I sommer gik der formentlig et sug igennem mange danske topchefer, da A.P. Møller-Mærsk var udsat for et massivt cyberangreb. Et angreb, som på mange måder lagde shippinggiganten ned, og som ifølge rederiet har kostet mellem halvanden og to mia. kr. i tab.

Men selvom angrebet har været det klart største herhjemme hidtil, så frygter Danske Banks it-sikkerhedschef, Poul Otto Schousboe, at et lignende – og endnu større – angreb en dag lammer store dele af eller hele den danske betalingsinfrastruktur.

"Her taler vi ikke blot om lammelse i nogle timer eller dage. Men om længere tid, hvor du, jeg og alle andre personer, virksomheder og myndigheder overhovedet ikke kan betale med hverken kort eller lave pengeoverførelser overhovedet – og så har vi et enormt problem afhængig af tidsomfanget og skadevirkningen," fortæller Poul Otto Schousboe til FinansWatch.

Stor oprustning de senere år

Udmeldingen om den potentielle cybertrussel kommer ikke fra hr. hvem-som-helst. Spørger man rundt omkring i den danske finanssektor efter en vidende og respekteret kapacitet på it-sikkerhedsområdet, lyder svaret fra flere, at man skal tale med Poul Otto Schousboe. Hans viden har han opsamlet gennem 30 års arbejde i krydsfeltet mellem finans og it-sikkerhed – herunder de fleste i Danske Bank-koncernen.

FinansWatch møder bankens øverste it-sikkerhedschef siden 2006 på hans hjørnekontor i dens afdeling for it-sikkerhed i et industriområde i Ejby vest for København. Her sidder flere medarbejdere og arbejder på at minimere risikoen for cyberangreb mod koncernens systemer.

(Artiklen fortsætter under billedet)

Poul Otto Schousboe, it-sikkerhedschef i Danske Bank. Foto: Søren Duran Duus

Poul Otto Schousboe vil gerne fortælle, hvad Danske Bank overordnet har gjort de senere år, og hvad banken lige nu arbejder på for at bekæmpe de it-kriminelle. Men han gør det fra begyndelsen samtidig klart, at der er konkrete tiltag og tal, han ikke kan afsløre af hensyn til koncernens sikkerhed og arbejdsmetoder.

Han forklarer, at Danske Bank i de seneste år især har intensiveret sin indsats for at beskytte bankens kunder og medarbejdere ved at øge antallet af egne it-medarbejdere i huset.

"I og med at vi har lavet en meget stor insourcing, så har vi også opbygget en egen intern sikkerhedsorganisation og investeret kraftigt i at have kompetencerne in-house", fortæller Poul Otto Schousboe, der ikke ønsker at sætte tal på, hvad det betyder for antallet af medarbejdere på sikkerhedsområdet, eller hvad investeringen har kostet i runde tal.

Insourcingen begyndte i begyndelsen af 2015 og følger bankens ønske om at være meget tæt på dem, der arbejder med it og it-sikkerhed. Insourcingen var en strategisk beslutning i koncernen med henblik på at være "mere i kontrol med, hvad der sker" og "sikre de fornødne ressourcer".

"Det er helt afgørende, at kunderne har tillid til de digitale løsninger, den finansielle sektor har, og derfor styrker vi os også løbende på området i Danske Bank," forklarer Poul Otto Schousboe.

Worst case scenario

Danske Bank vil give it-kriminelle kamp til stregen ved fortsat at investere på sikkerhedsområdet, forsikrer Poul Otto Schousboe.

"Vi er ikke færdige med at investere, men fokus vil være på en kombination af ressourcer og teknologi, så vi kan være på linje eller foran de kriminelle," siger Poul Otto Schousboe, der har it-sikkerhedsmedarbejdere siddende i Danmark, Estland, Litauen og Indien.

Hele Danske Banks it-organisation består af omkring 3350 medarbejdere, hvoraf it-sikkerhedsorganisationen består af et antal medarbejdere, som banken ikke ønsker at oplyse.

Det kræver konstant oprustning at følge med udviklingen, for den går stærkt. Meget stærkt, fortæller Schousboe:

"Jeg tror ikke, der var mange, der havde forudset hændelsen, som A.P. Møller-Mærsk var udsat for i sommer. Det er den type angreb, man kan frygte, hvilket Nationalbankdirektør Lars Rohde også sagde forleden (på en konference om cybersikkerhed, red.) – dét, at der er noget, der kan lamme betalingsinfrastrukturen."

Nationalbankdirektør Lars Rohde har således advaret om, at et cyberangreb, der rammer dankortet, vil være så lammende for dansk økonomi, at det kan få katastrofale konsekvenser. Han har påpeget, at truslen fra cyberangreb er så alvorlig, at der bør etableres en national plan og et centralt organ til at varetage den.

Den idé støtter Poul Otto Schousboe, som mener, at der generelt er brug for et tættere samarbejde – også internationalt. Desuden skal finanssektoren fortsætte med at arbejde på at styrke fællesskabet og samarbejdet både som fælles enhed og som enkeltspiller, så sikkerheden bliver så god som muligt.

"Jeg tror ikke, det er teknologien, der ændrer sig i løbet af de kommende få år. Hændelsen mod Mærsk (A.P. Møller-Mærsk, red.) skyldtes udnyttelse af digitale sårbarheder og funktionalitet, som er til stede på de forskellige platforme, hvor de kriminelle i forvejen er," fortæller Danske Bank-chefen.

Kriminelle følger efter penge

Poul Otto Schousboe drager en parallel til den fysiske tyveri-verden, hvor det for eksempel skifter lidt mellem blandt andet hjemmerøverier og indbrud, men hvor bankrøverier og angreb mod pengetransporter i dag stort set er forsvundet, fordi man har ændret måden, hvorpå man beskytter penge til fordel for digitale løsninger.

"Problemet er bare, at de kriminelle flytter med derhen, hvor pengene er. Det kan være, der er nogle, som for eksempel ønsker at påvirke kurser ved hjælp af fake news. Det kan også være nogle, der forsøger sig med forskellige typer scams, der virker. Pyramidespil eksempelvis, som rammer kunderne, men hvor det er bankerne, som nogle gange bliver ramt af konsekvenserne, fordi bankerne skal hjælpe kunderne med at få pengene tilbage," fortæller Danske Bank-chefen.

It-sikkerhedschefen fremhæver også de såkaldte romance scams som et område, der kan give problemer. Her bliver oftest mænd overtalt af kvinder til at overføre penge efter typisk skriverier på nettet, hvorefter manden bliver lokket til at overføre penge. Herefter forsvinder kvinden som dug for solen – med pengene.

Storpolitik blokerer for efterforskning

Ifølge Poul Otto Schousboe er også efterforskning af cyberkriminalitet en stor udfordring set i forhold til et internationalt samarbejde:

"Det er jo både internettets styrke og svaghed, at vi har landegrænser, når meget cyberkriminalitet foregår på kryds og tværs af lande, sammenholdt med at det tager måneder, inden man måske får en retskendelse igennem i et land."

Derfor håber Schousboe på, at der kommer klare aftaler omkring, hvordan man kan lave efterforskning på tværs af landegrænser, når det drejer sig cyberkriminalitet.

"Men det tror jeg desværre ikke, jeg kommer til at opleve i min tid, fordi der er så meget storpolitik i det. Blandt andet er der nogle aktører, der forsøger at udnytte disse huller til at lave industrispionage – og derfor går nogle lande ikke med til at lave aftaler om for eksempel at udlevere egne borgere. Derfor er det hele meget vanskeligt," siger han.

Poul Otto Schousboe peger på Europol som et eksempel på at lave international efterforskning af cyberkriminalitet. Europol har haft enkelte succeshistorier, men problemet er bare, at Europol kun arbejder inden for Europa, fremhæver han:

"Efterforskning på tværs af landegrænser kræver mange ressourcer og meget tid. Derfor er det en udbredt antagelse, at man ikke skal begå cyberkriminalitet i det land, man opholder sig i, fordi begrænset efterforskning på tværs af landegrænser gør det meget vanskeligt at stoppe – og dermed risikofrit."

Ikke en umulig kamp

Men selvom Poul Otto Schousboe efterlyser flere ressourcer generelt i kampen mod it-kriminelle, så får det ham ikke til at miste troen:

"Jeg har aldrig tænkt, at kampen mod it-kriminelle er en umulig kamp, når jeg går på arbejde. Men det er afgjort en udfordring. Havde det været en umulig kamp, så skulle jeg have været stoppet for mange år siden."

FinansWatch sætter for tiden fokus på cybersikkerhed i finanssektoren. Læs øvrige artikler i serien her:

SDC: "Vi kommer aldrig til at sætte en endelig stopper for cyberkriminalitet" 

Tilsyn: Næste cyberbølge bliver nok værre 

Datacentral: Vi er nødt til at "oppe vores game" for at følge med it-kriminelle

Cyberchef: Det vigtigste er at erkende de trusler vi står overfor  

Danske Bank-chef: "Vi må indse, at vi alle er under angreb"

EU-Kommissionen advarer finanssektoren: It-sikkerhed halter efter i digital omstilling

Banklobby ønsker stærkere cyberindsats

Lars Rohde: Behov for national plan mod cyberangreb