeg kunne aflevere vores færdige rapport til politiet.”

Foto: Kasper Løftgaard for Zetland

At Danmark bare fungerer med alle de bekvemmeligheder, der følger med et moderne liv, er ikke en selvfølge. Hver dag er vores nation under angreb. Hver dag vågner der hackere i Rusland og Kina, som går til angreb mod danske virksomheder og myndigheder. Nogle gange stille og roligt. Andre gange voldsomt og koordineret. Når det sker, er det folk som Torsten Juul-Jensen, der bliver ringet til. Han leder nogle af landets dygtigste cybersikkerhedsfolk, når der er allermest på spil.

Han kan få trækninger ved øjet bare af at tænke på de mest alvorlige hændelser under cyberangreb, han har været med til at afværge og efterforske. Det er dage og nætter i computerskærmens lys, hvor han er under intenst pres fra ledere, der ønsker hurtige svar på komplekse spørgsmål, og sjældent får han mere end et par timers søvn. Når en sag er afsluttet, er det sket, han har grædt. Torsten Juul-Jensen har aldrig fortalt sin historie, men han er her nu for at fortælle, at selv om sikkerhedsfolk ikke er soldater, befinder mange sig dagligt i en krig, der udkæmpes i cyberspace.

Den krig er usynlig for os, men danske virksomheder, organisationer og staten er hele tiden under angreb fra omverdenen. Enlige amatører, cyberkriminelle, højtspecialiserede statshackere – mange vil have ram på os og får det også. Det hører vi sjældent om, fordi cyberkrigens natur gør det muligt at skjule angreb for offentligheden, men også fordi kun få virksomheder eller institutioner har interesse i at sige højt, at det er lykkedes nogen at sabotere noget, destruere noget eller stjæle oplysninger om ansatte, kunder, forskning. Og helt lavpraktisk: Man ville ikke ligne nogen, der ikke har styr på sikkerheden, for hvilket signal sender det ikke i 2022? Derfor er mange af Torsten Juul-Jensens efterforskninger tys-tys.

I virkeligheden er han en slags cyberdetektiv: når en virksomhed, organisation eller myndighed er blevet hacket, rykker han ud med sit team og begynder at indsamle beviser og afslører, i den bedste af alle verdener, forbryderen eller forbryderne. Helt snorlige går det dog ikke altid, og det måske mest famøse blackout i Danmark, nemlig YouSees nedbrud nytårsaften 2016, er i dag stadig officielt uopklaret. Ingen er i hvert fald blevet dømt. Men Torsten Juul-Jensen mener at vide, hvem der stod bag.

Dybt inde i en TDC-bygning blev der indrettet et efterforskningsrum. Med skriveborde og mobile flipovere, som Torsten Juul-Jensen og hans team af teknikere og analytikere kunne grifle teorier ned på. Missionen var at finde ud af, hvad der havde ramt dem– var det en teknisk fejl, et inside job eller nogen udefra?

Alvorligt var det i hvert fald. Militærets teknikere i Center for Cybersikkerhed blev orienteret om sagen, fordi tv-signalet er en del af Danmarks beredskab. Skulle en alvorlig krise ramme vort land, er DR og TV 2 forpligtet til at transmittere statens meldinger til befolkningen. På den måde var nedbruddet den nytårsaften en forsmag på, hvad der kan ske, hvis nogen en dag invaderer Danmark: lige før fjenden angriber, trækker de stikket til kommunikation – og vi ville ikke ane, vi var i krig. I 2016 var det flow-tv, der blev ramt. I en krig ville også internettet og mobilnettet blive angrebet.

Fire døgn efter angrebet havde Torsten Juul-Jensens team stadig ingen forklaring på nedbruddet, som han kunne præsentere for TDCs ledelse, selv om de arbejdede 12-14 timer i døgnet. Der begyndte at sprede sig en stemning af, om vi overhovedet vidste, hvad vi lavede, og om vi var de rette til at efterforske det, eller om man skulle hyre nogen udefra, der var dygtigere,” siger han.

Men netop som Torsten Juul-Jensen svedte foran ledelsen, bankede det på døren. Og der stod en flok af mine analytikere. Vi har fundet noget’, udbrød de.” Flokken kom ind og fortalte ivrigt, at de havde fundet beviser på, at angrebet blev gennemført med det formål at skade TDC og sætte systemet ud af drift”, som han diplomatisk siger. Det var ikke en teknisk fejl. Det var sabotage.

Foto: Kasper Løftgaard for Zetland

Før Torsten Juul-Jensen ledte cyberefterforskninger, levede han i 00’erne af at bygge systemer og computernetværk for virksomheder. Dengang var cyberangreb begyndt at blive en reel trussel. Angrebene kom oftere – og med større og større kraft. Torsten Juul-Jensen stod på sidelinjen og så på. Han så, hvad det var for nogle huller, hackerne udnyttede, og hvordan hackerne angreb.

I 2012 fik han en lederstilling i en statslig organisation. Her var det hans ansvar at holde verdens hackere ude af Danmarks styrelser og myndigheder. Blev bare ét led i det statslige netværk kompromitteret i et cyberangreb, risikerede hele statsapparatet at blive sendt til tælling. Og med dét tusindvis af arbejdspladser og afgørende funktioner i Danmark. Og ikke så længe efter at Torsten Juul-Jensen havde tiltrådt sin stilling, kom det meget tæt på at ske.

En verdensomspændende virus spredte sig med stor hast, og den havde også inficeret staten. Torsten Juul-Jensen indkaldte ekstra cybersikkerhedsfolk fra hele landet. Nogle kiggede i systemerne, andre kiggede i de ansattes computere. Det var alvor.“Vi diskuterede, om vi skulle lukke internetadgangen til flere myndigheder,” siger han. Det ville forhindre virussen i at sprede sig, men også sætte vigtige dele af staten ud af drift. Efter et langt og alvorligt møde blev beslutningen truffet: Internettet måtte holdes tændt.

Efter otte intense dage havde Torsten Juul-Jensens team endelig opdaget, hvad virussen var ude på. En af de cybersikkerhedsfolk, han havde indkaldt, var finne. Finnen havde i et øjebliks genialitet bygget noget software, som han havde sat til at overvåge virussens aktivitet – og mens det stod på, gik finnen på druk, fortæller Torsten Juul-Jensen. Da jeg vågnede ved 4-tiden om morgenen, lå der en besked fra finnen. Tjek din mail’, stod der.” Klokken 05:30 stod finnen klar, noget klatøjet, men helt oppe at ringe: Han havde opdaget, at virussen forsøgte at forbinde til mørkenettet. Det var et gennembrud. Det var ikke en fjendtlig stat, men cyberkriminelle, der forsøgte at få adgang til statens hemmelige systemer. Heldigvis havde virussen været så succesfuld i at sprede sig, at den fuldstændig havde overbelastet mørkenettet, og forbindelsen mellem staten og hackerne var nede. Dermed var skadevirkningerne få. Men mest af alt kun på grund af held.

Men ekstreme situationer, hvor man i dagevis er presset af angrebets alvor og en ledelse, der kræver svar på, hvor omfattende angrebet er, og hvor søvn er en luksus, man ikke har, kan sætte sig i kroppen. Og netop som Torsten Juul-Jensen havde fundet sit professionelle kald, tog paranoiaen over.

Nedbruddet nytårsaften var vildt, fordi vi var millioner af mennesker, der oplevede det simultant. Mange kan huske, hvor de var – i sofaer omkring tv’et spændte på at høre, hvordan dronningen ville binde sløjfe på året. Nogle husker måske også, at Københavns Politi allerede nogle dage efter anholdt en 51-årig mand.

Hans hjem blev ransaget, computerudstyr blev beslaglagt, og manden blev sigtet for hærværk og omfattende forstyrrelse af driften af fjernsynsanlæg”, der kan give op til seks års fængsel. Men dagen efter blev manden pludselig løsladt. TDC havde givet politiet nye oplysninger, skrev Københavns Politi i en pressemeddelelse.

I ni lange måneder forblev manden sigtet i sagen – indtil en dag i september, hvor politiet meddelte, at man helt opgav sigtelsen mod ham. I stedet ville politiet lede i andre retninger, lød det. Dengang lød det fra mandens advokat, at han overvejede at rejse et erstatningskrav mod TDC. Jeg har spurgt TDC, hvad der ledte til mistanken mod manden, men selskabet kommer ikke til at gå ind i denne sag”, skriver presseansvarlig Emil Lohse.

Fordi ingen er dømt i sagen, ønsker Torsten Juul-Jensen, der ikke længere arbejder i TDC, ikke at kommentere forløbet. Men han bekræfter, at det rigtigt nok ikke var manden, der stod bag nedbruddet. Det ikke var ham,” siger han. Men hvem var det så?

Foto: Kasper Løftgaard for Zetland

Selv om cybersikkerhedsfolk er i konstant kriseberedskab, er de et usynligt civilt værn mod omverdenens angreb. Der er ingen uniform. Ingen store overarme eller pistol i bæltet. Du passerer dem på gaden, står bag dem i køen i Netto – og du ville ikke ane, at de måske har været med til at afværge, at staten måtte trække stikket og gå offline. Eller har forhindret et totalt kollaps af de systemer, der holder vores sygehuse, plejehjem, fængsler, togdrift og så videre kørende. Eller at en dansk virksomhed kom meget tæt på at sætte al produktion på standby og se ind i en uvis fremtid. Eller simpelthen må dreje nøglen om, fordi angrebet var for destruktivt.

For os amatører, der højst kan svinge os op til at køre en deep scan med et antivirusprogram, skal man forestille sig et arbejdsklima, hvor man under et enormt tidspres minutiøst skal finkæmme komplicerede systemer og enorme netværk for at finde det ene hul, hackerne har misbrugt til at iværksætte angrebet. Det kræver en intens efterforskning og koncentration, hvor det eneste, man hører i lokalet, hvor der gerne sidder 30 sikkerhedsfolk, er lyden af summende computere og fingre på tastaturer. Men når søvnmanglen sætter ind på det tredje, fjerde måske femte døgn, hvor alle har arbejdet solen sort, og angrebet stadig er uopklaret, så bryder diskussionerne ud. Efter flere måneders efterforskninger bliver diskussionerne mere heftige. Måske har en begået en fejl, der sætter alle mange timer tilbage, måske hele døgn. Men det største pres, siger Torsten Juul-Jensen, er usikkerheden: Fanger vi dem denne gang? Opklarer vi sagen?” At besvare de spørgsmål, siger han, er både det, der gør arbejdet spændende, men usikkerheden er også det, der tærer på ham.

Tæringen fik Torsten Juul-Jensen at føle, da han efter virusangrebet mod staten mistede grebet om sin egen virkelighed. Jeg havde en vanvittig stressreaktion efter angrebet i 2013. Jeg havde angst, jeg kunne ingenting.” Selv hans hjem føltes ikke trygt. Jeg var bange for, der var nogen ude bag vinduerne, nogen, der holdt øje med mig.” Han vidste godt, der ikke stod nogen, men paranoiaen havde overtaget. Om aftenen var jeg nødt til at trække gardinerne for.”

I seks-syv uger var han sygemeldt, og han begyndte at se en psykolog. Jeg fik talt om at stå midt i en krise og have ansvaret for at finde ud af, hvad der er sket.” Som den, der leder efterforskningen, skal han dirigere en stor gruppe teknikere og analytikere gennem udmarvende døgn foran computerne. Oven i det skal Torsten Juul-Jensen sidde i møder med en ledelse, der er ude i tovene over at være under angreb fra en usynlig fjende og sjældent føler, efterforskningen går hurtigt nok. De vil have svar – nu: Hvor stor er skaden? Hvordan kom hackerne ind? Hvordan får vi dem ud igen?

Sjældent har ledelser de tekniske forudsætninger for at forstå, hvor omfattende et angreb kan være, og hvorfor det tager langt længere tid, end de har nerver til. Men Torsten Juul-Jensen skal absorbere den øverste ledelses stress som en svamp, siger han, så han kan skærme sit team. De har nok stress at tage sig af. Derudover, siger han, er der bekymringen for, at hvis angrebet udføres af statsstøttede hackere, at den stat har personer på dansk grund, der kan udsætte de involverede for egentlig fysisk fare – også selv om den fare ikke nødvendigvis er reel. Der sker mange ting i ens hoved, når man er i en efterforskning,” siger han.

Gradvist fik han det bedre, og i foråret 2014 fandt Torsten Juul-Jensen sig til rette i en organisation af en helt anden kaliber; Forsvarets Efterretningstjeneste. Hvad han lavede i militærets tophemmelige spiontjeneste, er underlagt tavshedspligt, så det må han ikke fortælle os om. Men efter to et halvt år trådte han i efteråret 2016 ind ad døren hos TDC, hvor han med nedbruddet nytårsaften kom på sit livs opgave.

For at løse mysteriet om nedbruddet var Torsten Juul-Jensen og hans team nødt til at vide, hvad der var gået forud for angrebet. Nøjagtig som hvis det var et indbrud i et hus, der skulle opklares. Først forsøger man at finde ud af, om tyven kom ind gennem et vindue, eller om tyven brækkede døren op, og så finde fodaftryk til og fra huset. I afkroge af TDCs netværk fandt de det, man kalder logs, der beskriver aktiviteter på et netværk. Altså hvem loggede på hvornår, og hvad foretog personen sig. I TDC arbejder der tusindvis af mennesker, så materialet var enormt.

Ved at grave logs frem kunne de skrue tiden tilbage og se, hvad der var sket en måned op til nytårsaftenen. I materialet fandt de, fortæller han, afgørende spor” på, hvad der præcis var foregået”.

De kunne se, nedbruddet havde været planlagt på forhånd. Og eksekveret på det rigtige tidspunkt: Lige før dronningens nytårstale. I loggene kom Torsten Juul-Jensen også helt tæt på hackeren. Der forstår jeg, hvad det er, han laver.” I en log stod der de kommandoer, hackeren havde skrevet for at få systemet til at gøre, som han ønskede. Jeg ser også de fejl, han laver på tastaturet. Så når jeg siger, at jeg ved, præcis hvad der skete, er det ned til meget, meget små detaljer, stavefejl og slåfejl – og det var første gang, jeg havde oplevelsen af at være inde i hovedet på hackeren. Jeg har selv lavet tusindvis af slåfejl og tastet de forkerte kommandoer.” Og de samme fejl, så han nu mennesket, der sad på den anden side af skærmen, lave.

Men ét var, at Torsten Juul-Jensen havde fundet beviser for en indtrængende sabotør, noget andet var at samle de beviser i en rapport, han kunne overrække til politiet. Alle spor efter hackeren samt omfanget af angrebet skulle beskrives ned til mindste detalje. Fordi angrebet havde været planlagt forinden og påvirket så mange systemer, at tv-signalet var gået i det meste af Danmark, var opgaven enorm. Da nytårsaften 2017 passerede, denne gang uden nedbrud, sad han stadig og skrev på rapporten. I foråret 2018 lagde han sidste hånd på materialet til politiet. Den hang ham ud af halsen, husker han.

Men det var vigtigt for mig at komme til bunds i, hvad der var sket. Og vi kom meget tæt på,” siger han. Vi ved, at det var en bevidst skadelig handling. Vi ved, at det var noget, der krævede særdeles stor indsigt i de systemer og de dele af YouSees netværk, der blev ramt – og at det var blevet forberedt,” siger han.

Alligevel er sagen officielt uopklaret. I begyndelsen af 2020 – altså halvandet år efter, at politiet fik hans rapport, og hele fire år efter nedbruddet – besluttede Københavns Politi at henlægge sagen. Kommer der væsentlige nye oplysninger i sagen,” skriver en presseansat til mig, vil politiet naturligvis kunne vælge at genoptage den.”

Fordi sagen er henlagt, vil Torsten Juul-Jensen ikke gå ind i alle detaljer. Alt, han vil sige, er: Det er meget mere alvorligt og meget mere overlagt, end jeg havde forestillet mig.” Der ligger en omfattende undersøgelse og et omfattende materiale hos politiet, men der kan stadig være ting, man venter på, der gør, at sagen kan ende i retten. Den eller de, der udførte det her angreb, kan ikke vide sig sikre de næste mange år.”

Foto: Kasper Løftgaard for Zetland

Da angsten overmandede ham, kunne Torsten Juul-Jensen have valgt at sige: Det gør jeg aldrig igen. Han har haft kolleger, der aldrig kom sig oven på et cyberangreb, og som har valgt et mere stille liv. Heldigvis har vi dygtige mennesker, der kan hjælpe os teknikere med at komme ovenpå igen, når vi er nede.”

Ved fronten af en cyberkrig, der aldrig stopper, og hvor der ofte er utroligt meget på spil, og hvor teknikere har det endelige ansvar for, at angrebet bliver stoppet og opklaret, og der oven i det er en tavshedspligt, der gør, at man skal tie, selv når man endelig ser sin familie, har man kun sit team at læne sig op ad. Vi skal bære hinanden, både teknisk og personligt, gennem det her’ er blevet hans mantra i hans nuværende arbejde for Improsec, et cybersikkerhedsfirma, der rykker ud til cyberangreb, og hvor det er Torsten Juul-Jensens job at lede efterforskningerne. Jeg plejer at sige til mit team, at det er helt okay, at man har stressreaktioner eller siger, at nu er jeg udkørt. Og jeg siger til dem: Mærk efter. Og mit team er også gode til at spørge mig: Hvordan har du det, Torsten?”

Sine nuværende kolleger, siger han, er dem, han drømte om at tilkalde, dengang YouSee-sagen skulle opklares. De er dygtige og omsorgsfulde, siger han. De ved, at for at beskytte Danmark mod hackere fra Kina, Rusland og resten af verden skal de beskytte sig selv. Når man laver det, vi laver, kan man komme ud til grænsen af, hvad man kan holde til. Vi skal være opmærksomme på hinanden og tage os af hinanden, for det, vi laver, er noget af det mest ekstreme, man kan komme ud for i det civile liv.” Når en sag er afsluttet, mødes cybersikkerhedsfolkene om et bord til en debriefing, hvor alle følelser får frit løb. Vrede, frustrationer, gråd. Har Torsten Juul-Jensen begået fejl undervejs, måske på grund af stress og manglende søvn, og den fejl er gået ud over en medarbejder – ”hvor jeg har efterladt ham i en dårlig situation”, taler de det igennem med følelserne uden på tøjet, og det sker, at Torsten Juul-Jensen græder. Det er enormt grænseoverskridende at give slip, men det er sundt.”

Improsec har faktisk lige afsluttet en stor efterforskning. En sag, Torsten ikke kan fortælle om. Og bagefter hev han en kollega, en ung mand, ind og spurgte, hvordan han havde det. Fremover vil der være krisesamtaler undervejs, siger Torsten Juul-Jensen. For vi vil være dem, der håndterer de mest ekstreme situationer og finder svar.” For han ved, at de kommende år kræver en hær af dygtige mænd og kvinder på tasterne. Hundredvis af dem, siger han. Og dem skal der passes på, hvis de skal passe på os.