Hacking: Ulven er kommet - større og stærkere end før
Vores fjender er parate til at slå til i cyberspace mod både private og offentlige virksomheder. Hyppigere end før. Som mod Nationalbanken i går. Og hårdere end nogensinde. Danske bestyrelser og vores regering må se at vågne op.
Uanset hvor mange gange, det er blevet skåret ud i pap, ”er det som om, at danske virksomheder bare har trykket på snooze-knappen”, udtalte Mette Lundberg, direktør for politik og kommunikation i IT-Branchen, i september.
Desværre. For nu er vores fjender parate til at slå til. Hyppigere end før. Som mod Nationalbanken i går. Og hårdere end nogensinde. Som da hurtigfærgerne i oktober blev blændet. Slynglerne kan så let som ingenting lamme vores samfund og virksomheder, der stadig er skammeligt udsatte. Danske bestyrelser og vores regering må se at vågne op!
Anledningen til Mette Lundbergs hårde ord var Danmarks Statistiks seneste undersøgelse af danske virksomheders it-sikkerhedsplaner og -oplevelser. Opgørelsen viser med al ønskelig tydelighed, at der ikke ser sket ret meget de seneste år. Det eneste, der for alvor er vokset er andelen af virksomheder, som har oplevet it-sikkerhedsbrud: Det er fordoblet til 26 pct. i 2022. Alt andet ser ud til at ligge stille, eller endda falde.
Cirka halvdelen af virksomhederne har styr på det, resten har ikke. Selv noget så selvfølgeligt som at foretage test af it-sikkerheden, foretages kun halvdelen af virksomhederne.
Det offentlige sover også i timen
Den offentlige sektor er ikke meget bedre: Selvom Statsrevisorerne rettede en meget alvorlig kritik af it-beredskabet i de vigtigste offentlige it-systemer i november, er sagen stadig ikke afsluttet hos Rigsrevisionen, står der på deres hjemmeside. Vi må håbe, det bare er opdateringen, der mangler. Selvom det er der intet der tyder på: Sagen er heller ikke (endnu) på dagsordenen i det nye Udvalg for Digitalisering og It i Folketinget. Måske den nye formand for Statsrevisorerne, Troels Lund-Poulsen (V), kan ruske op i søvngængerne i centraladministrationen?
Selv store, professionelle kan have det svært
Indrømmet: Det er ikke let at holde dagens, store komplicerede systemer på benene. Det beviste TDC net endnu engang, da store dele af mobilsystemet var lammet i timevis 12. december. Alene fordi selskabet valgte at gennemføre en større opdatering i normal arbejdstid om dagen. Som presseansvarlig Jonas Sunn Torp skrev til mig:
”Vi opdaterer hele tiden vores systemer. Når det er sagt, er det nedbrud, vi oplevede i går (12/12-2022, red.), på ingen måde en acceptabel konsekvens af den gennemførte opdatering. Derfor gennemgår vi vores processer og procedurer, så vi sikrer os, at det ikke kan ske igen.”
Bedre sent end aldrig, kunne man have lyst til at tilføje.
Nu er de her – og har ingen hæmninger
En ting er, hvad vi kan ødelægge med egen indsats. Noget helt andet er, hvad landets fjender kan og vil gøre imod os: I weekenden afslørede Politiken, hvordan fremmede magter 3. oktober lammede GPS-signalet i en stor del af Kattegat og Storebælt. Som konsekvens kunne hurtigfærger og almindelige skibe ikke se, hvor de selv eller de andre skibe var, eller hvor de var på vej hen. Det kunne være gået helt galt.
Slynglerne har ingen hæmninger: I 2022 blev der rapporteret om 27 hændelser, hvor danske, svenske eller finske skibe oplevede, at deres navigationssystemer blev blændet. At ingen er kommet galt afsted endnu, er vist mere held end forstand. For krigene i Ukraine og Syrien har lært os, at Rusland er ligeglade med civile tab og skader.
Det går jo nok? Nej!
Gårsdagens angreb på Nationalbanken og andre finansielle virksomheder efterlod ikke den store skade. Men det var fordi, der alene var tale om såkaldt overbelastningsangreb (DDoS), hvor tusindvis af inficerede pc’er sender store mængder kunstig trafik mod de valgte systemer. Som så på et tidspunkt må holde op med at svare.
Center for Cybersikkerhed (CFCS) advarede allerede i december om, at disse angreb var på vej - igen
Mere alvorlige angreb kan forvolde stor skade. Typisk ved at de kriminelle sniger sig ind i systemerne og ødelægger eller stjæler det, de kan få fat i. De statsstøttede bøller arbejder endda sammen, så de kan sælge digitale indbrudsværktøjer til hinanden.
Eller som CFCS skrev i 2020: ”CFCS vurderer, at truslen fra cyberkriminalitet er MEGET HØJ. Truslen underbygges af cyberkriminelle, der samarbejder og udveksler tjenester indbyrdes under markedslignende vilkår kaldet Crime-as-a-Service.
Crime-as-a-Service gør det muligt for kriminelle mod betaling at anskaffe sig adgange, værktøjer og infrastruktur, som de bruger i cyberangreb, frem for at udvikle det selv.”
Eller sagt på en anden måde: Det, de ikke kan, kan de købe sig til.
Ansvar er vejen frem
I finansielle virksomheder har bestyrelsen et meget direkte ansvaret for it-sikkerhed: Det er en del af det lovgrundlag, som denne type virksomheder skal ledes efter. Se bilag 5 i bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.
Samme type ansvar kommer andre virksomheders bestyrelser også til at få, når det såkaldte NIS2-direktiv bliver implementeret i dansk lov.
Men vi behøver ikke at vente på denne slags tiltag: Det er på høje tid, at alle – medarbejdere, ledelse, bestyrelse . tager ansvar for egen it-sikkerhed. Det er helt nødvendigt for vores samfunds og vores virksomheders langsigtede trivsel. Og måske endda overlevelse. Helt bogstaveligt.