Artikel top billede

(Foto: Computerworld)

It-giganter har kæmpeansvar når cyberkrigen rammer Danmark

Det kan blive fatalt, hvis danske lufthavnssystemer, el-værker eller vandværker bliver hacket. Alligevel har ingen i Danmark det fulde overblik over, hvem der sidder på landets kritiske it-infrastruktur.

USA har forlængst erkendt, at cyberangreb er mere frygtet end konventionelle terrorangreb fra eksempelvis Al-Qaeda, og for nylig har Beredskabsstyrelsen placeret cyberangreb blandt de 10 værste ting, der kan ramme Danmark.

Selvom cyberangreb herhjemme dermed er sendt op på niveau med orkaner, oversvømmelser og terrorangreb, har Danmark endnu ikke kortlagt sin kritiske infrastruktur - herunder it-infrastrukturen - i tilfælde af cyberangreb.

En trillebør med frøer

Det forklarer Mads Ecklon, der er chef for Center for Beredskabsplanlægning og Krisestyring i Beredskabsstyrelsen, på følgende måde:  

"Lige nu er vi i gang med at udvikle og afprøve en metode til at kortlægge den kritiske infrastruktur herunder it-infrastrukturen," lyder det fra Mads Ecklon.

Han fortæller, at Danmark modsat andre landes tilgang med lange lister over kritisk infrastruktur griber tingene mere pragmatisk an og undersøger, hvad der er kritisk infrastruktur i specielle situationer. 

"Det er lidt som at køre en trillebør fyldt med frøer, fordi betydningen af de enkelte dele i infrastrukturen og trusler hele tiden forandrer sig. Men selv om vi endnu ikke har kortlagt den kritiske infrastruktur, er krisestyringssystemet på plads. Hvis der indtræffer større cyberhændelser, vil vi aktivere og bruge dette system." siger Mads Ecklon og tilføjer: 

"Her er vi selvfølgelig meget opmærksomme på de private selskaber, der driver vores infrastruktur. For når man ejer og driver et system, har man også ansvaret for kunne håndtere de situationer, der opstår og bidrager til krisestyringen."  

Af private it- og teleselskaber herhjemme kan nævnes TDC, Nets, KMD og ikke mindst CSC, der for nogle måneder siden opdagede, at et sikkerhedshul til fire millioner danskeres CPR-numre havde stået åbent i et års tid.

Forvirring om roller og ansvar

I Danmark er der en lang række cyberkrigere som Center for Cybersikkerhed, PET, forsvaret, FE og Rigspolitiet, der fra offentlig side er udpeget til at modtage oplysninger om cyberangrebshændelser og hjælpe til med modtræk. 

Et af problemerne med styringen af angreb på den kritiske it-infrastruktur er dog, at krigsførsel og sabotage på nettet er af relativ nyere dato, så samarbejdet mellem private virksomheder, offentlige myndigheder og de offentlige cybervagtværn er ikke klappet helt af endnu. 

"Ja, det er helt sikkert en udfordring, da cyber er den nye dreng i klassen. Når og hvis vi står med problemerne, bliver man selvfølgelig usikker på fordeling af roller og ansvar, og det er jo derfor, vi afholder øvelser," forklarer Mads Ecklon fra Beredskabsstyrelsen.

Vil hverve folk med hacker-evner

Han er selv den ene af to øvelseschefer, når Danmark planmæssigt bliver ramt af landets hidtil største cyberangreb i en øvelse, som du kan læse mere om her

"Først, når vi erkender problemerne (med manglende roller og ansvar, red.), kan vi jo gøre noget ved det," lyder det fra Mads Ecklon.

Umulig opgave

Hos Center for Cybersikkerhed under Forsvarsministeriet er der ikke det store håb om at få kortlagt hele den kritiske danske infrastruktur i takt med, at flere og flere enheder kommer på nettet i det såkaldte smart grid med el-værkerne som nogen af de nye spillere.

"Det er ganske enkelt ikke muligt at udpege den it-kritiske infrastruktur, for når danske virksomheder benytter eksempelvis Amazons cloudservice, hvor stopper vores egen infrastruktur så?" lyder det retoriske spørgsmål fra chefen for Center for Cybersikkerhed, Thomas Lund-Sørensen.

Han har dog på ingen måde tænkt sig at lægge sig fladt ned, mens truslen omkring et storstilet cyberangreb kan blive mere og mere reel måned for måned og uge for uge.

"Helt ærligt, så er der ikke mange hackerkompetencer til stede i Danmark"

Rekrutterer hackerkompetencer
Derfor er Forsvarsministeriets Center for Cybersikkerhed begyndt at rekruttere folk, der har evnerne til igennem blandt andet logfiler og tilsvarende at udpege mønstre, der kan forudsige cybertrusler og dermed også tilskynde måder at imødegå faresignalerne.

"Helt ærligt, så er der ikke mange hackerkompetencer til stede i Danmark, men vi vil meget gerne rekruttere dem, der er," siger Thomas Lund-Sørensen.

Han fortæller, at centret sammen med blandt andre IBM og CFIR har indledt et samarbejde med uddannelsesinstitutionen DTU om et master-spor inden for cyber security.

Men Thomas Lund-Sørensen, hvorfor skulle en person med hackerkompetencer vælge at arbejde for den offentlige sektor frem for et vellønnet job i det private eller ligefrem blive millionær som it-kriminel?

"Vi har jo en interessant jobbeskrivelse, gode kolleger og en overenskomstmæssig løn, og det synes vi jo er en god pakke at tilbyde," svarer han og tilføjer, at han ikke på nogen er interesseret i folk, der kunne tænke sig at arbejde på den forkerte side af loven.

Læs også:
Rapport: Sådan kan dansk kritisk infrastruktur hackes

Professor: Sådan kan it-ragnarok opstå inden et år

It-firmaer kræver national plan for cybersikkerhed




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Advania Danmark A/S
Hardware, licenser, konsulentydelser

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
AI & machine learning i dagligdagen – teknologi og best practice

Kunstig intelligens og machine learning er i gang med at forandre de måder, som vi arbejder på i organisationer og virksomheder - både i det store og i det små. Bliv inspireret til hvordan kan du selv udnytte dem til at gøre din organisation klogere, skarpere og mere effektiv.

06. december 2022 | Læs mere


ERP løsninger til SMV segmentet

For små og mellemstore virksomheder gemmer der sig meget store muligheder for effektivisering og data-udnyttelse i valget af ERP-system. Med det rigtige valg kan man udnytte eksempelvis machine learning, AI, procesautomatisering og meget andet på tværs af hele organisationen til blandt andet lagerstyring, produktion, distribution, intelligent afrapportering.

07. december 2022 | Læs mere


Identity & Access Management - sådan holder du din virksomhed sikker

God styring af brugerrettigheder er en af de mest effektive måder til at højne it-sikkerheden. For det kan hurtigt gå galt, hvis system-rettigheder, system-adgang og lignende ikke hele tiden opdateres. Kom og hør om erfaringer og muligheder til hurtigt og nemt hele tiden at sikre, at der er styr på brugerrettighederne i hele din organisation- også uden at genere brugerne.

08. december 2022 | Læs mere