Artikel top billede

Kritisk infrastruktur i Danmark er taget som gidsel i et storpolitisk magtspil om arktis

Klumme: Hvad vil konsekvensen være, hvis en industrihavn på Grønland ikke kan laste og losse i tre dage? Eller elektriciteten forsvinder i Torshavn i fire dage? Eller der slukkes for varmen i Nuuk i fem dage? Eller vandforsyningen lukkes ned i Sisimiut i to dage?

Denne klumme er et debatindlæg og er alene udtryk for skribenternes synspunkter.

Nej, nu må manden holde!

Sådan vil nogle kolleger i it-sikkerhedsbranchen sikkert tænke, når de læser ovenstående flammende overskrift på indlægget her.

Det er da langt ude at sætte den solide danske infrastruktur i forbindelse med gidseltagning og storpolitik i de arktiske egne. Vi har jo netop et højt sikkerhedsniveau i Danmark, vil mange it-folk sige.

Det er jo lige så langt ude, hvis nogen - for et år siden - havde lavet en overskrift om, at en amerikansk præsident ville købe Grønland.

Men som bekendt overgår virkeligheden altså meget let fantasien.

Derfor er det relevant lige at stoppe op og tygge på indholdet af overskriften en gang til. For faktum er, at der desværre ikke skal meget til, før den kan blive tophistorie på News.

Truslen er nærliggende.

Danmark er en central brik i det storpolitiske spil om Arktis, efter at afsmeltningen af isen i det arktiske område åbner for nye sejlruter for kommerciel og militær skibsfart med vidtrækkende teknologiske konsekvenser.

Men er vi i Danmark blevet tilstrækkeligt forberedte og modstandsdygtige nok over for det pres, som udviklingen vil sætte os under, når det gælder cyber-truslen?

Gang på gang hører vi om virksomheder, der er under it-angreb. De får krypteret kundedata osv. og bliver bedt om ”løsepenge” for at få deres data tilbage. Typisk har angrebene været rettet mod virksomheders administrative it-systemer, og der er da også stor bevågenhed på denne problemstilling.

Men faren ligger et andet sted.

De cyber-kriminelle og fjendtlige statslige aktører begynder i stigende grad at rette deres fokus mod de operationelle systemer – altså de systemer, som sikrer forsyningen af vitale funktioner i vores samfund.

Det kan være en pumpestation på et fjernvarmeanlæg, en trykforøger i en vandforsyning eller styringskomponenter på en havneterminal. I fagsproget kaldes det for ”Operational Teknologi” eller OT.

Ved at tage kontrol over sådanne styringssystemer af de mest kritiske funktioner i samfundet via for eksempel krypteringssoftware vil samfundet stå i en svær forhandlingssituation, som kan eskalere. Det vil få store konsekvenser for vores samfund, og derfor vil Danmark være nødsaget til at reagere hurtigt – under pres.

Hvad vil konsekvensen for eksempel være, hvis en industrihavn på Grønland ikke kan laste og losse i tre dage? Eller elektriciteten forsvinder i Torshavn i fire dage? Eller der slukkes for varmen i Nuuk i fem dage? Eller vandforsyningen lukkes ned i Sisimiut i to dage?

Hvorfor skal vi være ekstra opmærksomme på denne cyber-trussel – lige nu?

Ud over den tilspidsede magtkamp om de arktiske områder, er der flere andre faktorer, som spiller ind.

Der er fart på den digitaliserede udvikling. Det går stærkt med at udnytte disse muligheder – nogle vil sige, at det går for stærkt. Tidligere var netværk mellem forsyningsdelen og den administrative it-del adskilt. Det var en ”luftlomme” (eller ”airgap” på engelsk) mellem de to systemer.

Men det ses ikke så ofte mere, fordi man kan se en række fordele ved at have en forbindelse mellem it-delen og forsyningsdelen.

Faren er, at når den beskyttende ”luftlomme” forsvinder, så åbner det også op for uvedkommende.

De gamle OT-systemer kommer på netværket, men de er ikke designet eller programmeret med cyber-sikkerhed for øje. De kan oftest kun køre på gamle Windows systemer, som ikke har være opdateret i lang tid. Man overser, at døren dermed lukkes op for den digitale transformation.

Cyber-sikkerhed ligger ikke i ”DNA’et” i en OT-organisation, så det kræver en stor forandring i virksomhedernes evne og forståelse af, hvad ”arbejdet med cyber-sikkerhed” indebærer på OT-siden. Bare at tage stilling til, hvem har det operationelle eller overordnede ansvar for OT-sikkerheden i forsyningerne kan være en udfordring.

Corona-krisen har åbnet for vores netværk med remote styring – men skal man kunne sidde hjemme i sofaen og kunne styre et fjernvarme-anlæg?

Remote-adgangen til OT-netværket er i dag en vigtig funktion for mange forsyningerne, hvor man enten får support fra underleverandører eller fra egne medarbejdere, som udfører opgaverne på infrastrukturen. Denne adgang er en risikofaktor, som man bør have langt større fokus på, end det er tilfældet i dag.

Remote-opkoblingen foretages oftest fra ukendte netværk og pc'er, hvor forsyningen ikke har mulighed for at påvirke sikkerheden.

Man har set flere eksempler på, at hjemmenetværk hos centrale medarbejdere og underleverandører med en supporterede rolle har været forsøgt kompromitteret, og derved ville være den indirekte adgang til forsyningens systemer.

Ja – det koster penge at øge sikkerhedsniveauet i kritisk infrastruktur, men det gør det succesfulde hackerangreb også.

Remote-adgangen til OT-netværket er i dag en vigtig funktion for mange forsyningerne, hvor man enten får support fra underleverandører eller fra egne medarbejdere, som udfører opgaverne på infrastrukturen. Denne adgang er en risikofaktor, som man bør have langt større fokus på, end det er tilfældet i dag.

Remote-opkoblingen foretages oftest fra ukendte netværk og pc'er, hvor forsyningen ikke har mulighed for at påvirke sikkerheden.

Man har set flere eksempler på, at hjemmenetværk hos centrale medarbejdere og underleverandører med en supporterede rolle har været forsøgt kompromitteret, og derved ville være den indirekte adgang til forsyningens systemer.

Man skal ikke undervurdere den massive styrke, vi er oppe imod. Både de cyber-krimielle og de fjendtlige stater har masser af ressourcer, og de har viden til at ”komme ind”. Desuden er deres opfindsomhed og tålmodighed stor, så forsyningsorganisationerne er nødt til at holde et vågent øje med aktiviteter og forandringer i den infrastruktur og i de systemer, som de har ansvaret for.

De amerikanske myndigheder og styrelser (CISA og NSA) har her i juni udsendt en skrivelse, som understreger, at kritisk infrastruktur er et yndet mål for angreb, og at man bør tage sine forholdsregler.

Dokumentet indeholder en række gode råd om, hvor man bør sætte ind. Der er tilgængeligt her: https://us-cert.cisa.gov/ncas/alerts/aa20-205a

Både i Danmark og i EU har man igangsat flere gode initiativer til at hjælpe med at øge sikkerhedsniveauet inden for samfundets kritiske funktioner. Det er et håb, at de initiativer bliver taget op i de mange - både små og store - organisationer, som er del af vores kritiske infrastruktur.

Det kræver både penge, villighed og omstillingsparathed, og det er spørgsmålet, om de overordnede nationale ambitioner munder ud i detaljerede og håndgribelige aktiviteter i alle dele af vores kritiske infrastruktur.

Det er nødvendigt, at det kommer til at ske, hvis vi skal have et tilstrækkeligt højt sikkerhedsniveau imod den stigende cyber-trussel mod OT - og dermed mod vores samfund.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.