Cybersikkerhed er en hastesag
Truslen om cyberangreb mod Danmark er alarmerende høj. Der er brug for en bred alliance for at opbygge et staerkt beredskab på alle niveauer.
Antallet af hackerangreb mod virksomheder og offentlige myndigheder i Danmark er vokset kraftigt gennem det seneste år. Den nuvaerende geopolitiske situation betyder, at der saerligt fra russisk side er markant øget aktivitet på cyberfronten for at ramme mål i Danmark, som har leveret militaer bistand til Ukraine for mere end 4 mia. kr.
Det er på dette bagtaeppe, at Center for Cybersikkerhed (CFCS) i februar skruede op for sin vurdering af trusselsniveauet mod Danmark – saerligt når det gaelder cyberaktivisme fra prorussiske hackergrupper. Men selv uden krig i Europa er faren for cyberkriminalitet og ødelaeggende hackerangreb høj. Ikke mindst fordi vi er et af de mest digitaliserede lande i verden, hvilket øger sårbarheden i både den vitale infrastruktur og i de mange små og mellemstore danske virksomheder.
Senest har vi vaeret vidner til en raekke DDoS-angreb, som midlertidigt forhindrede adgangen til hjemmesider hos blandt andet banker og ministerier. Denne type overbelastningsangreb er ikke saerlig svaere at udføre – og selv om de virker forstyrrende og er meget synlige, mens de står på, så er de i praksis relativt harmløse.
Mere alvorlige er de ransomware-angreb, hvor gerningsmaendene stjaeler og krypterer data og kraever løsesum for at frigive dem.
Et ransomware-angreb er langt mere sofistikeret end DDoS og har blandt andet haft store økonomiske konsekvenser for virksomheder som Demant, Vestas og 7-Eleven.
Endelig er der de fjendtlige cyberangreb, hvor statslige aktører eller grupper med tilknytning til en statslig efterretningstjeneste står bag angreb på vitale samfundsfunktioner i andre lande.
Denne type af angreb har i høj grad ramt Ukraine, og selvom der har vaeret mindre aktivitet mod andre lande end frygtet, er der god grund til at indstille sig på, at også vi kan vaere mål for denne type af angreb. Når først hackerne har fundet en indgang, bruger de typisk uger eller måneder på at snuse rundt i it-systemerne, inden de slår til. Så medmindre man har sit cyberforsvar på plads, kan man vaere under angreb uden at vide det.
De forskellige typer af angreb udgør en konstant påmindelse om, at der er nogen, der vil os det ondt, og at vi er nødt til at sikre os bedre mod cyberangreb, som potentielt kan have ødelaeggende konsekvenser – isaer hvis det rammer samfundets kritiske infrastruktur, som blandt andet omfatter vores sygehuse, energiforsyning og kommunikation.
I dag er det muligt at købe et hackerangreb på internettet, og det behøver ikke engang at vaere saerlig dyrt, ligesom der er indikationer på, at hackere kan udnytte kunstig intelligens til at skrive ondsindet kode eller meget trovaerdige phishingmails på alverdens sprog. Derfor behøver man ikke at have nogen saerlige it-kundskaber for at udføre et angreb.
Med alt det i baghovedet kan det godt give panderynker, at Danmark er placeret helt nede på en 32.-plads på det seneste Global Cybersecurity Index.
Rynkerne bliver dybere, når man i regeringens nationale strategi for cybersikkerhed for 2022-2024 kan laese, at 46 pct. af de samfundskritiske it-systemer i staten er i utilstraekkelig tilstand, mens 40 pct. af de små og mellemstore virksomheder har et utilstraekkeligt sikkerhedsniveau.
Helt urovaekkende bliver det med den staerkt kritiske undersøgelse fra Rigsrevisionen, som fastslår, at it-beredskabet for 13 udvalgte samfundskritiske systemer er så utilfredsstillende, at man af hensyn til statens sikkerhed er nødt til at hemmeligholde, hvilke systemer der er tale om. Den overordnede konklusionen er, at det er usikkert, om en raekke samfundskritiske opgaver fortsat kan løses, hvis der skulle ske et større it-nedbrud, hackerangreb, datatab eller fysiske skader.
Det er alvorligt, og skarpt sat op er det ikke laengere et spørgsmål om, hvorvidt man bliver ramt af et hackerangreb, men snarere hvornår. Derfor haster det med at få bragt myndigheder og virksomheder hen til det punkt, hvor de har en dokumenteret plan for, hvordan de reagerer i tilfaelde af et cyberangreb.
Af samme grund bør investering i cybersikkerhed stå højt på prioriteringslisten, når Folketingets partier i den kommende tid skal udmønte et nyt forsvarsforlig med de mange ekstra milliarder, der skal bringe Danmark taettere på Nato-målet om at bruge 2 pct. af bnp på Forsvaret. Det handler ikke kun om at skabe flere pladser på it-uddannelserne og om at styrke forskningen i cybersikkerhed med flere ph.d.pladser. Der er masser af andre knapper, som vi med fordel kan skrue på.
Her og nu er der brug for obligatoriske cybersikkerhedskurser til alle ledere, bestyrelsesmedlemmer og nøglemedarbejdere, som er beskaeftiget med den kritiske infrastruktur i den offentlige sektor, så de er helt skarpe på blandt andet risikovurdering og beredskabsplaner.
Samme krav kan man passende stille til alle leverandører til den offentlige sektor. Desuden bør der skabes en økonomisk ramme for, at man som arbejdsplads kan sende medarbejdere på laengerevarende efteruddannelser i cybersikkerhed.
På den korte bane er D-maerket et fremragende redskab, der inden for tre måneder kan bidrage til vaesentlig bedre it-sikkerhed i virksomheder og offentlige myndigheder. D-maerket bygger på en selvevaluering af den grundlaeggende it-sikkerhed og munder ud i en kontrolleret certificering. Samtidig skaber det opmaerksomhed om itsikkerheden blandt alle medarbejdere på de arbejdspladser, der får D-maerket.
Cybersikkerhed skal ikke laengere vaere noget, man skal bede om eller spørge efter, når man bestiller en it-løsning. Det skal vaere en forudsaetning, når det gaelder offentlige indkøb. Hvis den offentlige sektor begynder at stille obligatoriske krav til softwareudviklere og it-arkitekter om cybersikkerhed og gør D-maerket til en central del af i sine udbud, vil det for alvor saette skub på udviklingen. Det er vigtigt at indse, at vi simpelthen har vaeret for lemfaeldige med de systemer og it-produkter, der bruges i det offentlige. Der skal ryddes op, og der skal stilles skaerpede krav fremover.
Ekspert i cybersikkerhed for IDA, professor i cybersikkerhed, AAU
Skarpt sat op er det ikke laengere et spørgsmål om, hvorvidt man bliver ramt af et hackerangreb, men snarere hvornår.
Når det gaelder den brede befolkning, har vi brug for en storstilet kampagneindsats med målsaetning om høj viden om god cyberhygiejne, herunder korrekt brug af password og tofaktorgodkendelse.
En sådan kampagne bør også adressere risici ved internetopkoblede produkter som for eksempel smart-tv, spilkonsoller, fjernstyret lys og varme samt app-styrede installationer som tyverialarmer og musikanlaeg. Det skal klaede befolkningen på til at traeffe de rigtige foranstaltninger, når man køber og bruger disse produkter.
Sidst, men ikke mindst, bør kampagneindsatsen adressere basalt cyberforsvar i forhold til blandt andet phishing og fupopkald.
I horisonten venter implementeringen af EU’s nye NIS-2-direktiv om cybersikkerhed, som skal vaere på plads i løbet af 2024. Målet er at løfte cybersikkerheden markant for den kritiske infrastruktur, herunder energi, transport, sundhed og drikkevand. Også her er der brug for politisk handling for at få alle danske virksomheder med ombord.
Cybersikkerhed kraever store investeringer. Men vi skal i gang nu, og hver en krone investeret i cybersikkerhed vil tjene landets interesser i de kommende mange år. Mit håb er, at vi med en ny digitaliseringsminister og med et historisk dyrt forsvarsforlig lige om hjørnet vil se politisk handlekraft på en raekke initiativer, der kan styrke vores samfunds cyberforsvar markant både på kort og lang sigt.