Artikel top billede

Professor: Sådan kan it-ragnarok opstå inden et år

Reportage: Hvis ingen gør noget, så kan katastrofale cyberangreb være over os inden for det næste års tid, mener britisk sikkerhedsprofessor. Læs her hvilke farer, der lurer i horisonten.

"Ja, jeg er en pessimistisk mand."

Sådan indleder den britiske sikkerhedsprofessor Chris Johnson fra Glasgows Universitet sit foredrag om risikoen for cyber-angreb rettet mod Danmarks og andre landes kritiske infrastruktur.

"Jeg er måske lidt anderledes end de fleste sikkerhedsfolk, fordi jeg fokuserer på menneskeliv frem for penge. Jeg er ikke interesseret i penge," fortsætter professoren.

Stedet er Grundlovsværelset på 1. sal i Vandrehallen på Christiansborg.

Her har organisationen Forum for Samfundets Beredskab trommet små 15 deltagere sammen plus Chris Johnson, efter han i mange år har diskuteret sikkerhed med blandt andre den amerikanske rumfartsorganisation NASA og et utal af europæiske myndigheder.

Måske er deltagertallet lige lidt i underkanten, når nu truslen om cyberangreb for nyligt blev udråbt af Beredskabsstyrelsen som værende blandt de største trusler mod det danske samfund.

Intet er sikkert 

Sikkerhedsprofessor Chris Johnson fokuserer i sit foredrag på konsekvenserne ved et cyberangreb på transportsektoren, hvilket hovedsageligt vil sige lufthavnssystemer og jernbanetrafikken.

Alligevel lufter han også almene betragtninger om sikkerhed på anden kritisk infrastruktur, hvor flere og flere systemer bliver sendt online, og it-folk skal håndtere både selve angrebet og de komplekse systemer, der er blevet ramt.

"Det kan være meget svært at bevise, at ens system er virusfrit, fordi nogle vira simpelthen bliver installeret under anti-virus-kørslen," lyder en af professorens første pointer.

Her henviser han blandt andet til Turing Award-vinderen fra 1972, Edsger W. Dijkstras, ord om, at tests kan vise tilstedeværelsen, ikke fraværet af bugs - hvilket på jævnt dansk betyder, at man trods test efter test ikke kan sige med sikkerhed, om et system er blevet renset totalt for fejl og malware.

"En af de største sikkerhedsfejl er jo at tro, at man har kontrolleret alt og er uden for fare," lyder det fra Chris Johnson. 

"Hovedsageligt grundet økonomien er flere begyndt at bruge kommercielle produkter, og dermed er de åbne for almindelige vira, fordi alle bruger de samme operativsystemer og software. Så hvis der findes én sårbarhed et sted, så kan man lige så godt lukke en hel masse andre steder ned med det samme."

"Omvendt benytter mange efterhånden også Linux-styresystemet, hvor it-kriminelle kan kigge med i den åbne kode og finde sårbarhederne. Og selv hvis computerne ikke er forbundet med nettet, er det relativt nemt at sprede virus via eksempelvis USB-sticks og eksterne harddisks," siger Chris Johnson.

Og så er vi ligesom i gang.

Lukker luftrummet uden forklaring

Eksempler med GPS-jamming og efterfølgende afsporing af pengetransporter, afsendelse af slørede angreb via TOR-webservere og misbrug af Dalai Lamas hackede mailadresse fyger henover powerpoint-præsentationen.

Netværkskort lukker lufthavn i flere uger

Derefter kommer Chris Johnson ind på statssponsoreret spredning af Stuxnet-ormen på iranske atomkraftværker og en skummel medarbejder hos en kommerciel underleverandører til et australsk kloakstyringssystemer, der havde bygget en tro kopi af kloaksystemets kontrolrum hjemme i soveværelset for derefter at sende flere millioner liter spildevand ud i de lokale parker

Måske er det mest opsigtsvækkende eksempel ikke et ondsindet hackerangreb, men "blot" et uheld fra Dublins Lufthavn i 2008, hvor et netværkskort i halvanden måneds tid havde flimret, så lufthavnens it-kontrolsystem ikke var fuldt operationelt i flere uger.

Indtil det forvirrede netværkskort blev identificeret som værende årsagen til miseren, blev luftfartstrafikken flere gange aflyst i den irske hovedstad midt under sommerferien, fordi man ikke kunne finde årsagen til, at luftfartssystemet stod af.

"Leverandøren Thales stod ikke direkte for netværkskortet, og det siger noget om, at der sjældent er klare aftaler om, hvordan malware og andre uhensigtsmæssigheder skal håndteres, hvis det bliver fundet i it-systemer i den kritiske infrastruktur," opsummerer Chris Johnson sine mange eksempler.

Mangler hjælp fra myndigheder

Han mener generelt, at der er ikke meget hjælp at hente fra offentlige myndigheder.

"Folk hos tilsynsmyndighederne er ikke velbetalte, og derfor bliver arbejdet med at sikre systemerne ikke gjort af de bedste folk, som i stedet kommer til at arbejde for de private leverandører af systemerne," lyder det fra Chris Johnson.

"Men helt seriøst, mange i den kritiske infrastruktur bør ikke selv tage sig af også at vurdere cybertruslerne. Det bør være en regeringsopgave," fortsætter han.

Chris Johnson understreger dog samtidig, at ingen i Europa har de gyldne løsninger til at tackle trusler om et velkoordineret cyberangreb på et tilfredsstillende niveau, selvom der er oprettet CERT's stort set hele raden rundt.

"Hos alle tilsynsmyndigheder bør minimum én medarbejder være cybersikkerheds-ekspert samt læring og videndeling fra tidligere angreb skal iværksættes, og så skal der foretages cyberangrebs-øvelser med alle involverede parter i den kritiske infrastruktur," lyder nogle af hans råd til myndighederne.

Hackere på hospitalet

Udover transportindustrien har Chris Johnson også beskæftiget sig med sikkerhed på britiske hospitaler, hvor han ikke sjældent fandt USB-nøgler ligge og flyde rundt omkring computerne.

Hvem tager sig af problemerne?

"De sagde, at de ikke måtte bruge dem, men de gjorde det alligevel," smiler han indforstået til den lille gruppe af tilhørere på Christiansborg.

Han forklarer, at hospitalernes overgange til papirløse hospitaler med elektroniske patientjournaler (EPJ) potentielt kan være lidt af en sikkerhedsrisiko, da et uset hackerangreb med ændringer i patienternes medicindoser kan få fatale følger.

"Hvis man er totalt afhængig af it-systemer, så er man allerede sårbar," siger han.

Jamen, hvis det hele er så skrøbeligt, hvorfor har vi så endnu ikke set flere eksempler på katastrofale cyberangreb? spørger Computerworlds udsendte medarbejder.

"Et angreb vil ikke nødvendigvis koste menneskeliv i første omgang, men det kan lukke for kritisk infrastruktur i månedsvis, og indtil videre har vi måske bare været heldige," svarer Chris Johnson og fortsætter:

"Hvis vi venter endnu 12 måneder uden, at tilsyns-myndighederne får kigget systemerne igennem, så kan det være for sent."

Sikkerhedsprofessoren forklarer til tilhørerne på Christiansborg, at angreb ofte bliver dysset ned, så offentligheden ikke får viden om dem, men at man på den anden side også skal balancere sin paranoia med reelle usikkerheder og trusler.

"Ja, jeg er en pessimistisk mand," siger Chris Johnson endnu engang og tilføjer:

"En af de store udfordringer med cyberangreb på kritisk infrastruktur er, at alle tror, at andre tager sig af problemerne."




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Advania Danmark A/S
Hardware, licenser, konsulentydelser

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere