Den britiske regering har for nylig taget drastiske skridt til at forbedre sikkerheden i de organisationer, der er den del af den kritiske infrastruktur, med det formål at sikre rammerne for disse afgørende services. Nye regulatorer er blevet udstukket og lederne i de relevante sektorer er blevet advaret om at booste cybersikkerheden i deres organisationer eller stå overfor markante bøder - op til £17 millioner.

Målet er at gøre den kritiske infrastruktur mere modstandsdygtig over for store udfald forårsaget af f.eks. nedbrud i elnettet, hardwarefejl og miljømæssige omstændigheder. Men den optrappede tilgang tager også med i betragtning, at den kritiske infrastruktur oftere og oftere er mål for cyber-angreb.

Tænk f.eks. på de store el-nedbrud, der ramte Ukraine i 2015. Eksperter i National Cyber Security Centre siger, at Rusland med stor sandsynlighed var involveret, omend andre mener, at det nu er Nordkorea, der udgør den største trussel i forhold til cyberangreb i stor skala.

Ser vi bort fra hvad der nu end måtte være af fakta, er en ting sikker: Vi er gået ind i en ny æra i forhold til krigsførelse, og de organisationer der er afgørende for vores infrastruktur har behov for at være bedre forberedt, når det gælder uundgåelig cyberkriminalitet.

Et spørgsmål om hvornår

Ifølge chefen for UK’s National Cyber Security Centre, Ciaran Martin, er et større cyberangreb på UK et spørgsmål om hvornår, ikke om det sker. Han siger: “Vi skal være heldige for at nå til udgangen af dette årti uden at skulle forholde os til et "kategori et"-angreb."

Et "kategori et"-angreb er et angreb, der lægger alle elementer af den kritiske infrastruktur ned. Konsekvenserne er potentielt katastrofale. Ikke kun i forhold til evnen til – for virksomheder – fortsat at kunne drive forretning eller de skader på omdømmet, tabt fortjeneste, omsætning og tillid, der kan følge.

I Danmark er de nok mest kendte tilfælde af cyberangreb på A.P. Møller - Mærsk, der blev hårdt ramt, men er kommet godt igennem samt CSC i 2012. Og ifølge en rapport fra Deloitte fra 2016, er Danmark den fjerdemest udsatte økonomi i verden, og så sent som i april i år var der tale om i medierne, at Danmark sandsynligvis var ramt af et russisk cyberangreb – og der er spekulationer om flere brud på sikkerheden i det offentlige.

Andre analyser og artikler anslår, at hver ottende cyberangreb på en dansk virksomhed faktisk lykkes og i maj i år blev DSB ramt af et cyberangreb. Cyberangreb og cybersikkerhed er derfor den hårde virkelighed og ikke blot spekulation for fremtiden. 

Indrømmet, der er langt større emner forbundet med, at den kritiske infrastruktur bliver ramt end blot omdømme og omsætning. Der kan have afgørende effekt på vores hverdag og den offentlige velfærd, som vi kender det, rækkende fra økonomisk kaos til at vigtige services bliver afbrudt, eller i værste fald at borgerne kommer til skade eller dør.

Forældede systemer

Bekymrende nok er vi som samfund fortsat langt fra at forstå, hvad der kan skabe disse brud på infrastrukturen. I 2015 viste en udenlandsk såkaldt Blackhat-undersøgelse, at hackere i mindst et årti havde brudt gennem sikkerhedssystemerne, men fortsat med meget lidt viden om, hvordan de har gjort det. Meget lidt har ændret sig siden. Med forebyggelse og proaktiv respons, der begge kæmper for at følge med, bliver backup derfor stadig mere afgørende.

Men svagheder i vores kritiske infrastruktur skyldes ikke kun manglende evne til at leve op til sikkerhedsstandarderne. De er heller ikke nødvendigvis forårsaget af mangel på opmærksomhed fra ledende virksomheder. I stedet er en stor del af problemet, at mange af de primære computersystemer, der afvikler den kritiske IT-infrastruktur, er forældede – stadig kraftfulde, ja, men ikke noget noget match som nutidig beskyttelse mod hackere.

Disse klassiske sikkerhedssystemer er designede til at beskytte fysiske værdier og steder, man fysisk kan komme ind, men efterhånden som mere kritiske offentlige services er understøttet af datanetværk og cloud-baserede løsninger, er skiftet i retning af at styrke cybersikkerhed ved at være et tema, der kræver akut opmærksomhed.

Uanset om et angreb finder sted blot for at se, om man kan skade eller som en reel krigshandling, vil det kunne svække vigtige servicefunktioner – hvilket ikke er en risiko, som udbyderne bør være parate til at løbe. Specielt når vi taler om de services, der er så vitale for økonomi og samfund som f.eks. elnet, vandforsyning, transport, sundhedsvæsen, gas og varme, telekommunikation osv.

Min pointe er enkel: Når det gælder den kritiske infrastruktur, er nedetid ganske enkelt ikke en mulighed. De tiltag, der ligger, for at kunne straffe de organisationer, der ikke tager sig sammen og strammer op på sikkerheden, bør ikke være tilfældige. Der er en vigtig lektie at lære, når det gælder tilgængelighed i forhold til den kritiske infrastruktur – både når det gælder erhvervsliv og offentlig velfærd.