Nyt bolvaerk mod cyberangreb skal redde menneskeliv
Cyberangreb kan lamme hospitaler, skabe trafikkaos og slukke strømmen. I sidste ende handler det om liv og død, når regeringen mandag offentliggør seks nye strategier, der skal beskytte de mest sårbare sektorer i Danmark mod digitale angreb. Sikkerhedseksperter er bekymrede over, at der ikke afsaettes nye penge til at føre 68 nye sikkerhedstiltag ud i livet.
Over 200.000 indbyggere i Ukraine mistede strømmen, da hackere i 2015 traengte ind i en raekke elselskaber og slukkede for strømforsyningen. I Storbritannien blev 19.000 behandlinger på landets sygehuse aflyst, da den ondsindede virus WannaCcry i 2017 inficerede hundredtusindvis af computere i over 100 lande.
Et omfattende cyberangreb lammede og ødelagde i marts sidste år kritiske it-systemer i den amerikanske millionby Atlanta, da hackere tog computersystemer som gidsler og kraevede løsepenge.
Og herhjemme kostede det i 2017 den danske gigant A.P. Møller Maersk op mod 2 mia. kr., da virksomheden under det såkaldte Notpetya-angreb, som Rusland anklages for at stå bag, mistede adgangen til dele af sit netvaerk.
Ødelaeggende cyberangreb kan også ramme og lamme energisektoren, sundhedsvaesenet og den øvrige kritiske infrastruktur i Danmark, hvor Center for Cybersikkerhed under Forsvarets Efterretningstjeneste (FE) adskillige gange i de seneste år har advaret om, at cybertruslen mod Danmark er »meget høj«.
Det er den dystre baggrund for, at regeringen mandag saetter gang i en yderligere oprustning mod cyberangreb og nu lancerer en raekke nye målrettede strategier, som med i alt 68 nye initiativer skal ruste de seks mest sårbare og samfundskritiske sektorer til digitale angreb fra hackere, it-kriminelle og fjendtlige stater.
De seks strategier daekker sundheds-, energi-, finans-, tele-, søfarts- og transportsektoren, som alle er blevet pålagt at opbygge et staerkere bolvaerk mod cyberangreb.
Truslen fra cyberspionage og -kriminalitet er blevet så alvorlig, at et angreb kan skade Danmarks sikkerhed og økonomi. I sidste ende kan det også koste menneskeliv, lyder advarslen fra både forsvarsminister Claus Hjort Frederiksen (V) og innovationsminister Sophie Løhde (V), der i et dobbeltinterview med Jyllands-Posten løfter sløret for de nye strategier, som har vaeret undervejs siden maj sidste år.
Et våbenkapløb med hackere
»Det er livsfarligt for vores samfund, hvis vi ignorerer den alvorlige cybertrussel. Vi skal haeve bevidstheden i hele samfundet om, hvor farligt det er og presse en kulturaendring igennem. Cyberangreb kan udrette lige så meget skade som terror eller et konventionelt militaert angreb, og truslen kommer blandt andet fra fremmede stater som Rusland,« siger Claus Hjort Frederiksen.
Ifølge Sophie Løhde befinder Danmark sig i et »våbenkapløb« med hackere og fjendtlige aktører, der hele tiden udvikler nye angrebsmetoder, og derfor skal de nye strategier også løbende opdateres og aendres.
»Vi bliver angrebet hver eneste dag i Danmark, og i takt med at vores samfund bliver mere og mere digitalt, bliver vi stadig mere sårbare over for cyberangreb, og derfor skal vi op i et helt andet gear og styrke vores forsvar af vores mest samfundskritiske sektorer,« siger Sophie Løhde.
De seks nye sektorstrategier er det helt baerende og centrale hovedinitiativ i regeringens store cyber- og informationssikkerhedsstrategi, som blev praesenteret i maj sidste år. Hver enkelt strategi, som er udarbejdet i et samarbejde mellem myndigheder, ministerier og branchernes aktører, indeholder konkrete initiativer, der skal løfte sikkerhedsniveauet. Energiministeriet har f.eks. inddraget bl.a. Dansk Energi, Energinet og Dansk Fjernvarme i sektorstrategien på energiområdet.
Sårbarhedsmålinger og udrykningshold
Resultatet er 10 nye initiativer i energisektoren, heriblandt krav om systematiske målinger af, hvor modstandsdygtige energiselskaberne er over for cyberangreb. Med et andet tiltag skal der oprettes faelles udrykningshold, der som en it-sikkerhedstjeneste kan rykke ud og hjaelpe i tilfaelde af et angreb. Som tidligere afdaekket i en raekke artikler i Jyllands-Posten har bl.a. danske energiselskaber ved flere lejligheder ifølge FE vaeret udsat for målrettet cyberspionage som det, der i 2015 lammede store dele af energiforsyningen i Ukraine.
»Oprindeligt hackede man sig ind i f.eks. et energiselskab for at få fat i forretningshemmeligheder, men specielt russerne har løftet det op på et højere niveau, hvor formålet ikke er at få noget at vide, men derimod at forvolde skade. Det gør det saerligt farligt for os. Russerne hacker sig jo ikke ind i danske elvaerker for at finde ud af, hvordan man laver strøm. De hacker sig ind for, at de i en given situation vil kunne lamme elforsyningen. De kan laegge noget ondsindet software ind, som de så kan aktivere,« siger Claus Hjort Frederiksen.
Sidste år kom det også frem, at gamle hospitalsscannere, foraeldede it-systemer og andet udstyr i sundhedssektoren er sårbart over for hackere, der kan lamme sygehuse, som det tidligere er sket i udlandet.
»Dette handler i sidste ende om liv og død. Hvis vores sundhedsvaesen og sygehuse bliver ramt og lammet, som det skete i Storbritannien, er der livsvigtige operationer, som må aflyses og kritisk udstyr som scannere, der ikke virker,« siger Sophie Løhde.
Hun oplyser, at der i hver af de samfundskritiske sektorer nu også etableres nye, decentrale enheder, som udelukkende fokuserer på cyber- og informationssikkerhed. Både Digitaliseringsstyrelsen, Center for Cybersikkerhed og Politiets Efterretningstjeneste (PET) har hjulpet sektorerne i arbejdet med strategierne, og der er også oprettet en ny national styregruppe, der bl.a. skal koordinere arbejdet i de forskellige sektorer. Samtidig er der udarbejdet helt nye trusselsog sårbarhedsvurderinger i alle seks kritiske sektorer.
En af hovedårsagerne til, at Claus Hjort Frederiksen det seneste år igen og igen har talt dunder i medierne om cybertruslen fra ikke mindst Rusland, er, at han ønsker at haeve bevidstheden i hele samfundet om, hvor farlig situationen er.
»Der er brug for en kulturaendring. Vi er begyndt med de sektorer, som samfundet er mest afhaengige af. Hvis f.eks. dankortet eller folkepensionsudbetalingen lammes, vil det svaekke tilliden til vores demokratiske system, hvilket er netop det, som modstanderne gerne vil opnå. Det er derfor, at det har en høj prioritet,« siger Claus Hjort Frederiksen, der understreger, at ingen forventer, at russerne vil landsaette styrker eller bombe Danmark.
»Men muligheden for en krig på cyberområdet er meget naerliggende. Det er et skraemmende perspektiv. Det er ikke, fordi vi forestiller os, at Ørstedsvaerket bliver lammet i morgen, men det vil kunne ske i en given situation. Det samme kan man gøre i telesektoren, finanssektoren og de øvrige sektorer. Der er tale om angreb, som vil kunne undergrave vores egen befolknings tillid til, at vi kan beskytte den,« siger han.
Ifølge regeringen skal de seks sektorer selv betale for at føre de 68 nye tiltag ud i livet, og der vil blive fulgt systematisk op på, at strategierne bliver ført ud i livet, så den nye store satsning ikke bare ender som ambitiøse køreplaner i en skrivebordsskuffe.
»Den grundlaeggende svaghed i den første nationale cyberstrategi fra 2014 var, at der ikke var nogen systematisk opfølgning til at sikre, at man så også kom i mål med ambitionerne. Nu indfører vi et helt andet opfølgningsregime. Blandt andet er hver sektor forpligtet til som minimum at lave en årlig trussels- og sårbarhedsvurdering,« siger Sophie Løhde.
Der er ingen oplysninger i de seks sektorstrategier om, hvad det kommer til at koste at gennemføre de mange og ofte teknologitunge initiativer, indkøb af nyt it-udstyr, beredskabsøvelser og uddannelse af titusindvis af medarbejdere i it-sikkerhed. Faktisk er det noget uklart, hvem der i sidste ende skal betale for den omfangsrige oprustning, selv om regeringen siger, at sektorerne selv skal punge ud.
Strid om penge til at vaerne sygehuse
I strategien for sundhedssektoren er der f.eks. ved 8 af 17 nye tiltag indsat en diskret stjerne, der henviser til en fodnote om, at initiativerne kraever »saerskilt aftale om finansiering«. Det betyder, at der på nuvaerende tidspunkt ikke er fundet penge til at gennemføre over halvdelen af initiativerne.
Dermed er der allerede nu udsigt til et slagsmål mellem staten, regionerne og kommunerne om, hvem der skal betale regningen for at løfte sikkerheden på bl.a. hospitaler, apoteker eller hos familielaegen. Formanden for De Danske Regioner, Stephanie Lose (V), advarer om, at det i sidste ende Cyberangreb mod hospitaler eller energiselskaber kan koste menneskeliv, advarer forsvarsminister Claus Hjort Frederiksen (V) og innovationsminister Sophie Løhde (V), der mandag offentliggør seks nye strategier, der skal ruste sårbare sektorer mod angreb.