Det Kongelige Bibliotek opdagede indtrængen i deres it-system fra en russisk IP-adresse i sensommeren sidste år.

Men da biblioteket derefter orienterede Center for Cybersikkerhed (CFCS) om sagen, vendte CFCS aldrig tilbage på henvendelsen og gik ikke ind i sagen. Det skriver Information.

CFCS havde ellers selv i sin trusselsvurdering fra februar samme år konstateret, at »Rusland er en førende aktør på cyberområdet«, og forsvarsminister Claus Hjort Frederiksen (V) havde i april havde advaret mod russiske hackere i forbindelse med afsløringen af et russisk angreb mod det danske forsvar.

Senioranalytiker Jens Monrad fra den globale it-sikkerhedskoncern FireEye er forundret over CFCS’s passivitet. Den var ikke gået i FireEye, siger han.

»Jeg ville ikke være tilfreds ud fra et efterforskningsmæssigt synspunkt med, at man ikke henter logfiler. Det er klart, at ethvert angreb, hvor nogen bryder ind, bør undersøges. Hvad var formålet, hvad er blevet taget, og hvem kan stå bag? Hvem der står bag kan give et indtryk af, hvad formålet med angrebet er,« siger Jens Monrad til Information, men understreger, at han ikke kender CFCS’ ræsonnement i sagen.

Vicedirektør på Det Kongelige Bibliotek med ansvar for it-udvikling og infrastruktur Bjarne Andersen oplyser, at dataene på systemet var offentlige og ikke klassificeret. Hans vurdering er, at angrebet kunne være første skridt i et videre angreb:

»Vores bud er, at det ikke var dataene på serveren, de var på jagt efter, men at kunne anvende serveren til at gøre andre ting, så det fokuserede vi på.«

Indtrængningen fra den russiske IP-adresse skete i databasen Diskurs, der indeholder specialer skrevet af studerende fra Københavns Universitet. Den blev oprettet i 2011, og driften af den varetages af Det Kongelige Bibliotek.

I årene efter 2011 havde medarbejdere på biblioteket bemærket, at serveren kørte forældet software, men der var ikke længere nogen, der havde kendskab til, hvordan den skulle opdateres. De overvejede at flytte serveren til et sted på netværket, hvor den ikke kunne gøre skade, men det skete aldrig.

I stedet kom der så en fejlmelding 31. juli sidste år. It-driftsafdelingen kiggede i første omgang på serveren. De troede bare, at de skulle finde en banal fejl. Formentligt var det en disk, der var fyldt. De var i hvert fald blevet gjort opmærksom på, at man ikke længere kunne uploade nye universitetsspecialer til databasen.

Men de måtte bede om hjælp fra udviklerne i huset, og den 8. august konstaterede teknikerne, at der ikke var tale om en fyldt disk.

Serveren var blevet kompromitteret.

En gennemgang af logfilerne viste, at indtrængningen var sket fra den russiske IP-adresse, og at der var pillet ved konfigurationsfilerne på serveren.

Ringede aldrig tilbage

Samme dag ringede en medarbejder fra Det Kongelige Bibliotek til Center for Cybersikkerhed, der er myndighed for blandt andet it-sikkerhed. CFCS er en del af Forsvarets Efterretningstjeneste og hører i sidste ende under forsvarsminister Claus Hjort Frederiksens resortområde.

Det var mindre end fire måneder før angrebet på Det Kongelige Bibliotek, at Claus Hjort Frederiksen havde udtalt sig til Berlingske om det russiske hackerangreb på det danske forsvar.

»Det er meget kontrolleret, det der foregår. Det er ikke små hackergrupper, der gør det for sportens skyld. Det er knyttet til efterretningstjenesterne eller centrale elementer i det russiske styre, og det er en evig kamp for at holde dem væk,« sagde ministeren og kaldte hackingen af Forsvaret for en »meget kritisk situation«.

Alligevel ringede der tilsyneladende ingen alarmklokker, da Det Kongelige Bibliotek, som i øvrigt har hjemme ved siden af Christiansborg, kontaktede Center for Cybersikkerhed og fortalte om den russiske IP-adresse.

I bibliotekets interne notat, som Information har fået aktindsigt i, lyder det:

»Den 8. august 2017 kontakter KB (Det Kgl. Bibliotek, red.) Center For Cybersikkerhed (CFCS) telefonisk for at høre, om de ønsker at gå ind i sagen. Givet servicens karakter med allerede frit tilgængelige data, meddeler CFCS, at de lige vil tænke over det og vende tilbage, såfremt de ønskede at gå yderligere ind i sagen. CFCS vendte ikke tilbage på den telefoniske henvendelse.«

Kom ikke videre ind

Bjarne Andersen fra Det Kgl. Bibliotek siger om angrebet:

»Det er jo typisk, at nogen sidder og sender automatiserede forespørgsler ud til tusindvis af webservere, for at se om der er sårbarheder. Det fandt de så her.«

It-folkene på Det Kongelige Bibliotek så nærmere på trafikken ind og ud af serveren.

»Vi undersøgte, om den russiske IP-adresse havde været forbundet til andre af vores servere, og om der havde været trafik fra serveren til andre af vores interne servere eller omvendt, men det havde der ikke. Vi har nogle ret strenge firewallopsætninger, så de kunne ikke komme videre. Vi konstaterer altså, at de er kommet ind, men ikke er kommet videre derfra,« siger Bjarne Andersen til Information.

Center for Cybersikkerhed bekræfter Det Kongelige Biblioteks udlægning af forløbet. De ønsker dog ikke at stille op til interview om sagen.