Opinion

Hvem har ansvaret for it-sikkerheden?

Smartcity-teknologierne kan gøre vores byer mere behagelige og billigere at leve i, men teknologierne er også oplagte mål for terrorangreb.

 

Forestil dig, at strømmen forsvinder i en by. Eller at massive mængder trafikuheld opstår, fordi alle lyssignaler hele tiden lyser grønt. Eller at hele kvarterer bliver ubeboelige, fordi kloakvand løber op i stedet for ud. Alt sammen ulykker, der er blevet mere sandsynlige, i takt med at vi tager de nye smartcity-teknologier til os. Alligevel er der ingen, som har – eller tager – det samlede nationale eller lokale ansvar for at sikre os mod den slags ulykker.

Smartcity-teknologierne kan gøre vores byer mere behagelige og billigere at leve i, fordi de digitale muligheder benyttes til at gøre trafikafvikling, el- og varme- og vandforsyning samt kloakering meget mere målrettet det lokale og aktuelle behov.

Der er ikke tale om nye teknologier, blot at de centrale styringssystemer bliver forbundet med en hel række lokale sensorer, typisk ved hjælp af mekanismer, som vi kender fra tingenes internet. Danmark er med helt fremme i udviklingen, og vi topper Europa-Parlamentets nye liste over udbredelsen af smartcity-teknologier.

Men med de nye teknologianvendelser følger også nye it-sikkerhedsproblemer: Hackere kan fremover lamme vores fysiske infrastrukturer, hvis de vil. Et problem, vi er er nødt til at tage alvorligt.

Det såkaldte sektoransvarlighedsprincip betyder, at ansvaret for it-sikkerheden i smartcity-løsninger er fordelt på mange parter: De enkelte ministerier har ansvaret på deres område. I kommunerne er det de enkelte forvaltninger, og de enkelte private forsyningsvirksomheder, der hver især skal sørge for, at sikkerheden inden for netop deres område er i orden.

Lektor fra Aarhus Universitet og koordinator af det danske smart city-netværk Martin Brynskov kalder det decentrale it-sikkerhedsansvar for »en af de største udfordringer vi står over for« inden for smartcities.

Teknologierne skal vi nok få styr på, mener han. Det er alt det andet, som eksempelvis it-sikkerheden, der kan få det hele til at gå helt galt.

Partner Patrick Driscoll fra konsulentfirmaet Smart City Catalyst deler Martin Brynskovs bekymring. For mange beslutningstagere er efter hans vurdering forblændede af teknologien og stoler på, at it-leverandørerne løser sikkerhedsproblemerne. Det gør de måske også, men it-sikkerheden skal løses i en lang række leverandørers forskellige systemer. Og selv det mindste hul kan udnyttes af hackere til at smutte videre.

I USA har Department of Homeland Security igangsat et grundig analyse, der forsøger at beskrive, hvad der kan gå galt i smartcities, og hvad der kan gøres ved det. De foreløbige konklusioner grupperer problemerne i tre kategorier:

For det første flytter grænserne mellem de fysiske og de digitale systemer sig, i takt med at mere og mere bliver forbundet til internettet. Det kan åbne op for angreb fra hackere, men lige så vigtigt kan fejl hurtigere forplante sig fra et system til et andet. Samtidig er nogle af de systemer, der i dag direkte eller indirekte forbindes til internettet, slet ikke forberedt på dette og kan derfor være særligt sårbare.

For det andet vil udbredelsen af de digitale løsninger ske i forskellig takt og med forskellige teknologier. Dette gør det sværere at beskytte det samlede system.

For det tredje medfører smartcity-udviklingen øget automatisering, som kan forstærke ulykkerne, når de endelig sker. Fordi der er ingen eller få mennesker involveret, som med deres sunde fornuft kan begrænse skaderne fra et it-system, der er gået amok.

I Danmark er ingen begyndt på en lignende analyse. Jeg har også til gode at tale med en kommune, der har udpeget en ansvarlig for den samlede it-sikkerhed i smartcityløsningerne i deres område.

Det betyder ikke, at sikkerheden sejler – alle steder. Det betyder heller ikke, at der allerede har været dokumenterede eksempler på nedbrud eller anden malfunktion i den danske fysiske infrastruktur forårsaget af hackere.

Men vi ved, at sikkerheden har sejlet nogle steder, eksempelvis hos Energinet.dk, som har ansvaret for energiens ”motorveje”. Det viste DR Nyheders afsløringer i november.

Vi ved også, at fremtidens hackere er statsstøttede aktører, som udfører spionage eller politiske aktivister, der har nem adgang til effektive værktøjer på internettet til eksempelvis at udføre overbelastningsangreb, som Forsvarets Efterretningstjeneste skrev i sin seneste risikovurdering.

Derfor er både myndigheder og kommuner nødt til at gribe bolden og sikre, at den samlede sikkerhed i smartcityløsningerne er tilstrækkelig. I første omgang ved at udpege en ansvarlig for eksempelvis et byområde. Derefter skal vedkommende sikre, at der gennemføres samlede risikoanalyser, og at de relevante sikkerhedsforanstaltninger gennemføres. Lige så vigtigt skal der sættes ind med vidensdeling og samarbejde på tværs af myndigheds- og virksomhedsskel. Og endelig skal der oprettes en beredskabsenhed, som kan reagere hensigtsmæssigt, den dag cyberangrebet kommer.

For følger smartcity-løsningerne udviklingen fra alle andre it-systemer, er det ikke et spørgsmål om hackerangreb kommer. Det er et spørgsmål om hvornår. Derfor er det på høje tid at nogen tager det samlede ansvar på sig. For når mange skal dele et ansvar, risikerer man let, at ingen at tager det.

Følg serien: 10 idéer, der kan ændre Danmark
Læs om 10 visionære iværksættere og deres idéer. I denne uge dækker FINANS fødevarebranchen, hvor vi ser på fordel og ulemper i forhold til de en af de idéer, som forsøger at bygge verdens med avancerede fødevareprinter.
Læs serien her
BRANCHENYT
Læs også