IT-Branchen: Cyberkrigen truer den kritiske infrastruktur

Af Christian Wernberg-Tougaard
Direktør for offentlig sektor cybersikkerhed hos Deloitte og formand for IT-Branchens it-sikkerhedsudvalg

Hackere og virus, der lammer alt fra ukrainske elselskaber, engelske hospitaler til drikkevandsforsyninger og internationale teleselskaber, er blevet hyppigt beskrevet det seneste år i medierne.

Vi er under angreb, og cyberkrigen er for alvor rykket ind og truer vores kritiske digitale infrastruktur. Det er et trusselsbillede, vi skal tage seriøst, da sådanne angreb om noget kan bringe et moderne digitalt land som Danmark i knæ.

Fælles front mod cybertruslen
Med Net- og Informationsikkerhedsdirektivet (NIS) har EU da også for alvor taget teten og er gået forrest for at sikre, at cybersikkerheden hos operatører indenfor drikkevandsforsyning, energi (el, olie og gas), transport, bankvæsen, sundhed samt finansiel og digital infrastruktur er god nok.

Som en del af NIS skal regeringer i EU også udvikle nationale strategier for cyber- og informationssikkerhed. Man har derfor gennemført en lovgivning i Folketinget, som vil styrke cyberindsatsen inden for de samfundskritiske sektorer.

Initiativerne er i sin essens gode for Danmark, da der dermed kommer nogle rammekrav for sikkerheden i vores kritiske infrastruktur, og i IT-branchen støtter vi helhjertet op om både strategi som NIS.

Det er lidt ironisk, at man stort set sekundet efter lanceringen af en ”fælles” national cyberstrategi, så deler den op i politiske siloer.  

Christian Wernberg-Tougaard
Direktør for offentlig sektor cybersikkerhed hos Deloitte og formand for IT-Branchens it-sikkerhedsudvalg

Vi er enige i, at der skal stilles krav for at sikre, at de relevante kritiske infrastrukturvirksomheder træffer passende tekniske og organisatoriske foranstaltninger for at imødegå cybertruslen.

Så langt så godt.

Hullerne i de gode intentioner
Desværre er der huller i de ellers gode hensigter og initiativer fra både EU og regeringen.

EU har først og fremmest valgt at indføre rammerne som et direktiv i stedet for en forordning, hvilket betyder, at det er op til de enkelte lande selv at bestemme, hvordan de vil fortolke det.

Al erfaring viser, at det betyder forskellige krav, implementeringshastighed og prioriteringer i hvert land, hvilket gør det svært at koordinere cyberindsatser og forsvar effektivt på tværs af lande.

I regeringens cyberstrategi lægges der også op til, at hver sektor i Danmark skal levere deres egen strategi – og at det er forskellige ministerier, der får ansvaret for hver sin sektor.

Det er lidt ironisk, at man stort set sekundet efter lanceringen af en ”fælles” national cyberstrategi, deler den op i politiske siloer. For også her viser historien, at det kan blive umådeligt svært at koordinere indsatsen på tværs.

Vi afventer med spænding resultaterne af de første tværgående møder ultimo juni mellem de statslige sektoransvarlige tilsynsmyndigheder.

Indsatsen skal også fungere i virkeligheden
Havde hackerne nøjedes med at tænke i de selv samme siloer eller begrænse deres angreb til ét land ad gangen, så havde indsatserne måske være fine nok. Desværre forholder virkeligheden sig ikke sådan.

Sidste sommer så vi blandt andet, hvordan et cyberangreb oprindeligt rettet mod Ukraine endte med at gå ud over store dele af den danske maritime sektor. For når hackerne går i gang, så har de intet imod at ramme flere lande eller at infiltrere den kritiske infrastruktur på tværs af sektorer. Tværtimod.

Kan de bruge samme værktøjer til at ramme mange forskellige typer virksomheder, så gør de bestemt det. Derfor er der i den grad brug for, at vi hele tiden informerer og koordinerer med hinanden. At vi bruger vores ressourcer klogt og i fællesskab, så vi ikke en dag vågner op til manglende elektricitet, hackede hospitaler, forurenet drikkevand og lukkede telenetværk.  

Vi håber det bedste, og i IT-branchen er vi klar til at tage arbejdstøjet på og hjælpe med at skabe et mere digitalt og sikkert Danmark.