"Ja, jeg er en pessimistisk mand."
Sådan indleder den britiske sikkerhedsprofessor Chris Johnson fra Glasgows Universitet sit foredrag om risikoen for cyber-angreb rettet mod Danmarks og andre landes kritiske infrastruktur.
"Jeg er måske lidt anderledes end de fleste sikkerhedsfolk, fordi jeg fokuserer på menneskeliv frem for penge. Jeg er ikke interesseret i penge," fortsætter professoren.
Stedet er Grundlovsværelset på 1. sal i Vandrehallen på Christiansborg.
Her har organisationen Forum for Samfundets Beredskab trommet små 15 deltagere sammen plus Chris Johnson, efter han i mange år har diskuteret sikkerhed med blandt andre den amerikanske rumfartsorganisation NASA og et utal af europæiske myndigheder.
Måske er deltagertallet lige lidt i underkanten, når nu truslen om cyberangreb for nyligt blev udråbt af Beredskabsstyrelsen som værende blandt de største trusler mod det danske samfund.
Intet er sikkert
Sikkerhedsprofessor Chris Johnson fokuserer i sit foredrag på konsekvenserne ved et cyberangreb på transportsektoren, hvilket hovedsageligt vil sige lufthavnssystemer og jernbanetrafikken.
Alligevel lufter han også almene betragtninger om sikkerhed på anden kritisk infrastruktur, hvor flere og flere systemer bliver sendt online, og it-folk skal håndtere både selve angrebet og de komplekse systemer, der er blevet ramt.
"Det kan være meget svært at bevise, at ens system er virusfrit, fordi nogle vira simpelthen bliver installeret under anti-virus-kørslen," lyder en af professorens første pointer.
Her henviser han blandt andet til Turing Award-vinderen fra 1972, Edsger W. Dijkstras, ord om, at tests kan vise tilstedeværelsen, ikke fraværet af bugs - hvilket på jævnt dansk betyder, at man trods test efter test ikke kan sige med sikkerhed, om et system er blevet renset totalt for fejl og malware.
"En af de største sikkerhedsfejl er jo at tro, at man har kontrolleret alt og er uden for fare," lyder det fra Chris Johnson.
"Hovedsageligt grundet økonomien er flere begyndt at bruge kommercielle produkter, og dermed er de åbne for almindelige vira, fordi alle bruger de samme operativsystemer og software. Så hvis der findes én sårbarhed et sted, så kan man lige så godt lukke en hel masse andre steder ned med det samme."
"Omvendt benytter mange efterhånden også Linux-styresystemet, hvor it-kriminelle kan kigge med i den åbne kode og finde sårbarhederne. Og selv hvis computerne ikke er forbundet med nettet, er det relativt nemt at sprede virus via eksempelvis USB-sticks og eksterne harddisks," siger Chris Johnson.
Og så er vi ligesom i gang.
Lukker luftrummet uden forklaring
Eksempler med GPS-jamming og efterfølgende afsporing af pengetransporter, afsendelse af slørede angreb via TOR-webservere og misbrug af Dalai Lamas hackede mailadresse fyger henover powerpoint-præsentationen.
Netværkskort lukker lufthavn i flere uger
Derefter kommer Chris Johnson ind på statssponsoreret spredning af Stuxnet-ormen på iranske atomkraftværker og en skummel medarbejder hos en kommerciel underleverandører til et australsk kloakstyringssystemer, der havde bygget en tro kopi af kloaksystemets kontrolrum hjemme i soveværelset for derefter at sende flere millioner liter spildevand ud i de lokale parker.
Måske er det mest opsigtsvækkende eksempel ikke et ondsindet hackerangreb, men "blot" et uheld fra Dublins Lufthavn i 2008, hvor et netværkskort i halvanden måneds tid havde flimret, så lufthavnens it-kontrolsystem ikke var fuldt operationelt i flere uger.
Indtil det forvirrede netværkskort blev identificeret som værende årsagen til miseren, blev luftfartstrafikken flere gange aflyst i den irske hovedstad midt under sommerferien, fordi man ikke kunne finde årsagen til, at luftfartssystemet stod af.
"Leverandøren Thales stod ikke direkte for netværkskortet, og det siger noget om, at der sjældent er klare aftaler om, hvordan malware og andre uhensigtsmæssigheder skal håndteres, hvis det bliver fundet i it-systemer i den kritiske infrastruktur," opsummerer Chris Johnson sine mange eksempler.
Mangler hjælp fra myndigheder
Han mener generelt, at der er ikke meget hjælp at hente fra offentlige myndigheder.
"Folk hos tilsynsmyndighederne er ikke velbetalte, og derfor bliver arbejdet med at sikre systemerne ikke gjort af de bedste folk, som i stedet kommer til at arbejde for de private leverandører af systemerne," lyder det fra Chris Johnson.
"Men helt seriøst, mange i den kritiske infrastruktur bør ikke selv tage sig af også at vurdere cybertruslerne. Det bør være en regeringsopgave," fortsætter han.
Chris Johnson understreger dog samtidig, at ingen i Europa har de gyldne løsninger til at tackle trusler om et velkoordineret cyberangreb på et tilfredsstillende niveau, selvom der er oprettet CERT's stort set hele raden rundt.
"Hos alle tilsynsmyndigheder bør minimum én medarbejder være cybersikkerheds-ekspert samt læring og videndeling fra tidligere angreb skal iværksættes, og så skal der foretages cyberangrebs-øvelser med alle involverede parter i den kritiske infrastruktur," lyder nogle af hans råd til myndighederne.
Hackere på hospitalet
Udover transportindustrien har Chris Johnson også beskæftiget sig med sikkerhed på britiske hospitaler, hvor han ikke sjældent fandt USB-nøgler ligge og flyde rundt omkring computerne.
Hvem tager sig af problemerne?
"De sagde, at de ikke måtte bruge dem, men de gjorde det alligevel," smiler han indforstået til den lille gruppe af tilhørere på Christiansborg.
Han forklarer, at hospitalernes overgange til papirløse hospitaler med elektroniske patientjournaler (EPJ) potentielt kan være lidt af en sikkerhedsrisiko, da et uset hackerangreb med ændringer i patienternes medicindoser kan få fatale følger.
"Hvis man er totalt afhængig af it-systemer, så er man allerede sårbar," siger han.
Jamen, hvis det hele er så skrøbeligt, hvorfor har vi så endnu ikke set flere eksempler på katastrofale cyberangreb? spørger Computerworlds udsendte medarbejder.
"Et angreb vil ikke nødvendigvis koste menneskeliv i første omgang, men det kan lukke for kritisk infrastruktur i månedsvis, og indtil videre har vi måske bare været heldige," svarer Chris Johnson og fortsætter:
"Hvis vi venter endnu 12 måneder uden, at tilsyns-myndighederne får kigget systemerne igennem, så kan det være for sent."
Sikkerhedsprofessoren forklarer til tilhørerne på Christiansborg, at angreb ofte bliver dysset ned, så offentligheden ikke får viden om dem, men at man på den anden side også skal balancere sin paranoia med reelle usikkerheder og trusler.
"Ja, jeg er en pessimistisk mand," siger Chris Johnson endnu engang og tilføjer:
"En af de store udfordringer med cyberangreb på kritisk infrastruktur er, at alle tror, at andre tager sig af problemerne."
