Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
I august annoncerede Forsvarets Efterretningstjeneste (FE) lukningen af det nationale sensornetværk, som siden 2016 har overvåget cybertrusler i kritisk infrastruktur.
Lukningen skete efter en risikoanalyse, der konkluderede, at de sikkerhedsmæssige risici ved at fortsætte netværket oversteg den værdi, det leverede.
Netværket var unikt, fordi det gjorde det muligt at samle signaler på tværs af sektorer og opdage trusler, der kunne have udviklet sig til alvorlige angreb.
Samtidig er det forståeligt, at FE måtte balancere værdien mod risikoen: ét centralt system kan i sig selv blive et mål.
Beslutningen har udløst debat. Allerede dagen efter blev forsvarsministeren bedt om at svare i Folketinget på, om dansk cybersikkerhed reelt er betryggende uden netværket.
Det understreger, at lukningen ikke kun er en teknisk beslutning, men også en samfundsmæssig og politisk markør.
Lukningen er en anledning til at stille os selv et vigtigt spørgsmål: Hvordan styrker vi cybersikkerheden på et niveau, der matcher de trusler, samfundet faktisk står overfor?
Her er tre konkrete læringer, danske virksomheder kan tage med sig i kølvandet på lukningen af sensornetværket:
1. Risikoen ved centralisering er reel
Lukningen understreger en grundlæggende læring. Lægger man alle æg i én kurv, bliver forsyningskæderne sårbare.
Crowdstrikes nedbrud sidste sommer viste tydeligt, hvordan en udbredt monokultur kan skabe massive problemer: Hele dele af internettet blev ramt, og kritiske forsyningskæder blev midlertidigt lammet.
Et sensornetværk, der samler data på ét sted, kan udgøre en risiko, hvis angribere får indsigt i, hvor godt vi kender deres metoder.
Sårbarheder i netværket kan give indsigt i taktikker, teknikker og procedurer, som netop er designet til at blive skjult.
Virksomheder og myndigheder bør derfor ikke overlade hele cybersikkerheden til en løsning eller myndighed.
Flere lag af overvågning og kontrol med spredning af dataindsamling og redundans er afgørende for robusthed.
Virksomheder bør overveje egne sensorer eller samarbejde med eksterne partnere for at opnå bredere og mere resilient netværksovervågning.
2. Netværksovervågning kan ikke erstattes
Netværkstrafik er det sted, hvor avancerede angribere har sværest ved at skjule sig. Fra kamppladsen i Ukraine ser vi, at forskellige grupperinger konstant afprøver nye angrebsmetoder, før de anvendes i Europa.
Angriberne har taget AI i brug til at skræddersy angreb til den konkrete virksomhed, de har inficeret.
De mest sofistikerede angreb kan undslippe traditionel endpoint- og logovervågning. Det er i netværkstrafikken, hvor mønstre og anomalier bedst identificeres.
Et tydeligt eksempel på dette er angrebet mod dansk energiinfrastruktur i maj 2023:
- 22 danske energiselskaber blev udsat for et koordineret cyberangreb, der kompromitterede industrielle kontrolsystemer og firewall-enheder. Som følge heraf var visse selskaber nødt til at isolere deres systemer for at begrænse truslen.
- Angrebet blev hurtigt identificeret og håndteret via SektorCERTs sensornetværk, et netværk etableret i samarbejde mellem flere infrastruktursektorer, der overvågede netværkstrafik og faciliterede hurtig reaktion.
- Uden denne indsats kunne mere end 100.000 danskere risikere afbrydelser i energiforsyningen, ligesom leverancer af varme og vand kunne blive påvirket.
Angrebet mod dansk infrastruktur har sin oprindelse i Ukraine.
Angrebene vi har set i Ukraine, har nedlukket energiforsyning for hundredtusindvis af mennesker og forårsaget fysisk skade på transformatorstationer.
Sensornetværket viste os, hvor vigtigt det er at have bred synlighed på netværkstrafikken.
Nu må virksomheder selv opbygge lignende kapaciteter.
Strategisk netværksovervågning bliver afgørende, fordi den kan opdage anomalier og mønstre i trafikken, som ikke kan ses andre steder.
For virksomheder betyder det, at synlighed i netværkstrafikken skal prioriteres, baselines for normaltrafik etableres, og evnen til at opdage både kendt-skadelig og uventet trafik styrkes.
3. Vi står stærkere med fælles overvågning
Vi har set fra kamppladsen i Ukraine, at aktører, der har til formål at destabilisere på nationalt niveau, anskuer svagheder og huller i cyberforsvar på tværs af leverandører, virksomheder og myndigheder.
I Danmark tænker de fleste direktioner og bestyrelser derimod traditionelt i isolerede hændelser og punktvise sikkerhedsforanstaltninger.
Hvis vi kan løfte vores forsvar til at tænke som angriberne, i netværk og mønstre frem for i siloer og enkeltsager, har vi måske en mulighed som samfund for at øge vores modstandskraft.
Det kræver, at data deles på tværs, at mønstre identificeres i fællesskab, og at trusselsbilledet bliver noget, vi udvikler sammen.
Danmark må ikke opgive idéen
Det er en fejl, at Danmark med lukningen af sensornetværket afskærer sig fra den data og indsigt, som netværket leverede.
Endnu mere problematisk er det, at den måde netværket var organiseret på betød, at hverken de deltagende virksomheder eller samfundet som helhed fik adgang til den threat intelligence, der kunne have styrket den fælles sikkerhed.
Politisk bør man holde fast i idéen bag netværket: At samfundet har en fælles kapacitet til at indsamle signaler og omsætte dem til trusselsbilleder, som alle aktører kan handle på.
I dag er langt de fleste virksomheder i stand til at bidrage med signaler fra deres egen infrastruktur og differentiere, hvad der kan deles.
Det er måske ambitiøst, men et sikkert samfund beror i stigende grad på netop evnen til at se mønstrene og reagere hurtigt på dem.
Lukningen af sensornetværket er et tilbageskridt, men også en mulighed. Vi bør ikke opgive idéen om fælles overvågning.
Tværtimod bør vi gentænke den, så både virksomheder og samfund får reel værdi af den.
For virksomheder betyder det, at tiden er kommet til at prioritere netværksovervågning og opbygge forsvar, der ser mønstre frem for enkelthændelser.
For politikere betyder det, at vi må holde fast i ambitionen om et samfund, der kan dele signaler og udlede den indsigt, som gør os stærkere.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.