Cyberangreb sætter Danmarks digitale omstilling under pres

En tilfældig søndag i maj kunne man som togrejsende pludseligt ikke købe en billet. Årsag: Et cyberangreb havde lagt DSB’s IT-systemer ned, så det i timevis var umuligt at købe billetter: Automater, hjemmeside, app og billetter via 7-Eleven-kiosker var ramt. Og DSB er ikke den eneste højtprofilerede organisation, som har oplevet alvorlige cyberangreb. Det samme gælder Maersk, Statsministeriet og Dansk Supermarked – plus mange andre, som vi bare ikke hører om i pressen.

Angrebene er ikke bare til stor skade for de involverede, som i nogle tilfælde har mistet milliardbeløb og i andre fået slettet vigtige data. Cyberangreb har langt mere vidtrækkende konsekvenser. De udgør en barriere for den digitale omstilling af de danske virksomheder, og de kan svække borgernes tillid til det digitale Danmark, som blandt andre ATV arbejder ihærdigt på at bygge op.

En ny undersøgelse fra ATV indikerer, at alvorlige cyberangreb er hyppigt forekommende. I den årlige medlemsundersøgelse, Vidensbarometeret, svarer hver tiende af respondenterne, at deres arbejdsplads har været udsat for et cyberangreb, som er blevet meldt til relevante myndigheder. Dette tal omfatter alene de angreb, der er alvorlige nok til at blive anmeldt – det samlede antal er markant højere. 

Undersøgelsen er gennemført blandt Danmarks førende teknologiledere, der har leder- eller topforskerstillinger i de teknologibaserede virksomheder og forskningsmiljøer. Og den undervurderer formentlig problemet, fordi nogle af de adspurgte enten ikke har kendskab til cyberangrebene eller måske ikke har ønsket at udtale sig om spørgsmålet.

De fleste er opmærksomme, men angrebene fortsætter

Ser man nærmere på tallene, er det bemærkelsesværdigt, at næsten alle de adspurgtes ansættelsessteder har en strategi, procedurer eller retningslinjer for IT-sikkerhed. Der er altså stor opmærksomhed om fænomenet, men angrebene fortsætter alligevel.

Tendensen bekræftes af Center for Cybersikkerheds årsberetning, der udkom for få uger siden. Her slås det fast, at ”Danmark står fortsat over for en meget høj cybertrussel, særligt fra fremmede stater. Nogle stater forsøger vedholdende at udføre cyberspionage mod danske myndigheder og virksomheder for at stjæle informationer, der er af strategisk, politiske eller økonomisk betydning.”

Videre skriver Center for Cybersikkerhed, at truslen også omfatter angreb med andre formål end spionage, for eksempel hacking, læk af følsomme oplysninger og ”destruktive cyberangreb”. Centeret er en af de danske myndigheder, der overvåger og modtager rapporter om cyberangreb.

ATV’s Vidensbarometer-undersøgelse giver en indikation af typen af angreb. Phishing (f.eks. falske mails og hjemmesider) er ikke overraskende den mest udbredte metode, men bemærkelsesværdigt mange har været udsat for avancerede angrebstyper som malware (ondsindet software). På de næste pladser kommer Ransomware (bruges til at afpresse ejeren af den inficerede enhed til at betale løsepenge for at få adgang til egne data igen), hacking (indbrud i IT-systemer) og DDoS-angreb (hvor hjemmesider sættes ud af drift ved at sende meget store mængder datatrafik mod dem).

Center for Cybersikkerhed nævner i sin årsberetning to særligt alvorlige angreb inden for det seneste år: ”WannaCry”, som krypterede filer og krævede løsesum for at dekryptere dem igen, og ”NotPetya”, der bredte sig fra Ukraine til en række virksomheder over hele verden, blandt andet Maersk, og hvor der også blev afpresset for at få dekrypteret filerne. De, der betalte løsesummen, fik i øvrigt ikke filerne låst op alligevel.

Digitaliseringen sættes under pres

Den digitale infrastruktur gør vores liv lettere og giver helt nye muligheder. Men cyberangrebene viser også, hvor sårbare det danske samfund bliver som følge af digitaliseringen. Cyberangrebene er ikke alene en trussel mod de virksomheder, der er i skudlinjen. De er også med til at sætte den digitale omstilling af samfund og virksomheder under pres.

Omstillingen er i fuld gang – hvilket stod krystalklart ved adskillige ATV-aktiviteter de senere år, blandt andet på to møder om ”fremtidens digitale virksomhed” og i notatet Danmark som digital vækstregion. Og blandt respondenterne i medlemsundersøgelsen Vidensbarometeret svarer hele 55 procent, at deres organisation anvender Big Data.

Data og IT-systemer har selvfølgelig i mange år været kritisk vigtige for virksomheder og forskningsmiljøer, men med den digitale udvikling er de kommet til at udgøre selve hjerte-kar-systemet i samfundet. Befolkningens tillid til virksomheder, forskningsinstitutioner og myndigheder hænger i høj grad sammen med ansvarlig brug og beskyttelse af data. Derfor er det helt afgørende at få skabt sikre og robuste systemer. Ellers vil digitaliseringsprocessen gå i stå.

Billede

Foto

Tom Jersø

Formanden for ATV’s Digitale Vismandsråd, Alexandra Instituttets direktør Ole Lehrmann Madsen, nævner cybersikkerhed som den formentlig største trussel mod digitaliseringen.

”Sikkerhed er på sin vis det vigtigste område at arbejde med, for uden en meget høj sikkerhedsstandard har folk ikke tillid til de digitale løsninger. Derfor er det vigtigt at styrke de danske forsknings- og innovationsmiljøer inden for cybersikkerhed. Miljøerne er stærke, men relativt små, og der uddannes for få kandidater inden for dette felt. Så på det felt skal gøres noget for, at vi kan vinde kampen mod hackerne,” lyder det fra Ole Lehrmann Madsen.

”Tag nu sådan noget som Internet of Things. IoT-løsninger er geniale, og det er fremtidens produkter. Men hvis sikkerheden er dårlig, er det et problem for brugeren og for virksomheden bag. I dag kan du nede i butikken reelt ikke se på pakken, hvordan sikkerheden er på et produkt. Hvis den er svag, kan produktet måske være det svage led i organisationens IT-sikkerhedsstruktur. Og ikke alle medarbejdere er jo lige sikkerhedsbevidste, så længe noget bare virker smart,” siger Ole Lehrmann Madsen i telefonen fra Aarhus.

En stærkere sikkerhedskultur er påkrævet

Men når virksomheder, myndigheder og forskningsmiljøer allerede er opmærksomme på cybertruslen, hvad skal der så til for at skærpe sikkerheden yderligere? Svaret er ikke entydigt, men meget peger i retning af et behov for en stærkere sikkerhedskultur. Eller sagt på en anden måde: Den menneskelige faktor.

Som det beskrives i Danmark som digital vækstregion: ”IT-sikkerhed handler ikke kun om den tekniske sikkerhed i form af hardware og software, men også om at skabe en sikkerhedskultur blandt medarbejderne.”

I medlemsundersøgelsen Vidensbarometer 2018 er Phishing den type angreb, flest er blevet ramt af. Phishing er forsøg på via e-mails eller falske hjemmesider at narre folk til at give deres adgangskoder eller andre fortrolige oplysninger. Tidligere var disse forsøg ret klodsede og åbenlyse, men tendensen går i retning af mere og mere professionelle angreb med e-mails, der til forveksling ligner ægte henvendelser fra troværdige organisationer.

IT-sikkerhed handler ikke kun om den tekniske sikkerhed i form af hardware og software, men også om at skabe en sikkerhedskultur blandt medarbejderne

Dermed bliver selv sikkerhedsbevidste organisationer mere udsat for uvedkommende besøg i deres IT-systemer, fordi det kun kræver en enkelt medarbejders uopmærksomhed at blive ramt.

En relativt stor del af respondenterne i Vidensbarometer 2018 har enten sprunget spørgsmålene om cybersikkerhed over eller svaret ”ved ikke”. Det kunne godt antyde, at ikke alle organisationer er lige åbne om cyberangreb, men en del af løsningen kunne være en større grad af åbenhed og videndeling. Dermed kan man også støbe fundamentet til en kultur, hvor en mistanke om hacker- eller virusangreb omgående bliver rapporteret, inden det udvikler sig til en større cybertrussel.