Securiot: Danmarks cybersikkerhed er i fare i magtspillet om Arktisk

DEBAT: Kritisk infrastruktur i Danmark kan potentielt blive taget som gidsel i det storpolitiske magtspil om Arktis, skriver cybersikkerhedsdirektør Jørgen Hartig.

Af Jørgen Hartig
Direktør, Securiot

Truslen er nærliggende. Danmark er en central brik i det storpolitiske spil om Arktis, efter at afsmeltningen af isen i det arktiske område åbner for nye sejlruter for kommerciel og militær skibsfart med vidtrækkende teknologiske konsekvenser.

Men er vi i Danmark blevet tilstrækkeligt forberedte og modstandsdygtige nok over for det pres, som udviklingen vil sætte os under, når det gælder cybertruslen? Gang på gang hører vi om virksomheder, der er under it-angreb. De får krypteret kundedata og bliver bedt om "løsepenge" for at få deres data tilbage.

Typisk har angrebene været rettet mod virksomheders administrative it-systemer, og der er da også stor bevågenhed på denne problemstilling. Men faren ligger et andet sted.

De cyberkriminelle og fjendtlige statslige aktører begynder i stigende grad at rette deres fokus mod de operationelle systemer – altså de systemer, som sikrer forsyningen af vitale funktioner i vores samfund.

Det kan være en pumpestation på et fjernvarmeanlæg, en trykforøger i en vandforsyning eller styringskomponenter på en havneterminal. I fagsproget kaldes det for "operational teknologi" eller OT. 

Kritiske funktioner er i fare
Ved at tage kontrol over sådanne styringssystemer af de mest kritiske funktioner i samfundet via for eksempel krypteringssoftware vil samfundet stå i en svær forhandlingssituation, som kan eskalere.

Det vil få store konsekvenser for vores samfund, og derfor vil Danmark være nødsaget til at reagere hurtigt – under pres. Hvad vil konsekvensen for eksempel være, hvis en industrihavn på Grønland ikke kan laste og losse i tre dage? Hvis elektriciteten forsvinder i Tórshavn i fire dage? Hvis der slukkes for varmen i Nuuk i fem dage? Eller hvis vandforsyningen lukkes ned i Sisimiut i to dage?

Der er flere grunde til, at vi skal være ekstra opmærksomme på cybertruslerne lige nu. Ud over den tilspidsede magtkamp om de arktiske områder er der flere andre faktorer, som spiller ind.

Der er fart på den digitaliserede udvikling. Det går stærkt med at udnytte disse muligheder – nogle vil sige, at det går for stærkt. Tidligere var netværk mellem forsyningsdelen og den administrative it-del adskilt. Det var en "luftlomme" (eller "airgap" på engelsk) mellem de to systemer.

Men det ses ikke så ofte mere, fordi man kan se en række fordele ved at have en forbindelse mellem it-delen og forsyningsdelen. Faren er, at når den beskyttende "luftlomme" forsvinder, åbner det også op for uvedkommende. 

Cybersikkerhed er ikke en selvfølge
De gamle OT-systemer kommer på netværket, men de er ikke designet eller programmeret med cybersikkerhed for øje.

De kan oftest kun køre på gamle Windows-systemer, som ikke har være opdateret i lang tid. Man overser, at døren dermed lukkes op for den digitale transformation.

Cybersikkerhed ligger ikke i "dna'et" i en OT-organisation, så det kræver en stor forandring i virksomhedernes evne og forståelse af, hvad "arbejdet med cybersikkerhed" indebærer på OT-siden. Bare at tage stilling til, hvem har det operationelle eller overordnede ansvar for OT-sikkerheden i forsyningerne kan være en udfordring.

Coronakrisen har åbnet for vores netværk med fjernstyring – men skal man kunne sidde i sofaen og kunne styre et fjernvarmeanlæg? Fjernadgangen til OT-netværket er i dag en vigtig funktion for mange forsyningerne, hvor man enten får support fra underleverandører eller fra egne medarbejdere, som udfører opgaverne på infrastrukturen.

Denne adgang er en risikofaktor, som man bør have langt større fokus på, end det er tilfældet i dag. Fjernopkoblingen foretages oftest fra ukendte netværk og pc'ere, hvor forsyningen ikke har mulighed for at påvirke sikkerheden.

Man har set flere eksempler på, at hjemmenetværk hos centrale medarbejdere og underleverandører med en supporterede rolle har været forsøgt kompromitteret, og derved ville være den indirekte adgang til forsyningens systemer.

Ja, det koster penge at øge sikkerhedsniveauet i kritisk infrastruktur, men det gør det succesfulde hackerangreb også.

Kritisk infrastruktur er cybermål
Man skal ikke undervurdere den massive styrke, som vi er oppe imod. Både de cyberkrimielle og de fjendtlige stater har masser af ressourcer, og de har viden til at "komme ind".

Desuden er deres opfindsomhed og tålmodighed stor, så forsyningsorganisationerne er nødt til at holde et vågent øje med aktiviteter og forandringer i den infrastruktur og i de systemer, som de har ansvaret for. 

De amerikanske myndigheder og styrelser (Cisa og NSA) har her i juni udsendt en skrivelse, som understreger, at kritisk infrastruktur er et yndet mål for angreb, og at man bør tage sine forholdsregler. Dokumentet indeholder en række gode råd om, hvor man bør sætte ind.

Både i Danmark og i EU har man igangsat flere gode initiativer til at hjælpe med at øge sikkerhedsniveauet inden for samfundets kritiske funktioner. Det er et håb, at de initiativer bliver taget op i de mange – både små og store – organisationer, som er del af vores kritiske infrastruktur.

Det kræver både penge, villighed og omstillingsparathed, og det er spørgsmålet, om de overordnede nationale ambitioner munder ud i detaljerede og håndgribelige aktiviteter i alle dele af vores kritiske infrastruktur.

Det er nødvendigt, at det kommer til at ske, hvis vi skal have et tilstrækkeligt højt sikkerhedsniveau imod den stigende cybertrussel mod OT – og dermed mod vores samfund.

Forrige artikel Grønlands forsyningsselskab: Hvis smitten accelererer, er det ikke på grund af vandmangel Grønlands forsyningsselskab: Hvis smitten accelererer, er det ikke på grund af vandmangel Næste artikel Forsker: Grønlands forsyningsselskab lukker øjnene for vandmangel Forsker: Grønlands forsyningsselskab lukker øjnene for vandmangel
Det sprængfarlige fjeld

Det sprængfarlige fjeld

KONFLIKT: Storpolitisk armlægning, grønlandske ønsker om selvstændighed og mulig dansk tilsidesættelse af Grønlands selvbestemmelsesret. Det er en del af fortællingen om et fjeld i Sydgrønland, som rummer uran og verdens største uudnyttede beholdning af sjældne jordarter.