Artikel top billede

Professor: Sådan kan it-ragnarok opstå inden et år

Reportage: Hvis ingen gør noget, så kan katastrofale cyberangreb være over os inden for det næste års tid, mener britisk sikkerhedsprofessor. Læs her hvilke farer, der lurer i horisonten.

"Ja, jeg er en pessimistisk mand."

Sådan indleder den britiske sikkerhedsprofessor Chris Johnson fra Glasgows Universitet sit foredrag om risikoen for cyber-angreb rettet mod Danmarks og andre landes kritiske infrastruktur.

"Jeg er måske lidt anderledes end de fleste sikkerhedsfolk, fordi jeg fokuserer på menneskeliv frem for penge. Jeg er ikke interesseret i penge," fortsætter professoren.

Stedet er Grundlovsværelset på 1. sal i Vandrehallen på Christiansborg.

Her har organisationen Forum for Samfundets Beredskab trommet små 15 deltagere sammen plus Chris Johnson, efter han i mange år har diskuteret sikkerhed med blandt andre den amerikanske rumfartsorganisation NASA og et utal af europæiske myndigheder.

Måske er deltagertallet lige lidt i underkanten, når nu truslen om cyberangreb for nyligt blev udråbt af Beredskabsstyrelsen som værende blandt de største trusler mod det danske samfund.

Intet er sikkert 

Sikkerhedsprofessor Chris Johnson fokuserer i sit foredrag på konsekvenserne ved et cyberangreb på transportsektoren, hvilket hovedsageligt vil sige lufthavnssystemer og jernbanetrafikken.

Alligevel lufter han også almene betragtninger om sikkerhed på anden kritisk infrastruktur, hvor flere og flere systemer bliver sendt online, og it-folk skal håndtere både selve angrebet og de komplekse systemer, der er blevet ramt.

"Det kan være meget svært at bevise, at ens system er virusfrit, fordi nogle vira simpelthen bliver installeret under anti-virus-kørslen," lyder en af professorens første pointer.

Her henviser han blandt andet til Turing Award-vinderen fra 1972, Edsger W. Dijkstras, ord om, at tests kan vise tilstedeværelsen, ikke fraværet af bugs - hvilket på jævnt dansk betyder, at man trods test efter test ikke kan sige med sikkerhed, om et system er blevet renset totalt for fejl og malware.

"En af de største sikkerhedsfejl er jo at tro, at man har kontrolleret alt og er uden for fare," lyder det fra Chris Johnson. 

"Hovedsageligt grundet økonomien er flere begyndt at bruge kommercielle produkter, og dermed er de åbne for almindelige vira, fordi alle bruger de samme operativsystemer og software. Så hvis der findes én sårbarhed et sted, så kan man lige så godt lukke en hel masse andre steder ned med det samme."

"Omvendt benytter mange efterhånden også Linux-styresystemet, hvor it-kriminelle kan kigge med i den åbne kode og finde sårbarhederne. Og selv hvis computerne ikke er forbundet med nettet, er det relativt nemt at sprede virus via eksempelvis USB-sticks og eksterne harddisks," siger Chris Johnson.

Og så er vi ligesom i gang.

Lukker luftrummet uden forklaring

Eksempler med GPS-jamming og efterfølgende afsporing af pengetransporter, afsendelse af slørede angreb via TOR-webservere og misbrug af Dalai Lamas hackede mailadresse fyger henover powerpoint-præsentationen.

Netværkskort lukker lufthavn i flere uger

Derefter kommer Chris Johnson ind på statssponsoreret spredning af Stuxnet-ormen på iranske atomkraftværker og en skummel medarbejder hos en kommerciel underleverandører til et australsk kloakstyringssystemer, der havde bygget en tro kopi af kloaksystemets kontrolrum hjemme i soveværelset for derefter at sende flere millioner liter spildevand ud i de lokale parker

Måske er det mest opsigtsvækkende eksempel ikke et ondsindet hackerangreb, men "blot" et uheld fra Dublins Lufthavn i 2008, hvor et netværkskort i halvanden måneds tid havde flimret, så lufthavnens it-kontrolsystem ikke var fuldt operationelt i flere uger.

Indtil det forvirrede netværkskort blev identificeret som værende årsagen til miseren, blev luftfartstrafikken flere gange aflyst i den irske hovedstad midt under sommerferien, fordi man ikke kunne finde årsagen til, at luftfartssystemet stod af.

"Leverandøren Thales stod ikke direkte for netværkskortet, og det siger noget om, at der sjældent er klare aftaler om, hvordan malware og andre uhensigtsmæssigheder skal håndteres, hvis det bliver fundet i it-systemer i den kritiske infrastruktur," opsummerer Chris Johnson sine mange eksempler.

Mangler hjælp fra myndigheder

Han mener generelt, at der er ikke meget hjælp at hente fra offentlige myndigheder.

"Folk hos tilsynsmyndighederne er ikke velbetalte, og derfor bliver arbejdet med at sikre systemerne ikke gjort af de bedste folk, som i stedet kommer til at arbejde for de private leverandører af systemerne," lyder det fra Chris Johnson.

"Men helt seriøst, mange i den kritiske infrastruktur bør ikke selv tage sig af også at vurdere cybertruslerne. Det bør være en regeringsopgave," fortsætter han.

Chris Johnson understreger dog samtidig, at ingen i Europa har de gyldne løsninger til at tackle trusler om et velkoordineret cyberangreb på et tilfredsstillende niveau, selvom der er oprettet CERT's stort set hele raden rundt.

"Hos alle tilsynsmyndigheder bør minimum én medarbejder være cybersikkerheds-ekspert samt læring og videndeling fra tidligere angreb skal iværksættes, og så skal der foretages cyberangrebs-øvelser med alle involverede parter i den kritiske infrastruktur," lyder nogle af hans råd til myndighederne.

Hackere på hospitalet

Udover transportindustrien har Chris Johnson også beskæftiget sig med sikkerhed på britiske hospitaler, hvor han ikke sjældent fandt USB-nøgler ligge og flyde rundt omkring computerne.

Hvem tager sig af problemerne?

"De sagde, at de ikke måtte bruge dem, men de gjorde det alligevel," smiler han indforstået til den lille gruppe af tilhørere på Christiansborg.

Han forklarer, at hospitalernes overgange til papirløse hospitaler med elektroniske patientjournaler (EPJ) potentielt kan være lidt af en sikkerhedsrisiko, da et uset hackerangreb med ændringer i patienternes medicindoser kan få fatale følger.

"Hvis man er totalt afhængig af it-systemer, så er man allerede sårbar," siger han.

Jamen, hvis det hele er så skrøbeligt, hvorfor har vi så endnu ikke set flere eksempler på katastrofale cyberangreb? spørger Computerworlds udsendte medarbejder.

"Et angreb vil ikke nødvendigvis koste menneskeliv i første omgang, men det kan lukke for kritisk infrastruktur i månedsvis, og indtil videre har vi måske bare været heldige," svarer Chris Johnson og fortsætter:

"Hvis vi venter endnu 12 måneder uden, at tilsyns-myndighederne får kigget systemerne igennem, så kan det være for sent."

Sikkerhedsprofessoren forklarer til tilhørerne på Christiansborg, at angreb ofte bliver dysset ned, så offentligheden ikke får viden om dem, men at man på den anden side også skal balancere sin paranoia med reelle usikkerheder og trusler.

"Ja, jeg er en pessimistisk mand," siger Chris Johnson endnu engang og tilføjer:

"En af de store udfordringer med cyberangreb på kritisk infrastruktur er, at alle tror, at andre tager sig af problemerne."




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Daxiomatic ApS
Salg, udvikling, implementering og servicering af software til ERP

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Computerworld Summit 2021

En moderne digital vindervirksomhed bringer nye teknologier i spil, skaber digital innovation, udnytter data som styringsværktøj og ser verden som én stor markedsplads. Men succes kræver, at du ved, hvor den dyre teknologi kan gøre den største forskel i forretningen. Den kræver, at du ved i hvilken retning den øgede politiske regulering af teknologi og data bevæger sig hen. Og den succes kræver, at du kan udnytte teknologien til at automatisere og skalere til gavn for bundlinjen og budgettet.

26. oktober 2021 | Læs mere


CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere


How to Sikkerhed: Awareness, email fraud og phishing

Man kan aldrig vide sig sikker, for uanset hvor godt man sikrer sig mod hackerangreb og anden svindel, vil hacker næsten altid være et skridt foran. De går efter organisationernes svageste led i håbet om at kunne snyde sig til data, penge eller andet værdifuldt. Få derfor konkrete bud på, hvordan du kan gribe opgaven an og understøtte et effektivt awareness-niveau i din organisation med enkel, men velfungerende, teknologi.

17. november 2021 | Læs mere