Dette er en kommentar: FINANS bringer løbende kommentarer fra specialister og meningsdannere. Alle kommentarer er udtryk for den pågældende skribents egen holdning.
Debat

SolarWinds-angrebene: Virksomheder bør dele ud af deres erfaringer med sikkerhedsbrud

Angrebene på Danmarks Nationalbank og flere danske energiselskaber viser, at behovet for et værn mod de såkaldte supply chain-angreb næppe kan undervurderes.

Carsten Schürmann, lektor, it-universitetet og Jari Kickbusch, forskningskommunikatør, it-universitetet.

Omfanget af SolarWinds-angrebet, som fandt sted i december 2020, vokser stadig og omfatter nu også nogle af hovedpulsårerne i det danske samfund; Nationalbanken og flere energiselskaber.

Angrebet gjorde det muligt for hackere at få adgang til mange af den store softwarevirksomhed SolarWinds kunder, som ifølge amerikanske medier inkluderer 425 ud af de 500 virksomheder på den amerikanske Fortune 500-liste, de 10 største amerikanske teleselskaber, alle grene af det amerikanske militær, Pentagon, amerikanske ministerier og tusindvis af internationale virksomheder, deriblandt flere danske.

Angrebet var et såkaldt Supply Chain-angreb, dvs. angreb, hvor hackere laver et virtuelt indbrud ved at angribe et led i virksomhedernes forsyningskæde.

Hos SolarWinds inficerede hackerne en opdatering af programmet, Orion (som bruges til netværksovervågning) med ondsindet software, og da opdateringen efterfølgende blev sendt ud til SolarWinds kunder, gav det hackerne mulighed for at få adgang til virksomhedernes it-systemer.

De fleste virksomheder er afhængige af eksterne it-leverandører og mange outsourcer hele eller dele af it-driften. Dermed bliver de afhængige af it-sikkerheden hos deres leverandører og samarbejdspartnere. Denne afhængighed gør virksomhederne sårbare, fordi de fleste virksomheder ikke har reel mulighed for at kontrollere og verificere sikkerheden hos deres leverandørers produkter, inden de tages i brug.

Det virker urealistisk, at vi efter årtier med stigende globalt samarbejde skal stoppe med at outsource og bruge eksterne software-leverandører, og derfor bør vi prioritere at udvikle metoder, hvormed vi kan dæmme op for Supply Chain-angreb.

I Danmark såvel som i resten af verden mangler vi imidlertid viden om, hvordan vi gør it-forsyningskæderne mere modstandsdygtige – og ikke mindst hvordan vi sikrer, at de softwarevirksomheder, som har garanteret sikkerheden i deres produkter, lever op til deres ansvar, og de kan stilles til ansvar for det.

Meget tyder på, at vi i Danmark ikke kender det fulde omfang af SolarWinds-angrebet, hvilket leder hen til endnu en it-sikkerhedsudfordring, som ikke kun handler om angreb på forsyningskæder: Når virksomheder bliver hacket, er de sjældent villige til at dele deres erfaringer med sikkerhedsbrud.

Men i forhold til at få gjort noget ved problemerne, er det altafgørende, at de folk, som arbejder med it-sikkerhed, får kendskab til disse konkrete eksempler. Dette er specielt vigtigt i forhold til Supply Chain-angreb, som alt tyder på, vil blive et voksende problem. Derfor afsluttes denne klumme med en opfordring til virksomhederne om mere åbenhed således, at f.eks. forskere kan udvikle metoder baseret på virkelighedsnære udfordringer.

Carsten Schürmann og Jari Kickbusch

Top job

Forsiden lige nu

Anbefalet til dig

Giv adgang til en ven

Hver måned kan du give adgang til 5 låste artikler.
Du har givet 0 ud af 0 låste artikler.

Giv artiklen via:

Modtageren kan frit læse artiklen uden at logge ind.

Du kan ikke give flere artikler

Næste kalendermåned kan du give adgang til 5 nye artikler.

Teknisk fejl

Artiklen kunne ikke gives videre grundet en teknisk fejl.

Ingen internetforbindelse

Artiklen kunne ikke gives videre grundet manglende internetforbindelse.

Denne funktion kræver Digital+

Med et Digital+ abonnement kan du give adgang til 5 låste artikler om måneden.

ALLEREDE ABONNENT?  LOG IND

Denne funktion kræver abonnement

Med et abonnement kan du lave din egen læseliste og læse artiklerne, når det passer dig.

Teknisk fejl

Artiklen kunne ikke tilføjes til læselisten, grundet en teknisk fejl.

Forsøg igen senere.

Del artiklen
Relevant for andre?
Del artiklen på sociale medier.

Du kan ikke logge ind

Vi har i øjeblikket problemer med vores loginsystem, men vi har sørget for, at du har adgang til alt vores indhold, imens vi arbejder på sagen. Forsøg at logge ind igen senere. Vi beklager ulejligheden.

Du kan ikke logge ud

Vi har i øjeblikket problemer med vores loginsystem, og derfor kan vi ikke logge dig ud. Forsøg igen senere. Vi beklager ulejligheden.