Opinion
Mine nyheder

Vi har ikke publiceret nogle artikler for nyligt i de emner, du følger. Søg efter andre emner her.

Du har ingen overvågninger endnu

Klik på ikonet for at overvåge
emner og journalister.

Sikkerhed er for vigtig til at overlade til familien

Vores samfund kan blive lammet af fejl og uheld i it-systemer. Alligevel tager vi ikke it-sikkerheden alvorligt nok.

Kaos kan beskrives med få ord, men prøv at forestille dig effekten af følgende scenarie:

”Strømforsyning, varmeforsyning, vandforsyning, internet, mobilnet m.v. kan derigennem blive påvirket af cyberhændelser”. Sætningen står i Beredskabsstyrelsens nyligt udgivne ”Nationalt Risikobillede 2017”, hvor Cyberhændelser har fået sit eget kapitel på linje med blandt andet orkaner, oversvømmelser, nukleare ulykker, terrorhandlinger og andre ulykkelige situationer, der kræver resolut handling fra beredskabet.

Men er det ikke helt utænkeligt, at vitale dele af vores samfund lammes på grund af skader i it-systemer? Desværre ikke. Alligevel er der ikke meget, som tyder på, at vi er begyndt at tage it-sikkerheden mere alvorligt.

De fleste kan huske YouSee-nedbruddet, som afskar mere end en million danske husstande fra at se dronningens nytårstale. Dette kan – trods den massive omtale – ikke kaldes en national katastrofe. Men det er en tydelig påmindelse om, at selv de bedst beskyttede systemer kan rammes. Hvis man ved nok om det, der skal ødelægges. Israels succes med at sabotere centrifuger i Irans atomprogram har før vist, at hvis der er en vilje, så er der en vej.

Trusselsvurderingsenheden ved Center for Cybersikkerhed vurderer, at risikoen for egentlig cyberterrorisme er lav. Men konsekvenserne er voldsomme, hvis det endelig sker. Samtidig behøver ulykkerne ikke at skyldes bevidste, skadelige anslag. Mere sandsynligt er det, at menneskelige fejl på den ene eller anden måde sætter it-systemerne ud af funktion.

Beredskabsstyrelsens plan er grum læsning, hvis man frygter konsekvenserne af it-nedbrud. Eksempelvis:

”… kan hændelser, som rammer elevatorernes styringssystemer, umuliggøre transport af patienter til operationsstuerne”.

Eller hvad med

”Et nedbrud af en alarmcentral forårsaget af enten systemfejl eller cyberangreb ville indskrænke beredskabets handlingsmuligheder betydeligt, især hvis flere alarmcentraler rammes samtidigt”.

Inden YouSee-hændelsen ville mange have sagt, at den slags hændelser aldrig sker i virkelighedens verden. Men it-sikkerhedsfolk ved, at man aldrig skal sige aldrig. Dette overser for mange stadig.

I sidste uge udkom Danmarks Statistiks seneste opgørelser af danske virksomheders brug af it.

Som vanligt var der også et særligt kapitel om it-sikkerhed.

Tre fjerdedele af virksomhederne har de grundlæggende sikkerhedstiltag på plads som opdatering af antivirus, firewall og backup.

Men modsat: En fjerdedel har ikke engang dette på plads. Og fire af ti virksomheder har ikke retningslinjer vedrørende it-sikkerhed til medarbejderne, mens seks af ti virksomheder ikke har stillet krav til deres leverandører angående it-sikkerhed. Jo mindre virksomheden er, jo værre er situationen.

It-sikkerhedsproblemer kan ellers komme fra en uventet kant og dukke op alle steder, selv i børneværelset. Det mindede DKCERT os om, da de den 17. januar advarede om, at legetøjsure af mærket ”SpyNet”, som BR Legetøj og Toys’r’us stadig solgte, da denne klumme blev skrevet, indeholder skadelig software, som kan inficere pc’er, der stadig kører med Windows XP.

Ingen digital dims er for lille til at kunne udgøre en trussel.

Derfor er det vigtigt, at de, der har ansvaret for it-sikkerheden i danske virksomheder og organisationer, virkelig har erfaring og stamina.

Stamina til at stå imod, når vedkommende i it-sikkerhedens navn er nødt til at skære igennem med upopulære beslutninger. For det er nødvendigt, når selv de mindst sandsynlige hændelser skal undgås.

Derfor kan det kun undre, at en 25-årig forholdsvis nyuddannet kvinde uden it-sikkerhedserfaring eller -kompetencer blev ansat som it-sikkerhedschef i energi-giganten SE i februar 2016. Særligt opsigtsvækkende er Berlingskes afsløring af, at hun er datter af topchef i SE Niels Duedahl.

Vicedirektør i SE Gert Vinter Jørgensen udtaler til avisen:

»Det er meget imod vores vilje at udtale os om enkeltpersoners ansættelsesforhold. Men der sidder et rigtigt godt hoved på Niels’ datter, og det er netop på trods af hendes navn, at vi har ansat hende.«

Når man tænker på de mulige konsekvenser af en it-sikkerhedshændelse på SE, må man håbe, de helt har tænkt konsekvenserne af deres utraditionelle rekruttering helt igennem. Undertegnede tvivler. Desværre.

På den måde er SE en kedelig illustration af, at danske virksomheder stadigt ikke tager it-sikkerhed alvorligt nok.

BRANCHENYT
Læs også