Helt åbent på internettet ligger flere læk af millioner af kodeord fra onlinetjenester som LinkedIn, Dropbox og for eksempel fitness apps, der er blevet hacket i perioden 2012 til 2019.
Syv af ministrenes kodeord er blandt de hackede, viser en gennemgang, som DR har lavet.
Det er hovedrystende, mener tidligere operativ chef i Forsvarets Efterretningstjeneste (FE), Peter Brahe, der nu er direktør i den europæiske del af cybersikkerhedsfirmaet NCC Group.
- Det er et kæmpe problem, og det er hovedrystende. Det er jo børnelærdom for alle borgere, som er blevet tudet ørene fulde, at vi skal passe på vores passwords, siger han.
Med Danmarks aktive rolle i Europa og vores del af striden i Arktis, er landets ministre ikke skærmet fra hackerangreb, understreger Peter Brahe.
Seks af ministrene har brugt deres folketingsmail til private sager som at logge på sociale medier og fitness apps. Det kan på sigt gøre folketingsmailen modtagelig for angreb, mener flere cybersikkerhedseksperter, som DR Nyheder har talt med.
- Det er et problem, når ministrene bruger folketingsmailen til private onlinetjenester og sociale medier. Ministrene udsætter dermed folketingsmailen for flere trusler som phishing, ransomware og malware, siger Henrik Kramshøj, der er cybersikkerhedsekspert og ejer af firmaet Zencurity.
Det er den helt basale cyberhygiejne, som flere af landets ministre ikke har haft styr på, mener Peter Brahe, der kritiserer, at flere af ministrene har genbrugt de samme kodeord i op til syv år.
- Når vi er der, hvor vi genbruger kodeord, og vi gør det over længere tid, udsætter vi jo landet for en fare. Det kan vi jo ikke leve med.
Ministrene får også i flere tilfælde kritik for, at deres kodeord er for korte og simple.
- Kodeord, som indeholder navne, fødselsdage eller hundens navn, er alt for nemme at gætte. Jeg ser det som et stort problem, når man som politiker bruger dårlige passwords, og jeg håber da på, at en stor del af det er historiske synder, siger Jacob Herbst, der sidder i Cybersikkerhedsrådet og er Chief Technical Officer i it-sikkerhedsvirksomheden Dubex.
En lærestreg
Cybersikkerhedsordfører for Socialdemokratiet, Annette Lind, tager kritiken som en lærestreg, ikke bare for politikere, men for hele samfundet.
- Det her er måske en lærestreg til de ministre, som DR har fundet, men det er også en lærestreg til os alle sammen, siger Annette Lind.
Ordføreren forklarer, at ministrene og politikere skal blive bedre på flere områder, når det gælder cybersikkerhed.
- Vi skal sikre vores kodeord langt bedre, og vi skal gøre det vanskeligere at gætte de her kodeord. Vi skal have stærkere kodeord, vi skal skifte dem oftere, og så skal vi undgå at bruge arbejdsmailen til private formål, siger Annette Lind.
Det er dog blevet bedre, mener cybersikkerhedsordføreren. Folketinget har i de seneste år taget initiativ til sikkerhedskursus og bedre kodeord.
- Der er sket en række opjusteringer på den digitale sikkerhed i Folketinget. Jeg tror, at langt, langt de fleste folketingspolitikere og ministre, de kender til de her sikkerhedskurser, og de kender til, hvordan man skal skifte kodeord. Det håber jeg i hvert fald rigtig meget, siger Annette Lind.
Minister: Jeg er ikke bekymret
Transportminister Benny Engelbrecht (S) er en af de ministre, hvis kodeord er blevet lækket, men ministeren mener, at han har styr på cybersikkerheden. Han har nemlig aldrig opbevaret fortrolige oplysninger på for eksempel Dropbox. Og da han for et par år siden blev gjort opmærksom på lækket af LinkedIn, ændrede han hurtigt kodeord.
Transportministerens kodeord, som nu er ændret, var navnet på hans gamle hund - yolanthe.
- Det er et password, jeg bruger nogle enkelte gange til nogle tjenester, hvor jeg ved, at de bliver sgu nok hacket alligevel. Jeg kan kun komme med den klare opfordring, at hvis folk derude bruger Dropbox, så lad vær med at dele fortrolig information i det. Jeg har selv brugt Dropbox til at dele store kampagnevideoer, som skal klippes ned, forklarer Benny Engelbrecht.
Ministeren fortæller, at han ikke er bekymret for, at nogen skulle logge ind på hans Dropbox. Det ville han være, hvis nogen kunne udgive sig for at være ham på LinkedIn.
- LinkedIn må jeg indrømme. Det var en af de der tjenester, som jeg etablerede mig på, på et tidspunkt og så ikke brugte igennem lang tid.
Og det nye kodeord, som Benny Engelbrecht bruger på LinkedIn, er meget bedre end det gamle, forklarer han:
- Når jeg bruger et kodeord til noget, der er kritisk, vil jeg ikke fortælle dig, hvor mange og hvor lange de bliver, men de er meget lange. Jeg bruger specialtegn, jeg bruger tal i en bestemt kombination, og jeg bruger aldrig det samme password til to kritiske tjenester.
Benny Engelbrecht vil ikke stoppe med at bruge sin folketingsmail til at logge ind på forskellige onlinetjenester, da de ifølge ham, kun er blevet brugt i politiske sammenhænge.
- Jeg har brugt min folketingsmail til de ting, som jeg har brugt i et politisk øjemed. For eksempel når jeg laver videoer og skal sende dem og udveksle dem med andre. Intet af det er fortroligt.
Den forklaring kan flere af de andre ministre, ikke slippe af sted med, mener eksperterne, der har svært ved at se, hvordan man for eksempel kan bruge en fitness app i politisk øjemed.
Folketingsmailen er brugt til fitness-app
Seks af ministrene har brugt deres folketingsmail til at logge på onlinetjenester på nettet. Cybereksperterne opfordrer i stedet ministrene til at bruge private mails, når de logger ind på forskellige hjemmesider og apps. Specielt når det er åbenlyst privat.
- Man bør som politiker nok holde sig til at bruge sin folketingsadresse på de steder, hvor det har en officiel betydning, og hvor det har en relation til det folketingsarbejde og det politiske arbejde, man laver, siger Jacob Herbst, der er medlem af Cybersikkerhedsrådet og CTO i Dubex.
For eksempel har børne- og undervisningsminister Pernille Rosenkrantz-Theil (S) brugt sin folketingsmail til at logge ind på MyFitnessPal og MyHeritage, der henholdsvis er en fitness app og en hjemmeside, hvor man kan lave sit eget familiestamtræ.
- Umiddelbart vil jeg nok tænke, at sider som MyHeritage ligger ud over det, som man kan betegne som politisk brug. Der vil jeg mene, at der burde man have holdt sig til at bruge en anden email-adresse, siger Jacob Herbst.
Børne- og undervisningsminister, Pernille Rosenkrantz Theil (S), afviser at stille op til et interview med DR, men ministeriet skriver i en mail til DR: ”at ministeren har fulgt Folketingets sikkerhedsprocedurer ved at skifte password løbende. Password til folketingsmailen er ikke anvendt andre steder.”
Ifølge de eksperter, DR har talt med, er der stadig mange borgere, der ikke har helt styr på cybersikkerheden. Det kan være dårlige kodeord, for få kodeord eller måske noget helt tredje. Men Peter Brahe mener, at der bør stilles større krav til ministrene.
- Det er indlysende, at ministrene er udsat for en større risiko, end du og jeg vil være. Derfor må vi også stille større krav til dem. De har jo hele statens ressourcer. Forsvarets Efterretningstjeneste og Center for Cybersikkerhed til at hjælpe sig, siger Peter Brahe, direktør i NCC Group.
Danmark er ikke skærmet fra forsøg på statslige hackerangreb
For tidligere operativ chef i FE, Peter Brahe, står det klart, at Danmark risikerer at blive udsat for hackerangreb, for eksempel fra andre stater. Og derfor er det altså alvorligt, at flere af ministrene, ifølge ham, ikke har haft bedre styr på deres egen cybersikkerhed.
- Danmark er en af verdens mest digitaliserede lande. Og med vores aktive rolle i Europa og med vores indlysende del af striden i Arktis, er det nærmest usandsynligt, at vi ikke tiltrækker os opmærksomhed fra statslige hackere, siger Peter Brahe.
De hackere, der kunne interessere sig for de danske ministre, er de samme hackere som, der hackede den tidligere amerikanske præsidentkandidat Hillary Clinton i 2016 og den franske præsident Emmanuel Macron i 2017, mener Peter Brahe.
Hackerangrebet på Hillary Clintons kampagne blev ifølge FBI udført af russiske hackere og var et stort tema i valgkampen mellem Hillary Clinton og Donald Trump i 2016.
Hackerangrebet på Emmanuel Macrons kampagne blev offentliggjort to dage før det franske præsidentvalg. Her er statsfinansierede russiske hackere, også blevet beskyldt for at stå bag.
Det skræmmende ved de her angreb er, at de er lavet til at påvirke den demokratiske proces, mener Peter Brahe. Blandt de 20.000 mails, der blev hacket fra Macrons kampagne, var der en række fabrikerede mails.
- Med hackerangrebet på Macrons kampagne var det ikke længere kun et spørgsmål om at stjæle oplysninger. Det var mere et spørgsmål om at plante misinformation, påvirke valg, påvirke demokratiet, som vi kender det, forklarer Peter Brahe.
Ministrenes svar
Social- og indenrigsminister, Astrid Krag (S), afviser at stille op til et interview med DR, men skriver i en mail til DR, at hun ikke bruger sin Dropbox til folketings- eller ministerarbejde og at hendes kodeord er blevet bedre efter lækagerne.
- Det er vigtigt at være opmærksom på datasikkerhed, og det vil jeg selvfølgelig også prioritere fremover, skriver Astrid Krag.
Udenrigsminister, Jeppe Kofod, afviser at stille op til et interview med DR, men Udenrigsministeriet skriver i en mail til DR, at “da det drejer sig om konti, som er knyttet til ministerens folketings-e-mail, er der ikke sket brud på ministeriets it-systemer.”
Skatteminister Morten Bødskov (S), afviser at stille op til et interview med DR og har ingen kommentar.
Miljøministeren, Lea Wermelin (S) afviser at stille op til et interview med DR og har ingen kommentar.
Minister for fødevarer, fiskeri og ligestilling og minister for nordisk samarbejde, Mogens Jensen (S), afviser at stille op til et interview med DR og har ingen kommentarer.