It-sikkerheden halter hos op mod halvdelen af danske vandforsyninger og renovationsselskaber. Det kan give problemer med hackerangreb og gøre det svært for virksomhederne at leve op til nyt EU-direktiv.
Jacob Lomholt og Juliane Nielsen
På en computerskærm på vandværket i byen Oldsmar i Florida ser en medarbejder sin mus bevæge sig rundt på skærmen, uden at medarbejderen selv gør noget. Senere på dagen sker det samme igen, men denne gang klikker musen sig ind i det program, som styrer koncentrationen af forskellige kemikalier i vandet. Koncentration af kaustisk soda, en base, som man normalt finder i afløbsrens, ændrer sig med et par klik, så den bliver mere end 110 gange højere end det normale niveau. Vandværket ændrer med det samme værdien tilbage, og intet af det basiske vand når ud af vandhanen hos forbrugerne. Det fortælle det amerikanske it-magasin Wired om angrebet mod vandværket i Florida.
Angrebet på forsyningen i Florida viser, hvad risikoen kan være for vandforsyninger, hvis ubudne gæster trænger ind i it-systemerne. I foråret var den danske forsyningssektor også udsat for et hackerangreb, og forsker i cybersikkerhed, Jens Myrup, spår, at det kommer til at ske igen. De danske vandværker kan især være udsatte, de mange ikke har tilstrækkeligt styr på it-sikkerheden. Især risikoanalysen af it-systemerne halter, og den er helt essentiel for at gardere sig mod hackerangreb. Nyt direktiv fra EU, skal højne sikkerheden blandt medlemslandenes samfundsvigtige virksomheder. De danske vandforsyninger og renovationsselskaber vil få svært ved at leve op til kravene i direktivet, som træder i kraft næste år, når sikkerheden ser ud, som den gør nu.
Basen for it-sikkerhed mangler hos mange
Tal fra Danmarks Statistik viser, at 50 procent ikke bruger tests af it-sikkerhed og 45 procent bruger ikke risikoanalyse.
Særligt risikoanalysen er vigtig for it-sikkerheden, da den både fungerer som en kortlægning af, hvilke enheder, der er i virksomheden, hvilke risici der kan være i de forskellige systemer og til slut en vurdering af sandsynligheden for, at de bliver angrebet.
Når man tester it-sikkerheden, tester man for, om der er sårbarheder i systemet, som kan udnyttes af hackere. Den høje andel, der ikke tester deres it-sikkerhed, kan ifølge Jens Myrup også være et udtryk for, at der er andre ting, der ikke er på plads, når det kommer til sikkerheden.
“Hvis ikke man opdaterer sine systemer løbende, giver det ikke nogen mening at teste, fordi så finder man bare en masse huller. Det er risikovurderingen, der er fundamentet for alt andet, man gør. Hvis ikke man laver en risikovurdering, kommer man til at bruge penge på de forkerte ting eller man får ikke sikret det, der er allervigtigst.”
Mere digitalisering og større risiko
Danmark tager igen førstepladsen på FN’s liste over mest digitaliserede lande. Men digitaliseringen giver også flere angrebsflader for hackere. For eksempel er maskineriet på fabrikker i dag koblet op på it-systemerne. Konkret betyder det, at hackere kan få adgang til vandpumpen på spildevandsanlægget, ventilationsanlægget eller kontrolcenteret på et kraftvarmeværk.
“Vi er meget afhængige af, at vores digitale systemer fungerer, for at vi kan passe vores arbejde, for at vores banker fungerer, for at vores energisektor fungerer, for at vores transportsektor fungerer. Der er ikke nogen steder, hvor vi ikke er afhængige af it-systemer. Men det betyder også, at vi bliver mere sårbare overfor angreb, og det skal vi håndtere.” siger Jens Myrup, forsker i cybersikkerhed.
I foråret angreb ukendte hackere den danske forsyningssektor. Angrebet kunne have betydet, at vand, strøm og varme til 100.000 husstande blev lukket. Ifølge Jens Myrup kan vi godt forvente at noget lignende sker igen, og derfor er det vigtigt, at virksomhederne forholder sig til truslen.
De seneste år har der været en stor stigning i anmeldelser af hackerangreb. Dog kan anmeldelserne også skyldes øget fokus på angreb.
Manglende forståelse i bestyrelserne
Hackerangreb kan både have betydning for virksomheders omdømme, men også deres økonomi. Ofte krypterer hackere data og forlanger penge for at give virksomheden adgang til sit eget data igen i de såkaldte ransomware-angreb, og det kan koste virksomheden titusindvis af kroner. Alligevel beskæftiger mange ledelser sig kun i begrænset omfang med it-sikkerhed.
Tal fra Danmarks Statistik viser, at 75 procent af bestyrelser og topledelser kun i nogen grad tager stilling til virksomhedens it-sikkerhed. Forståelsen for vigtigheden skal komme oppefra, hvis man spørger Jens Myrup.
“Så længe det ikke er tydeligt for beslutningstagere og virksomhedsledere og dem, der sidder i de øverste myndigheder, hvorfor det her er vigtigt, så tror jeg, at det bliver svært at få det prioriteret. Det, der får virksomhederne til at tage det seriøst, er, hvis de bliver ramt af et angreb. Men det kan jo ikke passe, at der skal lig på bordet, før man gør noget”, siger Jens Myrup.
Lars Hermind, som er direktør for den danske filial af sikkerhedsfirmaet Armis, kan genkende billedet af, at man ikke tager sikkerheden seriøst nok. Han har arbejdet i it-branchen i 30 år og har derfor et indgående kendskab til problematikkerne inden for it-sikkerhed.
“Jeg bliver igen og igen forbløffet over, hvor lidt man har sat IT-sikkerhed ind på bestyrelsesniveau.” siger Lars Hermind.
Hos Danske Vandværker forsøger man at øge opmærksomheden blandt medlemmerne omkring it-sikkerheden. Dog er der stadig mange vandværker og renovationsselskaber, som ikke foretager de mest basale sikkerhedsmæssige tiltag.
“Som forening skriver vi om det og kommunikerer om det. Man begynder også at forstå alvoren. Men der er jo ingen tvivl om, at det er bestyrelsen og ledelsen af vandværket, der har ansvaret for at sikre, at man får efterset de her ting.”, siger Susan Münster, direktør for brancheorganisationen Danske Vandværker.
Brancheorganisationer anerkender, at det bliver svært at nå mål i nyt direktiv
Til oktober næste år træder et nyt EU-direktiv om cybersikkerhed i kraft. NIS 2-direktivet afløser det gamle direktiv og kommer til at omfatte flere brancher. Her vil vandforsyningen også være omfattet, men det er endnu uvist om de mindste vandværker vil være omfattet. Diretkivet kommer til at stille skærpede krav til dokumentation om it-sikkerheden og risikoanalyse. Selvom de små firmaer ikke nødvendigvis er omfattet, kan der stadig være en risiko.
“Selvom man er et lille selskab, hvis det lykkes nogen at få blandet vandet på en uheldig måde eller gøre noget, så det vand, der bliver lukket ud, er sundhedsskadeligt eller utilgængeligt. Så er det jo også et stort problem.” siger Jens Myrup.
Som sikkerheden ser ud nu, bliver det svært at nå, fortæller Lars Hermind fra Armis. Cirkulær og Danske Vandværker giver ret i, at det bliver svært at nå. Danske vandværker peger på, at der altid vil være et efterslæb, men at de regner med, at nå at få deres medlemmer klar.
“Det er jo nok sikkert, at der vil være nogen, der lige kommer til at hænge lidt i slipstrømmen af det her. Dem, der bliver omfattet, skal nok komme ombord. Det er bare et spørgsmål om tid. Om de lige er på plads til skæringsdatoen, det kan man jo gætte på, men så kommer de i hvert fald ombord på et eller andet tidspunkt derefter inden for overskuelig tid.”
Tallene fra Danmarks Statistik omfatter ikke kun vandforsyning men også renovationsbranchen. Niels Toftegaard, kommunikationschef ved brancheforeningen Cirkulær, glæder sig til at det nye direktiv træder i kraft og tror på, at det bliver et skub i den rigtige retning. Spørger man ham, om han synes sikkerheden er god nok nu, er svaret klart.
“Nej, det, det synes jeg ikke, og det kan man mene mange ting om, men jeg vil vælge at se på det positive, så sige, det er faktisk et bærende element i det her direktiv, netop, at man skal lave den der risikoanalyse.”
Det skærpede krav om risikoanalyse skal sikre, at virksomhederne har et tilstrækkeligt beredskab, så de er klar, hvis der sker et angreb, som man så det i Florida, eller i forsyningssektoren i foråret.
<script async src="//jsfiddle.net/juliane1702/m7Lcoutv/14/embed/"></script>