Du kan anmelde cyberangreb til politiet

Foto: politiet

Som virksomhed er det væsentligt at vide, hvad der sker, når du anmelder et cyberangreb til politiet. På denne side får du et indblik i politiets arbejde ved cyberangreb.

Skal jeg anmelde cyberangreb til politiet? 

Politiet anbefaler, at man som virksomhed anmelder cyberangreb. Først og fremmest fordi det er kriminelt og strafbart at angribe IT-systemer, men også fordi politiets efterforskning af cyberangreb er et vigtigt element i samfundets robusthed mod IT-kriminalitet.  

Du anmelder IT-kriminalitet til politiet via www.politi.dk eller på telefon 114

Via 114 kan du inden for tidsrummet kl. 7-20 i hverdage blive viderestillet til personale, der har særlig viden om cyberangreb. Du bør anmelde forholdet hurtigst muligt, da mange af de digitale spor, politiet skal bruge i efterforskningen, ofte bliver overskrevet eller slettet af de kriminelle.  

Som virksomhed er det væsentligt at vide, hvad der sker, når du anmelder et cyberangreb til politiet. Vi har svaret på nogle af de mest typiske spørgsmål nederst på denne side. Har du yderligere spørgsmål, er du velkommen til at skrive til politiets Nationale Cyber Crime Center (NC3) via adressen pol-nc3-erhverv@politi.dk. Bemærk, at adressen ikke kan anvendes til anmeldelser. 

Har du brug for vejledning om digital sikkerhed og hjælp til forebyggelse af cyberangreb kan du ringe eller skrive til Cyberhotline for digital sikkerhed. Bag hotlinen står Digitaliseringsstyrelsen og Center for cybersikkerhed. Læs mere her eller ring på 33 37 00 37. 

Er angrebet fortsat i gang? 

Såfremt du mistænker, at cyberangrebet fortsat er i gang – altså at gerningspersonerne aktivt er til stede i dit IT-netværk – bør du afbryde forbindelsen til internettet og lade computeren stå tændt, da det bedst sikrer eventuelle spor efter gerningspersonen. Du bør også afbryde forbindelsen til virksomhedens eget netværk, så malware ikke spreder sig. 

En hurtig reaktion er yderst vigtig og kan ofte afværge et angreb eller minimere konsekvenserne, og du skal sørge for at søge hjælp i din IT-afdeling eller hos et IT-sikkerhedsfirma.

Du bør foretage anmeldelsen til politiet hurtigst muligt. Ved anmeldelsen bedes du tydeliggøre, at du mistænker, at gerningspersonerne er aktivt til stede i netværket. Politiet har i sådanne tilfælde bedre muligheder for at sikre spor efter gerningspersonerne og skal disponere hurtigere end ved anmeldelser af afsluttede angreb.

Politiets opgaver i forbindelse med et cyberangreb

Hvis din virksomhed bliver udsat for et cyberangreb, er politiets opgave at sikre beviser til brug for efterforskningen. Politiet skal i samarbejde med anklagemyndigheden forsøge at strafforfølge de ansvarlige personer bag angrebet.

Det skal understreges, at det ikke er politiets opgave at hjælpe med at genetablere IT-systemer og få styr på skaderne i IT-infrastrukturen, her er det vigtigt, at du søger hjælp hos din IT-afdeling eller et IT-sikkerhedsfirma.

Samarbejde med politiet ved cyberangreb 

Ved et cyberangreb mod din virksomhed har politiet ofte brug for løbende dialog med en repræsentant fra virksomhedsledelsen og/eller en person som har indsigt i og mandat til at træffe beslutninger vedrørende IT i virksomheden. Politiet vil ligeledes tildele dig et kontaktpunkt, som du kan bruge, hvis du har spørgsmål til efterforskningen. 

I sager om IT-kriminalitet forsøger politiet at udfinde alle former for digitale spor, som kan hjælpe til at identificere en gerningsperson eller en gruppe af gerningspersoner. Det er derfor vigtigt for efterforskningen, at du overleverer relevante data fra dine IT-systemer til politiet. Ved de fleste cyberangreb indsamler virksomheden selv disse data – sammen med et eventuelt IT-sikkerhedsfirma – men i visse tilfælde kan politiet foretage sikringen af digitale spor, da det kræver særlige kompetencer.  

Politiet sikrer typisk en kopi af data, så der ikke er behov for at tage hardwaren med, og politiet er meget opmærksom på ikke at forstyrre genetablering af din virksomheds infrastruktur.

Ofte stillede spørgsmål

Her har vi samlet en række spørgsmål, som virksomheder udsat for cyberangreb ofte stiller til politiets arbejde. Du er altid velkommen til at kontakte politiet, hvis du har andre spørgsmål eller brug for uddybning af nedenstående svar. Du kan med fordel sende dine spørgsmål til pol-nc3-erhverv@politi.dk.

Ja. Selvom IT-kriminalitet er svært at efterforske, så kan det i nogle tilfælde lykkes at identificere og strafforfølge gerningspersoner bag IT-kriminalitet. I sådanne tilfælde vil du kunne fremføre et erstatningskrav over for gerningspersonen.  

Ud over den konkrete sag bidrager en anmeldelse og data herfra endvidere til at sikre et korrekt og opdateret situationsbillede af IT-kriminaliteten i Danmark. Politiet bliver således bedre til at efterforske den konkrete type kriminalitet, og analyse af spor på de enkelte sager kan øge muligheden for at opklare fremtidig kriminalitet. 

Politiet samarbejder også med udenlandske myndigheder om efterforskninger. I større sager er der ofte tale om komplicerede puslespil af digitale spor, og oplysninger fra netop din anmeldelse kan udgøre manglende puslespilsbrikker i internationale efterforskninger og lede til strafforfølgning af større aktører. Hvis politiet har behov for at dele oplysninger med andre myndigheder, bliver du orienteret om dette – og det vil typisk være oplysninger vedrørende gerningspersonerne eller deres IT-infrastruktur og ikke personhenførbare eller andre sensitive oplysninger. 

Din anmeldelse kan ligeledes bidrage til myndighedernes forebyggende arbejde og den løbende orientering til danske virksomheder om trusler, sårbarheder og forebyggelsespotentialer. 

Endelig bidrager din anmeldelse til at oplyse beslutningstagere i Danmark om de stigende og samfundsundergravende udfordringer med IT-kriminalitet. 

For at kunne efterforske et cyberangreb har politiet brug for data fra de ramte systemer. Det afhænger af det enkelte angreb og dets udførelse, hvilke data politiet skal sikre, men generelt er politiet interesseret i spor efter gerningspersonens adgang til og færden i it-systemer og it-infrastruktur samt spor efter gerningspersonens exit fra systemet.

Til efterforskningen kan der både være behov for logs fra fx firewalls eller netværksudstyr samt kopier af konkret IT-udstyr (images). Politiet er særligt interesseret i at undersøge ramte systemer, computere og servere, som ikke har været slukkede, da der kan være vigtige spor i fx RAM.Politiet vil i den konkrete sag vejlede din virksomhed eller dit IT-sikkerhedsfirma om, hvilke data der med fordel kan sikres. I komplekse sager understøttes politikredsens efterforskning af Nationalt Cyber Crime Center (NC3), som har ekspertise i at finde og analysere spor fra cyberangreb, og her vil du ofte være i direkte kontakt med NC3.

Center for Cybersikkerhed har udarbejdet en vejledning til, hvilke logs der bør føres i IT-systemer. Den findes her.

Nedenfor ses eksempler på data, som typisk er relevante at sikre i forbindelse med de forskellige typer it-kriminalitet:

 I sager vedrørende hacking generelt:

  • Relevante logs og images.
  • Kopi af filer, programmer eller andet efterladt af gerningsmændene.

I sager vedrørende ransomware:

  • Ransomware-noten
  • Tre krypterede filer
  • Kopi af filer, programmer eller andet efterladt af gerningsmændene
  • Relevante logs og images
  • Kryptovalutaadresser
  • Kommunikation med gerningspersonen

I sager vedrørende BEC (business email compromise)/CEO-fraud:

  • Relevante logs
  • Originale mails, ikke videresendt, men vedhæftet
  • Kryptovalutaadresser

I sager vedrørende DDOS:

  • Netværkstrafiklogs
  • Tilladelse til at politiet indhenter data fra virksomhedens internetudbyder 

Nej, politiet vil ikke på eget initiativ orientere pressen eller andre udenforstående om, at du eller din virksomhed er udsat for et cyberangreb. Hvis der af efterforskningsmæssige årsager ses et behov for at offentliggøre information, vil politiet altid koordinere det med den ramte virksomhed. 

Såfremt pressen retter henvendelse til politiet og konkret spørger, om politiet efterforsker et cyberangreb mod din virksomhed, vil politiets kommunikationsafdelinger generelt hverken be- eller afkræfte, om der er modtaget en anmeldelse eller igangsat en efterforskning. Hvis det allerede er offentligt kendt, at der er foretaget en anmeldelse, vil politiet dog oftest bekræfte dette. 

Politikredsene udleverer dagligt døgnrapporter til pressen, som indeholder oplysninger om kriminalitet anmeldt til eller håndteret af politiet det seneste døgn. Som udgangspunkt skal døgnrapporter anonymiseres, således at forurettedes identitet ikke fremgår. 

Har du anmeldt et cyberangreb til politiet, bør du orientere politiet om, hvordan virksomhedens kommunikationsstrategi om angrebet er. På den baggrund kan efterforskningsskridt tilpasses, og der kan ske en forventningsafstemning af politiets pressehåndtering i den konkrete sag. 

Ja, i nogle tilfælde kan dansk politi på baggrund af efterretninger fra internationale efterforskninger og fra samarbejdsparter som Europol advare om forestående cyberangreb mod danske virksomheder. Eksempelvis kan en international efterforskning give adgang til kommunikation mellem cyberkriminelle og indsigt i deres planlagte angreb. Hvis dansk politi har fået konkret viden om et planlagt angreb mod din virksomhed, vil du/I blive kontaktet hurtigst muligt.

Anmodninger om aktindsigt i straffesager fra journalister afvises, hvis sagen fortsat er verserende – det vil sige, hvis sagen ikke er afsluttet som følge af en endelig dom, eller hvis sagen ikke er afsluttet af anklagemyndigheden, uden at der er rejst tiltale mod en eller flere personer. 

Der skal som udgangspunkt gives aktindsigt til journalister i afsluttede straffesager. Der er imidlertid en række undtagelser hertil, herunder muligheden for at anonymisere forurettedes identitet, adresseoplysninger og andre identifikationsoplysninger, hvis sagens akter indeholder fx erhvervshemmeligheder. Der foretages en konkret vurdering af den enkelte anmodning og sag, hvorfor anonymisering ikke kan garanteres. 

Din sag kan ende for retten, hvis der er tilstrækkeligt grundlag til at bevise en kriminel handling, og hvis der kan identificeres en eller flere gerningspersoner, som kan strafforfølges.  

I den forbindelse kan din virksomhed blive indkaldt som vidne, hvor du vil blive bedt om at svare på spørgsmål vedrørende sagen.  

Her vil det være en fordel, hvis du kan beskrive: 

  • hvordan du har indsamlet de data, du har overleveret til politiet. Det kan fx være, hvilke data du har indsamlet, hvordan du har foretaget indsamlingen, og hvordan data er blevet opbevaret før udlevering til politiet. 
  • hvilken effekt angrebet har haft på din virksomhed – herunder eventuelt økonomisk tab. 

Du kan læse mere om at være vidne i en retssag på domstolenes hjemmeside. 

Der er flere myndigheder og aktører, som er relevante for dig at kende i forbindelse med cybersikkerhed.  

Cyberhotline for digital sikkerhed – en fælles indgang   

Har du brug for vejledning om digital sikkerhed kan du ringe eller skrive til Cyberhotline for digital sikkerhed. Cyberhotlinen er til borgere og virksomheder, som ønsker vejledning I, hvordan de styrker cybersikkerheden samt håndterer og forebygger angreb og digital svindel. Bag hotlinen står Digitaliseringsstyrelsen og Center for Cybersikkerhed. Læs mere om hotlinen her eller ring på 33 37 00 37. 

Center for Cybersikkerhed (CFCS) 

Organisatorisk tilknyttet Forsvarets Efterretningstjeneste og arbejder for at forebygge og imødegå cyberangreb mod danske myndigheder og virksomheder. CFCS samler og analyserer viden om trusselsaktører og udarbejder trusselsvurderinger, som benyttes af myndigheder og virksomheder i arbejdet med risikovurdering. CFCS har et døgnbemandet situationscenter, som blandt andet varsler om akutte trusler og sårbarheder i IT-systemer. Centeret rådgiver desuden om cyberforsvar generelt og om konkrete, tekniske sikringstiltag. Gå til CFCS hjemmeside her.

Datatilsynet – brud på persondatasikkerhed 

Virksomheder og myndigheder skal i visse tilfælde anmelde cyberangreb til Datatilsynet, hvis oplysninger om f.eks. borgere er berørt af angrebet, og der dermed er tale om et brud på persondatasikkerheden. Anmeldelserne gør bl.a. Datatilsynet i stand til at vurdere, om bruddet håndteres korrekt hos virksomheden eller myndigheden, herunder tage stilling til, om virksomheden eller myndigheden foretager sig tilstrækkeligt for at beskytte de berørte borgere mod bruddets eventuelle konsekvenser. Datatilsynet kan reagere med f.eks. vejledning eller påbud, hvis tilsynet vurderer, at virksomheden eller myndigheden ikke håndterer bruddet korrekt. Der findes yderligere information om håndtering af brud på persondatasikkerheden på Datatilsynets hjemmeside. 

Politiets opgaver i forbindelse med cyberangreb og cybertruslen er efterforskning af strafbare forhold. Når et angreb er indtruffet, eller en kriminel gruppe har etableret sig, er det politiets opgave at afklare, om der kan findes gerningspersoner, som kan strafforfølges. 

Det er afgørende for både CFCS’ og politiets arbejde at have adgang til den nyeste viden på cyberområdet. Derfor indgår CFCS og politiet i et tæt samarbejde, ligesom begge myndigheder løbende udveksler erfaring og viden med flere myndigheder og aktører i ind- og udland. CFCS (Center for Cybersikkerhed) samler og analyserer viden om trusselsaktører og udarbejder trusselsvurderinger, som benyttes af myndigheder og virksomheder i arbejdet med risikovurdering

Private IT-sikkerhedsfirmaer og konsulentfirmaer bliver hyret af virksomheder til at sikre den enkelte virksomheds IT-systemer. De står for blandt andet vejledning, den tekniske konfiguration, support og fejlhåndtering og hjælper med at genetablere kompromitterede eller dysfunktionelle systemer – også når nedbruddet skyldes cyberangreb. 

De forskellige aktører indgår naturligvis i et dynamisk fortløbende samarbejde. Blandt andet fordi de private sikkerhedsfirmaer orienterer sig mod CFCS’ vejledninger og varsler, mens politiet kan samarbejde med IT-sikkerhedsfirmaerne om at sikre data til brug for efterforskningerne. 

Cyberhotline for digital sikkerhed

Cyberhotlinen er til borgere og virksomheder, som ønsker vejledning om, hvordan de styrker cybersikkerheden samt håndterer og forebygger angreb og digital svindel. 

Vi kan bl.a. hjælpe med:

  • Hvad du kan gøre for at beskytte dig eller din virksomhed mod cyberangreb og digital svindel
  • Basal vejledning om, hvordan du skal  forholde dig, hvis du er udsat for et cyberangreb og digital svindel
  • Hvem det er relevant at kontakte for videre vejledning

Gå til Cyberhotline

Indholdet i denne artikel er skrevet af politiet.

Senest opdateret 17-04-2023