Brist i cybersikkerheden truer vores kritiske infrastruktur
Cybertruslen mod danske energivirksomheder er alvorlig og bliver fortsat mere kompleks. Det er derfor vigtigere end nogensinde, at virksomheder, der arbejder med Danmarks kritiske infrastruktur, har kompetencerne og beredskabet til at håndtere situationen, når cyberangrebet rammer.
Dette er et debatindlæg: Finans bringer løbende indlæg fra specialister og meningsdannere. De er alle udtryk for den pågældende skribents egen holdning.
De danske energivirksomheder er ikke godt nok rustede til at modstå cyberangreb, hverken når det kommer til beredskabsplaner eller kompetencer. Det viser en helt ny rapport fra konsulentvirksomheden Rambøll Management Consulting og Dansk IT. Og det kan få fatale konsekvenser i en sektor, der arbejder med Danmarks kritiske infrastruktur og således spiller en afgørende rolle for, at vores samfund fungerer.
Det er en sårbarhed, vi ikke har råd til at ignorere, da det i yderste konsekvens kan medføre, at vi står uden el- og varmeforsyning, hvilket også kunne have været konsekvensen af det samtidige angreb i maj på 22 selskaber, der driver dele af den danske energiinfrastruktur. Og så kommer vi for alvor ud, hvor vi ikke kan bunde.
Der er altså ingen undskyldning, hvis cybersikkerheden sejler – redskaberne findes, de skal bare udrulles bredere for vores alles skyld.Jens Heiede og Henriette Brandstrup
Danmark er et gennemdigitaliseret land i en verden med et konstant skiftende trusselsbillede, hvor ingen kan vide sig sikre, hvilket stiller nye og væsentligt øgede krav til cybersikkerheden. Sikkerhedstiltagene skal reelt modsvare truslerne, og derfor er det vigtigere end nogensinde, at vi kigger bredere end ren it-sikkerhed og fokuserer på løsninger, der adresserer hele organisationen – fra teknik til adfærd – herunder klare processer og løbende uddannelse og træning af medarbejdere. For der findes ikke én enkelt foranstaltning, som alene vil reducere risikoen for cyberangreb.
Det er også derfor, at statslige myndigheder skal efterleve den internationale anerkendte standard ISO/IEC 27001, der fastsætter bedste praksis for styring af informationssikkerhed og organisering af sikkerhedsarbejdet. På samme måde findes der standarder, der henvender sig direkte til energisektoren samt ikke mindst standarder, der fokuserer på OT-sikkerheden, dvs. cybersikkerheden i den operationelle teknologi, som f.eks. kontrolcenteret på et kraftvarmeværk eller de computerprogrammer, som elselskaber bruger til at overvåge deres elnet.
Standarderne hjælper med at sætte rammer for informationssikkerheds- og risikostyringsprocessen fra start til slut, identificere passende foranstaltninger og implementere de procedurer, interne processer og organisationsstrukturer, der skal til for at håndtere cyberangreb – og dermed i sidste ende opretholde – eller genoprette – samfundsvigtige funktioner.
Risikoen for cyberangreb forsvinder ikke med brug af standarderne, men det sikrer, at man er på forkant med sikkerhedsarbejdet og har kompetencerne og beredskabsplanerne til at håndtere situationen, når angrebet rammer.
Der er altså ingen undskyldning, hvis cybersikkerheden sejler – redskaberne findes, de skal bare udrulles bredere for vores alles skyld og anvendes af alle aktører, der arbejder med kritisk infrastruktur. Ellers kan følgerne blive fatale.
