Professor: Sådan kan it-ragnarok opstå inden et år

Reportage: Hvis ingen gør noget, så kan katastrofale cyberangreb være over os inden for det næste års tid, mener britisk sikkerhedsprofessor. Læs her hvilke farer, der lurer i horisonten.

Artikel top billede

"Ja, jeg er en pessimistisk mand."

Sådan indleder den britiske sikkerhedsprofessor Chris Johnson fra Glasgows Universitet sit foredrag om risikoen for cyber-angreb rettet mod Danmarks og andre landes kritiske infrastruktur.

"Jeg er måske lidt anderledes end de fleste sikkerhedsfolk, fordi jeg fokuserer på menneskeliv frem for penge. Jeg er ikke interesseret i penge," fortsætter professoren.

Stedet er Grundlovsværelset på 1. sal i Vandrehallen på Christiansborg.

Her har organisationen Forum for Samfundets Beredskab trommet små 15 deltagere sammen plus Chris Johnson, efter han i mange år har diskuteret sikkerhed med blandt andre den amerikanske rumfartsorganisation NASA og et utal af europæiske myndigheder.

Måske er deltagertallet lige lidt i underkanten, når nu truslen om cyberangreb for nyligt blev udråbt af Beredskabsstyrelsen som værende blandt de største trusler mod det danske samfund.

Intet er sikkert 

Sikkerhedsprofessor Chris Johnson fokuserer i sit foredrag på konsekvenserne ved et cyberangreb på transportsektoren, hvilket hovedsageligt vil sige lufthavnssystemer og jernbanetrafikken.

Alligevel lufter han også almene betragtninger om sikkerhed på anden kritisk infrastruktur, hvor flere og flere systemer bliver sendt online, og it-folk skal håndtere både selve angrebet og de komplekse systemer, der er blevet ramt.

"Det kan være meget svært at bevise, at ens system er virusfrit, fordi nogle vira simpelthen bliver installeret under anti-virus-kørslen," lyder en af professorens første pointer.

Her henviser han blandt andet til Turing Award-vinderen fra 1972, Edsger W. Dijkstras, ord om, at tests kan vise tilstedeværelsen, ikke fraværet af bugs - hvilket på jævnt dansk betyder, at man trods test efter test ikke kan sige med sikkerhed, om et system er blevet renset totalt for fejl og malware.

"En af de største sikkerhedsfejl er jo at tro, at man har kontrolleret alt og er uden for fare," lyder det fra Chris Johnson. 

"Hovedsageligt grundet økonomien er flere begyndt at bruge kommercielle produkter, og dermed er de åbne for almindelige vira, fordi alle bruger de samme operativsystemer og software. Så hvis der findes én sårbarhed et sted, så kan man lige så godt lukke en hel masse andre steder ned med det samme."

"Omvendt benytter mange efterhånden også Linux-styresystemet, hvor it-kriminelle kan kigge med i den åbne kode og finde sårbarhederne. Og selv hvis computerne ikke er forbundet med nettet, er det relativt nemt at sprede virus via eksempelvis USB-sticks og eksterne harddisks," siger Chris Johnson.

Og så er vi ligesom i gang.

Lukker luftrummet uden forklaring

Eksempler med GPS-jamming og efterfølgende afsporing af pengetransporter, afsendelse af slørede angreb via TOR-webservere og misbrug af Dalai Lamas hackede mailadresse fyger henover powerpoint-præsentationen.

Netværkskort lukker lufthavn i flere uger

Derefter kommer Chris Johnson ind på statssponsoreret spredning af Stuxnet-ormen på iranske atomkraftværker og en skummel medarbejder hos en kommerciel underleverandører til et australsk kloakstyringssystemer, der havde bygget en tro kopi af kloaksystemets kontrolrum hjemme i soveværelset for derefter at sende flere millioner liter spildevand ud i de lokale parker

Måske er det mest opsigtsvækkende eksempel ikke et ondsindet hackerangreb, men "blot" et uheld fra Dublins Lufthavn i 2008, hvor et netværkskort i halvanden måneds tid havde flimret, så lufthavnens it-kontrolsystem ikke var fuldt operationelt i flere uger.

Indtil det forvirrede netværkskort blev identificeret som værende årsagen til miseren, blev luftfartstrafikken flere gange aflyst i den irske hovedstad midt under sommerferien, fordi man ikke kunne finde årsagen til, at luftfartssystemet stod af.

"Leverandøren Thales stod ikke direkte for netværkskortet, og det siger noget om, at der sjældent er klare aftaler om, hvordan malware og andre uhensigtsmæssigheder skal håndteres, hvis det bliver fundet i it-systemer i den kritiske infrastruktur," opsummerer Chris Johnson sine mange eksempler.

Mangler hjælp fra myndigheder

Han mener generelt, at der er ikke meget hjælp at hente fra offentlige myndigheder.

"Folk hos tilsynsmyndighederne er ikke velbetalte, og derfor bliver arbejdet med at sikre systemerne ikke gjort af de bedste folk, som i stedet kommer til at arbejde for de private leverandører af systemerne," lyder det fra Chris Johnson.

"Men helt seriøst, mange i den kritiske infrastruktur bør ikke selv tage sig af også at vurdere cybertruslerne. Det bør være en regeringsopgave," fortsætter han.

Chris Johnson understreger dog samtidig, at ingen i Europa har de gyldne løsninger til at tackle trusler om et velkoordineret cyberangreb på et tilfredsstillende niveau, selvom der er oprettet CERT's stort set hele raden rundt.

"Hos alle tilsynsmyndigheder bør minimum én medarbejder være cybersikkerheds-ekspert samt læring og videndeling fra tidligere angreb skal iværksættes, og så skal der foretages cyberangrebs-øvelser med alle involverede parter i den kritiske infrastruktur," lyder nogle af hans råd til myndighederne.

Hackere på hospitalet

Udover transportindustrien har Chris Johnson også beskæftiget sig med sikkerhed på britiske hospitaler, hvor han ikke sjældent fandt USB-nøgler ligge og flyde rundt omkring computerne.

Hvem tager sig af problemerne?

"De sagde, at de ikke måtte bruge dem, men de gjorde det alligevel," smiler han indforstået til den lille gruppe af tilhørere på Christiansborg.

Han forklarer, at hospitalernes overgange til papirløse hospitaler med elektroniske patientjournaler (EPJ) potentielt kan være lidt af en sikkerhedsrisiko, da et uset hackerangreb med ændringer i patienternes medicindoser kan få fatale følger.

"Hvis man er totalt afhængig af it-systemer, så er man allerede sårbar," siger han.

Jamen, hvis det hele er så skrøbeligt, hvorfor har vi så endnu ikke set flere eksempler på katastrofale cyberangreb? spørger Computerworlds udsendte medarbejder.

"Et angreb vil ikke nødvendigvis koste menneskeliv i første omgang, men det kan lukke for kritisk infrastruktur i månedsvis, og indtil videre har vi måske bare været heldige," svarer Chris Johnson og fortsætter:

"Hvis vi venter endnu 12 måneder uden, at tilsyns-myndighederne får kigget systemerne igennem, så kan det være for sent."

Sikkerhedsprofessoren forklarer til tilhørerne på Christiansborg, at angreb ofte bliver dysset ned, så offentligheden ikke får viden om dem, men at man på den anden side også skal balancere sin paranoia med reelle usikkerheder og trusler.

"Ja, jeg er en pessimistisk mand," siger Chris Johnson endnu engang og tilføjer:

"En af de store udfordringer med cyberangreb på kritisk infrastruktur er, at alle tror, at andre tager sig af problemerne."

Læses lige nu
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

    Sikkerhed | Højbjerg, Aarhus

    Cyber Security Summit 2026 - Aarhus

    Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

    Digital transformation | Aarhus

    AI i det offentlige - Aarhus

    Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

    Digital transformation | Køge

    Derfor skal du videre fra Dynamics AX – og sådan gør du

    Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

    Se alle vores events inden for it

    Navnenyt fra it-Danmark

    Jakob Dirksen, SVP, Nordic Customer Delivery & Operations hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Infrastructure Delivery & Operations. Han skal fremover især beskæftige sig med at lede Infrastructure Delivery & Operations, der har til opgave at drive og udvikle fibernetværket på tværs af virksomheden. Forfremmelse

    Jakob Dirksen

    GlobalConnect

    IFS Danmark A/S har pr. 1. april 2026 ansat Sarah Warm som Account Executive, Energy & Utilities. Hun skal især beskæftige sig med salg af IFS' løsninger til nye kunder inden for energibranchen. Hun kommer fra en stilling som Account Executive hos Synergy Investment Group i Holland. Hun er uddannet BSc Economics and Business Economics, Neuroscience & MSc Business Administration Digital Business. Hun har tidligere beskæftiget sig med Solution Sales & Cybersecurity. Nyt job

    Sarah Warm

    IFS Danmark A/S

    Pinksky har pr. 1. maj 2026 ansat Alexander Skou Henkel, 39 år,  som Rådgivende konsulent. Han skal især beskæftige sig med optimering af forretningsprocesser i Microsoft platformen. Han kommer fra en stilling som IT forretningskonsulent hos Evobis ApS. Han har tidligere beskæftiget sig med forretningsudvikling i Microsoft platformen. Nyt job