Torsdag 11. maj blev 16 nøje udvalgte mål i den danske energisektor ramt af et voldsomt, vellykket og koordineret hackerangreb.
Det er i sig selv ikke overraskende, for centrale virksomheder og organisationer er konstant i skudlinjen.
Det er desværre heller ikke overraskende, at angriberne på forhånd vidste, hvem de ville ramme. Og at de ikke en eneste gang skød forbi målet.
Det fremgår ord for ord af rapporten ”Angrebet mod dansk kritisk infrastruktur”, som SektorCERT udgav i november.
Det overraskende er derimod, at flere af de ramte organisationer burde vide bedre. De var advaret. De troede bare noget andet.
Allerede i slutningen af april blev sårbarheden i en række nyere Zyxel-firewalls annonceret af både Zyxel selv, non-profit overvågningstjenesten Shadowserver samt energisektorens sikkerhedsorganisation SektorCERT.
Sårbarheden, som fik en score på 9,8 ud af 10 mulige, gør det muligt at få komplet kontrol med firewallen uden at kende hverken brugernavne eller passwords.
Det er en risiko, som burde få de fleste til at tjekke patchniveauet på den udbredte firewall.
“Strategisk amatørisme” er Danmarks strategi
Derfor er SektorCERTS rapport dyster læsning. For den handler om tro - og den tiltro, som fik den mangeårige diplomat, Nato-ambassadør samt formand for regeringens sikkerhedspolitiske arbejdsgruppe, Michael Zilmer-Johns til i DR at kalde den danske sikkerhedstilgang for “strategisk amatørisme."
For hvor man i Norge og Sverige har ansvaret for samfundssikkerhed samlet hos én central myndighed, er den i Danmark spredt, decentral og tilsyneladende baseret på tro og håb.
Derfor troede og håbede flere af de ramte organisationer, at fordi firewallen var relativt ny, så havde den nok den nyeste software. Andre troede, at leverandøren nok sørgede for det med opdateringer.
Atter andre troede, at de nok ikke var i risikozonen – og at de derfor bevidst havde fravalgt at betale for opdateringer til den gratis software.
Og så var der dem, som slet ikke troede, de havde enhederne i netværket.
Ikke spor overdrevet - der er tilsyneladende ingen plan
Overdrevet? Ikke spor.
Det står sort på hvidt i SektorCERTS rapport. Sammen med den nøgterne oplysning, at SektorCERT i dag ikke har bemanding til at reagere på angreb udenfor almindelige arbejdstid.
Læs den, så virker Michael Zilmer-Johns vurdering pludselig mild.
Samtidig står det efterhånden også lysende klart, at tiden er løbet fra den danske strategi med at håbe, tro og så i øvrigt fra centralt hold sparke bolden lidt rundt mellem drømmen om 18 branchesikkerhedscentre – de såkaldte CERT’er, Center for Cybersikkerhed, Kombit, de større kommuner, lidt forskellige indberetningsordninger og forskellige frivillige CISO-netværk.
Der gøres en stor indsats, men den når tilsyneladende ikke ud der, hvor den enkelte firewall sidder.
I juni 2023 blev der afsat 143 milliarder til forsvaret de næste 10 år. Kunne ikke bare en brøkdel af de milliarder snart gå til en central myndighed med klart ansvar for cyberforsvaret?
Og til 16 opgraderinger af Zyxel-firewalls.