Når både statlige systemer og private giganter rammes av alvorlige sikkerhetsbrudd, settes hele modellen for digital styring under press. Sør-Korea står overfor en test av sin teknologiske troverdighet.
Det siste året har Sør-Korea blitt rystet av en rekke alvorlige angrep på digital infrastruktur. I år har de stått overfor cyberangrep nesten hver måned – en ydmykende utvikling som ødelegger dets rykte som en digital stormakt. Det sørkoreanske militæret opplyste for eksempel at det hadde avverget over 9 200 hackingforsøk i løpet av årets første seks måneder, hvorav de fleste antas å komme fra Nord-Korea. Sør-Korea er et av verdens mest oppkoblede land med tilnærmet universell bredbåndstilgang og svært avhengig av nettbaserte tjenester for bank, handel og offentlige tjenester. Det gir potensielle angripere en rekke mulige innslagsspunkter og gjør hvert datainnbrudd desto alvorligere. Den siste rekken med tilfeller har tydeliggjort den eksisterende sårbarheten – og behovet for en sterkere digital infrastruktur.
Datainnbruddet hos SK Telecom (SKT): Hva skjedde?
Tidligere i år ble Sør-Koreas største mobiloperatør rammet av et massivt cyberangrep, som først ble avdekket i april 2025. Det var en inntrenging som startet allerede i 2022, men ble holdt skjult i rundt tre år. Angrepet førte til lekkasje av persondata for rundt 23 millioner kunder – nesten halvparten av Sør-Koreas 52 millioner innbyggere. Det reiser noen store spørsmål: Hvorfor var millioner av brukere målet? Hvordan kan det ha seg at det så langt ikke er rapportert om svindel eller uautorisert bruk? Enkelte eksperter mener andre motiver kan ha vært involvert, blant annet teorien om at det var en form for langsiktig, målrettet cyberangrep.
Sørkoreanske medier har flere ganger antydet at angrepet kan ha blitt utført av en hackergruppe med tilknytning til Kina. For eksempel, mange sørkoreanske selskaper bruker ofte Ivanti Connect Secure VPN-utstyr, som er en løsning for sikker ekstern tilgang til bedriftsnettverk. Den taiwanske gruppen TeamT5, som består av cybersikkerhetseksperter, har oppdaget at den Kina-tilknyttede APT-gruppen ofte har utnyttet en sårbarhet i Ivanti-apparater for å infiltrere enheter globalt. Blant programvarene som ble funnet på SKTs servere var BPFdoor, et bakdørverktøy som ofte har blitt benyttet av Salt Typhoon, en annen Kina-tilknyttet gruppe. Salt Typhoon har stått bak lignende cyberangrep på selskaper som AT&T, Verizon og T-Mobile. Sørkoreanske myndigheter og etterforskere har vært forsiktige i sine offisielle uttalelser og har ikke lagt ansvaret på en bestemt stat, organisasjon eller enkeltperson. De har derimot vektlagt SKTs interne feil: Forsinket rapportering, svake sikkerhetskontroller og mangelfull håndtering av sensitive data.
Les også: Sør-Korea: En soldats død og en rettsstat i krise
Hackerne innfiltrerte SKTs interne nettverk og fikk tilgang til informasjon som navn, epostadresser, telefonnumre, IMSI-identifikatorer og USIM-autentiseringsnøkler. Ifølge den sørkoreanske Personvernkommisjonen (PIPC) hadde SKT unnlatt å begrense ekstern tilgang til interne servere – og unnlatt å kryptere majoriteten av SIM- autentiseringsnøklene. PIPC ila selskapet en rekordstor bot på 97 millioner dollar (ca. 1,3 millarder kroner), med henvisning til manglende sikkerhetstiltak – inkludert manglende passord, utdaterte operativsystemer og forsinket offentlig varsling. PIPC-boten er den største som noen gang er ilagt som følge av Sør-Koreas personvernlov. SKT opplyste at selskapet vil styrke informasjonssikkerheten og investere rundt 700 milliarder won (ca. 4.8 milliarder kroner) over fem år for å forsterke databeskyttelsen.
Brannene som satte spørsmål ved Sør-Koreas digitale sikkerhet
Sør-Koreas kriser i datasentrene viser konsekvensene av å prioritere effektivitet over sikkerhet – ogutsette investeringer i backup. Mot slutten av september oppsto det en brann i National Information Resources Services (NIRS) hovedkvarter. Arbeiderne var i ferd med å flytte litium-ion-batterier fra et serverrom til kjelleren da et batteri tok fyr. Flammene spredte seg til andre batterier og nærliggende servere – brannen varte i opptil 22 timer.
Hovedplattformen «Government Drive» (G-Drive) ble ødelagt i brannen, og arbeidsdokumenter til nærmere 191 000 offentlige ansatte ble utslettet – og rundt 858 terabyte med statlig data ble ødelagt. Myndighetene stengte 647 statlige IT-systemer for å forhindre overoppheting – inkludert eposttjenester, post, ID-tjenester, skatte- og utdanningsportaler med mer. Det påvirket hverdagen i stor grad:Offentlige tjenester stoppet opp, mobile identifikasjontjenester fungerte ikke, sentrale nettsider forsvant fra nettet. Noen sykehus måtte til og med avvise pasienter uten fysisk ID.
President Lee kom med en offentlig unnskyldning, beskrev hendelsen som «forutsigbar» og kritiserte mangelen på beredskapsplan. Etterforskningen konkluderte med grov uaktsomhet hos enkeltpersoner på stedet, men den bredere mangelen på beredskap ble tydelig gjennom selve hendelsen. Fem personer ble siktet for profesjonell uaktsomhet etter at det ble avdekket at ukvalifiserte arbeidere var ulovlig ansatt og at flere sikkerhetsrutiner ikke ble fulgt.
At de offentlige systemene sto stille over natten som følge av NIRS-brannen har blitt sammenlignet med Kakao-brannen for tre år siden. I 2022 ble Sør-Korea rammet av en omfattende brann i Kakaos datasenter, selskapet bak landets populære meldingsapp KakaoTalk og påfølgende tjenester som KakaoPay, KakaoTaxi, KakaoMap etc. Millioner av brukere mistet tilgangen til meldinger, digitale betalinger, transporttjenester med mer. Det er anslått at fra 80 til 90 prosent av befolkningen bruker KakaoTalk regelmessig – og at brannen í stor grad påvirket hverdagen til folk flest.
Kritikere hevdet at det var en forutsigbar hendelse. Kakao-brannen startet i datasenterets elektriske rom på grunn av litium-ion-batterier, og ligner dermed veldig på den nylige NIRS-brannen. På det tidspunktet hadde Kakao ingen reservesystemer for å håndtere branner eller andre kriser fordi flere av tjenestene var helt avhengige av hoveddatasenteret. Myndighetene kritiserte deretter Kakaos håndtering av situasjonen og oppfordret selskapet til å distribuere tjenestene på flere datasentre for å hindre avbrudd, samt å ta i bruk sikkerhetskopier i skyen for økt sikkerhet.
Men regjeringen valgte ikke å investere i sine egne administrative nettverk. Selv om den ba Kakao om å duplisere serverne, klarte den ikke å duplisere sine egne systemer. NIRS, som driver over 1 600 nettbaserte tjenester og systemer, opplevde at budsjettet falt med over 200 milliarder won fra 2022 til 2023. Kritikere hevdet at en slik katastrofe i et land som kaller seg selv en IT-stormakt kun var mulig fordi regjeringen ikke fulgte sine egne anbefalinger om forebyggende tiltak. Flere pekte spesielt på det de kalt en holdning der «reglene gjelder for dere, men ikke oss.»
Les også: Riksrettssaken i Sør-Korea: Sendte president Yoon bevisst droner til Pyongyang?
Men hvorfor skjer disse sikkerhetsbruddene stadig? Angriperne bruker ofte ulike metoder, men de underliggende problemene er de samme: Digitale systemer har ofte dårlig oversikt over eiendeler og svak konto- og tilgangsstyring. Gamle systemer brukes fortsatt fordi de fremdeles fungerer, det bidrar til et statisk og sårbart sikkerhetsmiljø. Selskaper kan ofte nøle med å ta tjenester offline for oppdateringer eller å investere i kostbare erstatninger. Regelverket er ofte utformet slik at selskaper fokuserer på å bli sertifisert i stedet for å forbedre de underliggende svakhetene, som kan føre til at de glemmer sårbarhetene når kravene er innfridd. Landet mangler også en nasjonal styringssentral for cybersikkerhet og koordinert respons, og gjør håndteringen av angrep vanskelig.
Det finnes også andre forklaringer i tillegg til manglende backup og svake sikkerhetsrutiner. Sør-Koreas høyreekstreme side har rettet skylden mot Kina, det er et økende antall anti-kinesiske protester og en oppblomstring av anti-kinesiske holdninger. Hendelsen førte til at enkelte grupper spredde konspirasjonsteorier om kinesisk innblanding, spesielt med henvisning til påstander om at NIRS-brannen var et forsøk på å slette data knyttet til påstått kinesisk valgfusk i Sør-Korea – samtidig som visumfri innreise for kinesiske borgere ble åpnet. Den sørkoreanske regjeringen har gjentatte ganger avvist disse teoriene og oppfordret til ro med advarsel om at slike påstander er selvdestruktive og skader nasjonens beredskap og tillit.
Når private aktører blir mål for cyberangrep
Sikkerhetshendelser rammer ikke bare offentlige systemer. Også private aktører som Coupang har opplevd omfattende datalekkasjer. Tidligere i høst ble Sør-Koreas ledende netthandelsplattform utsatt for det verste datainnbruddet i landets historie. Cyberangrepet startet i juni via utenlandske servere og pågikk ubemerket i nesten fem måneder. Det er beregnet at rundt 33.7 millioner brukerprofiler – inkludert telefonnumre, epostadresser, adresser og til og med kodelåser til adgangsdører – ble lekket. Derimot tyder alt på at annen sensitiv informasjon som passord og betalingsinformasjon, ikke ble lekket. Flere grupper har blitt opprettet på nettportaler som Naver med mål om å reise gruppesøksmål, noen overstiger 500 000 medlemmer. Hendelsen har også gjenopplivet krav om et mer effektivt system som kan håndtere ansvaret knyttet til selskapers svikt i sikkerhetsstyring og tilsyn, forsinket oppdagelse og mangelfull offentliggjøring.
Myndighetene opprettet umiddelbart en krisestab og startet en omfattende etterforskning av mulige brudd på personvernloven. Analytikere anslår at bøtene kan overstige 770 millioner dollar (ca. 7,8 billioner kroner), ettersom loven åpner for straff på opptil 3 prosent av årlig omsetning. Regjeringen har samtidig startet arbeidet med å etablere et offentlig system for å hindre lekkasje av kritiske data og vil fremme lovendringer for å skjerpe rutinene for informasjonssikkerhetssystemer. Det nasjonale sikkerhetsrådet har i tillegg varslet at gjentatte tilfeller av informasjonslekkasjer kan bli møtt med straffegebyr tilsvarende 10 prosent av inntektene. Samlet sett peker det mot en tydeligere satsing på å styrke digital suverenitet og forsterke landets informasjonsinfrastruktur.
Les også: Riddere, ikke bønder: Romania og Sør-Korea som «offshore balanserere»
Lekkasjen skal, ifølge myndighetene, ha kommet fra en tidligere ansatt i Coupang. Den mistenkte kinesiske utvikleren begynte i november 2022 og jobbet med selskapets nøkkelhåndtering og sikkerhet før han forlot selskapet sent i fjor. I ettertid har noen uttrykt at det kan være vanskelig å forstå hvorfor en nylig ansatt utvikler med utenlandsk statsborgerskap har fått tilgang til såpass sensitiv kundedata – spesielt i dagens sikkerhetsbevisste miljø. Coupang har blitt utsatt for kritikk for sin pågående rekruttering av kinesiske utviklere – angivelig for å redusere kostnadene – og for slappe sikkerhetsrutiner, inkludert at tilgangsnøkler ikke deaktiveres når en ansatt slutter, og at nøklene ofte har en utløpsdato på 5–10 år.
Coupangs administerende direktør, Park Dae-jun, trakk seg for å ta «ansvar» for lekkasjen, men det ble sett på som et forsøk på å skjerme grunnleggeren, Kim Bom. Kim blir fortsatt vurdert som den egentlige maktfaktoren i selskapet – men har uteblitt fra granskningskomiteens anmodninger om å møte til høringen. Han har stått overfor økende kritikk hjemme, men Coupang hevder at han ikke har noe med saken å gjøre fordi han ikke lenger har en formell stilling i selskapet. Flere høytstående Coupang-ledere i Sør-Korea er også utenlandske, inkludert den nye interim direktøren. Det forventes at de vil besvare komitéens spørsmål via tolk, noe som kan forsinke prosessen og redusere fremdriften. Det har vokst frem en bekymring for om selskapet virkelig forsøker å ta ansvar, eller om det prøve å unnvike det.
Hendelsene har avdekket systemiske svakheter i Sør-Koreas digitale sikkerhet og cyberforsvar. President Lee har krevd langt strengere straffer mot selskaper som neglisjerer cybersikkerhet. Datasenterbrannen og de to datalekkasjeskandalene har rystet offentligheten og avslørt en nådeløs realitet: Selv Sør-Koreas høyt verdsatte digitale infrastruktur kan lammes av både ulykker og infiltrasjon. Nå står myndighetene overfor et sterkt press for å styrke cybersikkerheten og det digitale forsvaret, forbedre tilsynet, og sørge for at nasjonale sikkerhetsorganer – ikke bare private aktører – kan reagere raskt på angrep.
