Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Når vi taler kritisk infrastruktur og oprustning på it-sikkerhed, taler vi ofte om de store aktører. De store energiselskaber. De store budgetter. De store sikkerhedsorganisationer.
Men denne ensporede tilgang afspejler ikke den fulde danske virkelighed, for en enorm del af vores kritiske infrastruktur bæres reelt af mindre og mellemstore forsyningsselskaber.
Danmark har en ekstremt decentral forsyningsstruktur, hvor vi udover de cirka 40 elnetselskaber har knap 350 fjernvarmeværker og over 2.500 almene vandværker, som primært er små, lokale og forbrugerejede. Det er dem, der leverer strøm, vand og varme til os hver eneste dag.
Disse små og mellemstore selskaber er reelt rygraden i den danske kritiske infrastruktur. De er i højeste grad samfundskritiske.
Alligevel overser vi dem i stor stil i den store sikkerhedskabale.
I praksis svarer det til at renovere taget på et hus, mens fundamentet får lov at slå revner.
De lokale forsyningsselskaber kan ikke følge med
Når jeg taler med de små og mellemstore forsyningsselskaber rundt omkring i landet, er et gennemgående tema, at det er svært at følge med udviklingen i trusselsbilledet.
Deres organisation er sjældent gearet med en dedikeret it-sikkerhedsafdeling med ansvar for cybersikkerhed.
Det sker samtidig med, at Center for Cybersikkerhed (CFCS) slår fast, at truslen fra cyberkriminalitet mod vandsektoren er 'MEGET HØJ', mens SektorCERT i øjeblikket opererer med det historisk høje trusselsniveau 'Gul'.
Skydeskiven på de små og mellemstore forsyningsværker er med andre ord gigantisk.
Samtidig er det regulatoriske pres eksploderet. Med NIS2 er governance-kravene blevet skærpet, og bestyrelser og direktioner har fået et formelt ansvar for cybersikkerhed. Det er ikke længere blot et it-spørgsmål nede i kælderen – det er et reelt ledelsesansvar.
Udfordringen er bare, at de lokale selskaber slet ikke kan følge med.
Jeg oplever, at man både politisk og branchemæssigt stadig primært designer løsninger til de største organisationer, alt imens vi forsøger at trække komplekse it-løsninger og tunge rammeværk ned over virkeligheden i de mindre forsyningsselskaber.
Det er budgetter og ressourcekrav, der ganske enkelt ikke matcher hverdagen de steder, hvor det ofte er en lokal "blæksprutte", som har it-ansvaret oven i den daglige drift af anlægget.
Vi skyder over mål
Når cybersikkerhed på den måde gøres til et uoverskueligt monster, fryser organisationerne fast.
Resultatet er ufrivillig lammelse, overimplementering nogle steder og farlig underbeskyttelse andre steder.
Myndighederne er endda selv klar over det.
I Miljøstyrelsens aktuelle strategi for cyber- og informationssikkerhed i vandsektoren fremgår det sort på hvidt, at sikkerhedsniveauet falder i takt med selskabernes størrelse, og at den helt essentielle adskillelse af it- og OT-systemer ofte mangler fuldstændig.
Vi bør derfor tage skyklapperne fra øjnene og indse, at der er brug for en helt anden strategi til at løfte cyberoprustningen hos de mindre aktører i den kritiske infrastruktur.
Vi skal gøre sikkerhed implementerbar – ikke bare dokumenterbar
Samfundets samlede robusthed afhænger ikke kun af de største aktører.
Den afhænger i lige så høj grad af de mange mindre selskaber, der holder hverdagen kørende lokalt. I sidste ende er den samlede kæde kun så stærk som det svageste led.
Samtidig skal vi forstå, at cyberkriminelle er opportunister. De forsøger sjældent at bryde hoveddøren ind hos de bedst beskyttede giganter. De går efter bagdøren. De finder vej ind gennem de mindre underleverandører.
Governance i mindre forsyningsvirksomheder kræver noget helt andet end hos giganterne. Det kræver en klar prioritering baseret på reel risiko, en pragmatisk implementering og frem for alt løsninger, der rent faktisk kan driftes i hverdagen.
Cybersikkerhed er nemlig ikke kun et spørgsmål om teknologi. Det er et spørgsmål om ledelse, ansvar og proportioner.
Derfor er min opfordring til både politikere og branchen: Lad os kigge indad og sikre, at vores løsninger også kan implementeres i praksis – ikke kun på papiret.
Lad os i stedet fjerne kompleksiteten og sænke ambitionerne, så vi kan hjælpe de små forsyningsselskaber i gang og højne det reelle bundniveau.
Høje ambitioner er kun gode, hvis de reelt kan implementeres i virkeligheden.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
