PROFESSOR ADVARER MOD LURENDE FARE MOD DEN DANSKE CYBERSIKKERHED
I værste fald kan et cyberangreb slukke for strømmen, lukke for vandet eller måske klippe forbindelsen til internettet. Måske rammer et angreb netbanken, så du ikke kan betale dine regninger. Eller også er det hele betalingssystemet, som går ned, og forbrugerne kan ikke betale for den mad, de har lagt i indkøbskurven.
Carsten Schürmann, professor på IT-Universitetet (ITU), Center for Information Security and Trust, understreger, at konsekvenserne af et omfattende angreb på vitale dele af den danske infrastruktur, vi alle tager for givet i hverdagen, kan være enorme og ramme hver enkelt af os. Og måske er det bare et spørgsmål om tid. ”Jeg er bange for, at fjendtlige aktører allerede har installeret bagdørene indtil de IT-systemer, som styrer den kritiske infrastruktur, men de har ikke aktiveret dem endnu, siger professoren på IT-Universitetet (ITU), Center for Information Security and Trust.
Han understreger, at han ikke har beviser for, at det er en realitet, men opfordrer til, at man får det undersøgt. Det er de mest indlysende angrebsmål, hvis Rusland, Kina eller en anden fremmed magt for alvor vil volde skade på en stat, som man opfatter som en fjende.
”Det gælder om at få sikkerhed for, at infrastrukturen ikke er kompromitteret. Man skal i hvert fald være bevidst om, at muligheden er til stede,” siger Carsten Schürmann.
Mens de større arbejdspladser som regel har styr på deres IT-sikkerhed, kan mindre virksomheder eller organisationer have sværere ved at opretholde det fornødne beredskab og få lukket evt. svagheder, som kan udnyttes til at skabe bagdøre, mener professoren.
”Jeg er bange for, at fjendtlige aktører allerede har installeret bagdørene indtil de IT-systemer, som styrer den kritiske infrastruktur, men de har ikke aktiveret dem endnu.”
Carsten Schürmann
Hvor længe kan huller leve?
Dog skal man holde sig for øje, at den slags svagheder i de vitale IT-systemer, der kan fungere som bagdøre, kun eksisterer så længe, at de ikke bliver identificeret. Lige så snart det sker, kommer der som regel hurtigt en patch, som lukker for hullet ind i systemet, påpeger professoren.
Og det er netop derfor, at Carsten Hvid Challet, Chief Security Officer i KMD, en af de største leverandører af IT-systemer til den danske offentlige sektor, ikke er tilbøjelig til at dele Carsten Schürmanns bange anelser.
”I gennemsnit går der omkring et halvt år, inden svagheder som disse bliver opdaget. Så hvis der er nogle, som har installeret bagdøre, der bare venter på at blive aktiveret, holder de som regel ikke længe,” siger han.
Carsten Hvid Challet gør en kort pause:
”Faktum er, at på seks måneder sker der utroligt meget i forhold til efterretninger om svagheder og forbedring af de forskellige redskaber til at modvirke den type bagdøre. Så skal man installere bagdøre, som skal ligge på lur i mere end seks måneder, skal man have fundet svagheder, der endnu ikke er blevet opdaget. Lige så snart de bliver brugt eller opdaget, bliver den viden delt på kryds og tværs. Selvfølgelig er det ikke umuligt, men vi er ovre i noget, som er ekstremt dyrt at udvikle. Der kan være undtagelser, specielt når vi taler statslige aktører, som har ressourcerne og tiden, men her vil man typisk introducere andre foranstaltninger såsom aktiv threat hunting.”
”Samtidig kan man sætte spørgsmålstegn ved strategien om at anvende den type ressourcer på noget, som man kun måske kan få brug for. Er det ikke nemmere at vente til, at man har brug for at angribe. Personligt køber jeg ikke helt den argumentation, siger KMD’s Chief Security Officer.
Har du glemt at låse din hoveddør?
I en eftersætning tilføjer han, at større virksomheder eller organisationer har typisk så store, og dermed komplekse, systemer, at der nok skal være svagheder at angribe, hvis det måtte blive nødvendigt.
”Hvis de endelig vil ind, er det ikke umuligt. I bund og grund ligner den slags angreb et almindeligt indbrud i IT-systemer. Måske anvender de phishing eller social engineering. Måske andre redskaber. Det er egentligt simpelt: Hvis man har glemt at låse sin hoveddør, går tyvene ind af den, eller et andet sted. De skal såmænd nok finde en eller anden svaghed. Så det at bruge tid og ressourcer på at installere egne bagdøre, der skal ligge længe, virker ikke sandsynligt, siger Carsten Hvid Challet.
Generelt mener han, at man bør skelne mellem de forskellige typer angreb. En form for cyberangreb er blevet anvendt som en form for terror vendt mod Ukraine, hvor russerne bl.a. har forsøgt at blokere eller hæmme modstandernes evne til at kommunikere elektronisk. Når det kommer til de såkaldte bagdøre, handler det derimod først og fremmest om spionage.
”Her gælder det om at være til stede i systemerne uden at blive opdaget. I den forbindelse går de efter forskellige mål, alt efter hvilket formål der er tale om,” siger Carsten Hvid Challet.
Han understreger, at man i KMD deler opfattelse omkring trusselsvurderingen med Center for Cybersikkerhed (CFCS). Her vurderer man ikke, at trusselsbilledet har ændret sig synderligt som følge af krigen i Ukraine, hvor Danmark sammen med de fleste NATO-lande vendte sig kraftigt mod det russiske angreb på Ukraine. Umiddelbart kunne det lyde som en tilforladelig tilgang til IT-sikkerhed, indtil Carsten Hvid Challet med henvisning til den seneste trusselsvurdering fra CFCS tilføjer, at truslen mod danske mål er høj.
”Ikke mindst truslen fra Rusland og Kina,” siger han.
”Hvis de endelig vil ind, er det ikke umuligt. I bund og grund ligner det et almindeligt indbrud. Hvis man har glemt at låse sin hoveddør, går tyvene ind af det. Ellers finder de en anden svaghed.”
Carsten Hvid Challet
Stilhed før stormen
Som et kuriosum nævner Carsten Hvid Challet, at normalt kunne man se en lang række angreb fra den side, men lige efter krigen brød ud i februar var der med KMD-mandens ord ”utroligt stille.”
”Altså som at der skete intet. Nu er vi tilbage i nogenlunde det samme trusselsbillede som før krigen. Jeg ved godt, at der var mange i medierne, som råbte højt om en storm mod Danmark, men det var altså ikke noget, vi kunne observere,” siger han. Carsten Hvid Challet tilføjer:
”Men vi i Danmark er heller ikke hovedmålet for den slags aktivitet, som følger den type krigsførelse. Her er der måske nogle andre områder, som er i fokus. Vi har set mange flere angreb mod f.eks. ukrainske mål. Også i Rusland er man nødt til at prioritere sine ressourcer.”
I den forbindelse bør man også i Danmark prioritere indsatsen, mener Carsten Schürmann. Særligt bør man arbejde for at styrke modstandsdygtigheden overfor cyberangreb i de mindre og mellemstore virksomheder. I denne del af erhvervslivet er der sjældent nok penge og tid til at afsætte en eller endda flere medarbejdere til at koncentrere sig om, at IT-sikkerheden er god nok.
”Man skal gøre sig klart, at truslerne mod Danmark og den danske infrastruktur, ikke kun handler om de store virksomheder eller det offentlige, siger Carsten Schürmann. Han henviser til, at angrebene ofte kan ramme mindre virksomheder, som måske er leverandører til større firmaer, der så kan blive ramt indirekte.
Russiske angreb på infrastruktur indtil nu
Ifølge Carsten Hvid Challet vil russiske angreb på Danmark sandsynligvis først og fremmest koncentrere sig om at indsamle informationer f.eks. i forhold til det danske NATO-medlemskab eller afsendelse af krigshjælp til Ukraine. Samtidig vil det også være oplagt at forsøge at ramme den kritiske offentlige infrastruktur som elforsyning eller vandforsyning. I den forbindelse skal man se begrebet mere bredt; også private virksomheder er en del af den infrastruktur, både almindelige borgere, erhvervslivet og det offentlige er dybt afhængigt af. Tag f.eks. internettet eller bankerne.
”Man så det f.eks. i angrebet på Viasat, hvor russerne gik efter at lukke satellitkommunikation ned, siger han.
Dette angreb skete den 24. februar, samtidig med at russerne angreb Ukraine. I maj udsendte den danske udenrigsminister Jeppe Kofoed en pressemeddelelse, hvor man entydigt pegede på Rusland som ansvarlig for angrebet på det amerikanske internet-satellit-firma Viasat.
”Dette angreb viser endnu engang Ruslands totale mangel på respekt for internationale regler og normer. Det viser tydeligt, hvorfor der er brug for at styrke det internationale samarbejde for at bekæmpe cybertruslen,” lød det fra den danske minister dengang.
Skal Carsten Hvid Challet give sit bud på, hvor godt Danmark klarer sig i forhold til andre lande, når det gælder om at beskytte sig mod bl.a. russiske cyberangreb, trækker han på smilebåndet:
”Det er lidt svært at vurdere. I bund og grund har vi kritisk infrastruktur og forskellige sektorer, som er beskyttet på forskelligt niveau. Lad os tage vandværkerne f.eks. Jeg tvivler ikke på, at de store vandværker har tilstrækkeligt med penge til at sikre sig godt, men så har du måske et mindre vandværk ude i provinsen, der har færre ressourcer til at hindre cyberangreb. Generelt kan det bedre svare sig at angribe den type mål.”
Hans pointe er, at det er vanskeligt at svare entydigt på, hvor godt danskerne er sikret mod cyberangreb. Men tager han en gennemsnitsbetragtning er Danmark godt med, men det er ikke det samme som, at de russiske angreb ikke kan trænge igennem og forøve skade. \
Skriv en kommentar
This site uses Akismet to reduce spam. Learn how your comment data is processed.