Hackere kan lukke Danmark ned: »Man har taget et gammelt system og tapet noget sikkerhed ovenpå«

Forsvarets Efterretningstjeneste har meldt ud, at en kampklar dansk hackerstyrke vil stå klar inden for det næste år. Men eksperter advarer om, at vores egen IT-sikkerhed ikke kan klare at blive et aktivt mål i cyberkrigen.

Ifølge eksperter skal der kun et vellykket hackerangeb til på den danske energisektor for at mørklægge store dele af landet. Fold sammen
Læs mere
Foto: Linda Kastrup

I 2018 er ingen lande i sikkerhed for cyberkrigen. Heller ikke Danmark. Kemikalier i vandhanen, fastfrysning af livsnødvendige dokumenter på sygehuse, mørklægning af landet og sammenbrud af internettet er den type skrækscenarier, der kan holde en sikkerhedsrådgiver som Jesper Lund Hedegaard vågen om natten.

»Det er ikke »bare« forretningshemmeligheder, penge eller data. Det er en trussel, der kan ramme os på vores levemåde og i yderste konsekvens koste menneskeliv.«

Jesper Lund Hedegaards ord hænger lidt i luften i det lyse mødelokale på 11. sal i IT-sikkerhedsvirksomheden Accenture Security. Hvordan ville hverdagen i Danmark se ud, hvis vi blev ramt på selve vores infrastruktur?

Problemet er, at vores energisektor, vandforsyning, telenetværk, finans-, sundheds- og transportsektor ikke er bygget med tanke på, at det også skulle være modstandsdygtigt for hackeres cyberangreb.

»Som det ser ud nu, så har man taget et gammeldags system og tapet noget sikkerhed ovenpå,« siger Jesper Lund Hedegaard.

Fra mødelokalets vinduer kan man se ud over det meste af Vestamager. Man kan se metroen, der uden strøm ikke kører forbi hvert fjerde minut, og man kan se Fields med sine høje ruder, der ville ligge hen i mørke. Folk på gaden ville ikke kunne orientere sig på mobilens GPS eller kommunikere med partneren om, hvem der henter ungerne og handler ind.

I begyndelsen af oktober gjorde formand for Folketinget Forsvarsudvalg Naser Khader (K) det klart, at Danmark ikke skal gå stille med dørene, når vi opdager hackerangreb mod landets IT-systemer og infrastruktur.

»Vi skal hacke dem, som hacker os,« sagde han til DR Nyheder.

Cybertruslen rykker tættere på, når vi provokerer den

Selv om der ikke var den store opbakning til Naser Khaders forslag, kunne Jyllands-Posten i sidste uge bringe nyheden om, at inden for det næste år vil en ny cyberenhed med IT-eksperter og hackere under Forsvarets Efterretningstjeneste (FE) stå klar til at angribe fremmede staters IT-systemer.

Men det er ikke uden risiko, hvis Danmark bliver en aktiv angriber i cyberkrigen. Danmark vil blive angrebet mere målrettet af hackere, når vi begynder at angribe andre stater aktivt. Det mener forsker i cybersikkerhed ved Aalborg Universitet Jens Myrup Pedersen ikke, at Danmark er rustet til at modstå:

»Med de ressourcer inden for cybersikkerhed, som Danmark har i øjeblikket, så ville jeg være tilbageholdende med for alvor at angribe andre lande.«

I cyberkrigen går ingen fri, og det kan være den civile befolkning, der bliver gidsel. Det er sket flere gange, at ondsindede hackere har rettet kanonen mod en stat eller by og gennem digitale systemer har formået at lamme den civile befolkning.

Danmark uden drikkevand?

I 2016 infiltrerede hackere et vandværks kontrolsystem i et unavngivet distrikt i USA og ændrede niveauerne af kemikalier, der blev brugt til at behandle drikkevandet. Angrebet fik heldigvis ikke store konsekvenser for områdets civilbefolkning, men en trusselsvurdering konkluderede, at sikkerheden var i fare. Cyberangrebet blev dokumenteret i en rapport fra IT-sikkerhedsvirksomheden Verizon Security Solutions.

Til Jyllands-Posten sagde formand for IT-Branchens it-sikkerhedsudvalg Christian Wernberg-Tougaard: »Jeg kan på et splitsekund udtænke et scenarium, hvor hele vores kloakinfrastruktur bliver smadret i løbet af få minutter.« Fold sammen
Læs mere
Foto: Nikolai Linares.

Også herhjemme kan situationen blive uhyggelig virkelig. I juni i år kunne man i Jyllands-Posten læse om vandværkernes bekymring for regeringens nye strategi på sikkerhedsområdet, der ikke vurderer, at en særskilt sikkerhedsstrategi for vandforsyningen er nødvendig som udgangspunkt.

De IT-løsninger, som vores vandværker og anden infrastruktur er bundet op på i dag, er ikke holdbare. For det er let for hackerne at finde vej gennem de digitale lappeløsninger.

»Jeg ved, at en større omstrukturering kan blive en ret uoverstigelig omkostning at foretage, men det ville være en god idé at dele de eksisterende netværk mere op, så man ikke kan lægge hele netværket ned ved at hacke en enkelt vindmølle,« siger Jesper Lund Hedegaard.

»Jeg synes kun, at vi skal give den fuld gas på at få bygget nogle sikkerhedsventiler på vores infrastruktur, så den kan tåle at blive hacket, uden at det vælter hele Danmark,« lyder Jesper Lund Hedegaards opfordring til politikerne. Fold sammen
Læs mere
Foto: Micon.

Netop fordi den interne struktur i Danmarks i så stort omfang er digitalt forbundet, er det ekstra vigtigt, at alle dele af samfundet – offentlige instanser og private virksomheder – finder en overordnet fælles sikkerhedsstrategi. Altså det modsatte af, hvad Finansministeriets strategi for cyber- og informationssikkerhed fra maj 2018 lægger op til nu, mener Jesper Lund Hedegaard.

Som det ser ud nu, er ansvaret for at sikre cybersikkerheden fordelt ud på fem forskellige ministerier, der i slutningen af 2018 skal komme op med hver deres delstrategi. Regeringen har sat 1,5 milliarder kroner af til området og suppleret planen med en strategi for IT-styring, der strækker sig frem mod 2021.

Jesper Lund Hedegaards bekymringer for Danmarks modstandsdygtighed over for ondsindede hackere bakkes op af forsker i cybersikkerhed Jens Myrup Pedersen. Han vurderer, at det først er de seneste år, at vi er begyndt at tage cybertruslen alvorlig i Danmark.

»Cybersikkerhed handler om, at éns tekniske systemer er så sikre som muligt, at man får uddannet brugerne, så de ikke klikker på links og åbner filer. Og at man ikke lukker folk ind steder, hvor de ikke skal lukkes ind. Der er rigtigt mange aspekter af cybersikkerhed, og det er rigtig vigtigt, at man har dem alle sammen med.«

Ryger strømmen, ryger resten

I maj 2017 tog hackere en række hospitaler i England som gidsel ved at fryse vigtige filer, som gerningsmændene krævede en løsesum for at give adgang til igen. NHS, som er navnet på Storbritanniens sundhedssystem, blev forbillede for det offentlige sundhedsvæsen i Danmark og det meste af Europa.

De fem ministerier, der skal have en sikkerhedsstrategi klar til slutningen af 2018, er Energi-, Forsynings- og Klimaministeriet, Sundheds- og Ældreministeriet, Transport-, Bygnings- og Boligministeriet, Forsvarsministeriet og Erhvervsministeriet. Fold sammen
Læs mere
Foto: Morten Germund.

Og Ukraine oplevede i vinteren 2015 et cyberangreb fra russiske hackere, der mørklagde byen Kiev. Over 200.000 mennesker stod uden elektricitet i tre timer. December er den tid på året, hvor temperaturen i en by som Kiev ligger ofte under frysepunktet.

Denne type angreb har ét eneste formål: At give fremmede stater sved på panden gennem en simpel magtdemonstration. For truslen om et fatalt angreb kan også være nok i sig selv til at holde en nation i skak.

»En ting er at lægge et system ned. En anden ting er truslen om det. Det i sig selv er jo også rigtigt ubehageligt. Det er særligt kritisk, hvis den, der bliver truet, ikke ved, om truslen er reel og ikke har overblik over, hvilke systemer eller data angriberne har eller har haft adgang til,« siger Jens Myrup Pedersen.

Analysefirmaet Rapid7, der har udgivet en rapport over de 50 mest hacker-udsatte lande i 2018, placerer Danmark på en 34. plads. Det betyder, at Danmark er rykket syv pladser i den uheldige retning siden 2016, da rapporten første gang udkom.

Berlingske har på en e-mail fået svar fra minister for offentlig innovation Sophie Løhde (V) om spørgsmålet om vores infrastruktur.

Hvor kritisk mener du, at vores IT-sikkerhed i vores infrastruktur er?

»Det er helt afgørende, at der er styr på IT-sikkerheden, når vi er så digitaliseret et land, hvor den primære indgang til den offentlige sektor er internettet. Det er vi fuldt ud bevidste om i regeringen,« siger innovationsminister Sophie Løhde og fortsætter: »Når det er sagt, så kan vi ikke gardere os 100 procent mod cyberangreb, uanset hvad vi stiller op. Men vi er meget opmærksomme på, at IT-sikkerheden følger med udviklingen.«

Den nationale strategi for cyber- og informationssikkerhed, der er lavet i samarbejde med Forsvarsministeriet, erkender også, at »hvad der i første omgang kan virke som en isoleret og relativt lille sikkerhedshændelse  hurtigt kan sprede sig på tværs af myndigheder, virksomheder og sektorer«.