Truslen fra cyberkriminalitet og cyberspionage mod Danmark vurderes til at være meget høj. En ny national strategi stiller sikkerhedskrav til ministerområder, der har ansvar for samfundsvigtige funktioner eller samfundskritiske it-systemer. Dette medfører, at Miljøministeriet i en strategi sætter mål for arbejdet med cyber- og informationssikkerheden i vandsektoren.
Regner HansenVandsektoren varetager samfundsvigtige funktioner, og drikkevands- og spildevandsforsyninger skal derfor opruste for at beskytte sig mod cyberangreb.
Det er en af konsekvenserne af en strategi, som er lanceret af regeringen og gælder for perioden 2022-2024.
Strategien hviler på de årlige trusselsvurderinger fra Center for Cybersikkerhed under Forsvarets Efterretningstjeneste. I centrets vurdering her i 2022 hedder det, at truslen fra både cyberspionage og cyberkriminalitet mod Danmark er meget høj.
”Selv om vores vurdering af disse trusler er uændret meget høj, og vi således forventer, at Ruslands invasion af Ukraine tidligere i år kun i begrænset omfang påvirker trusselsbilledet, så fører invasionen til mere usikkerhed, og den synliggør, hvorfor det er vigtigt med god beskyttelse og et godt beredskab.”
Det siger Mark Fiedel, chef for cyberanalyse i Center for Cybersikkerhed.
Centret har ikke udarbejdet en specifik vurdering for vandsektoren, men Mark Fiedel siger, at den mest aktuelle trussel er cyberkriminalitet.
”Hackergrupper forsøger døgnet rundt at bryde ind i systemer, der er vendt ud mod internettet,” siger Mark Fiedel.
Den måske mest alvorlige trussel inden for kategorien cyberkriminalitet er såkaldte ransomware-angreb, hvor kriminelle, når de er kommet indenfor, krypterer et it-system og kræver en løsesum for at låse det op igen. En anden form for angreb er, når kriminelle, efter at have skaffet sig adgang, stjæler finansielle og personlige oplysninger med henblik på misbrug.
Mark Fiedel påpeger, at truslen er mere overhængende, hvis et administrativt it-system er forbundet med et operationelt it-system (et såkaldt OT-system), som tilmed leverer basale ydelser til borgere. Det kunne være it-systemet til at drive drikkevandsforsyning eller håndtere spildevand.
”Hvis kriminelle således kan nå frem til dér, hvor det ikke kun er et problem for virksomheden men for samfundet som sådan, står de stærkere med et afpresningsforsøg,” siger han.
Kalundborg Forsyning var i august i fjor mål for et stort ransomware-angreb og gik straks i gang med at beskytte den digitale adgang til anlæggene i samarbejde med Center for Cybersikkerhed og Politiets it-enhed.
Mark Fiedel siger, at også cyberspionage kan være en trussel, og det er, hvis et forsyningsselskab eller en virksomhed er førende inden for eksempelvis udviklingen af en ny teknologi, som fremmede stater ønsker at aflure.
Destruktive cyberangreb udgør generelt en lav trussel mod Danmark, mens cyberterror stort set ikke er nogen trussel, vurderer centret.
”Trusselsniveauer viser sandsynligheden for, at nogen forsøger sig med den type angreb. Men de siger ikke i sig selv noget om, hvorvidt angreb vil lykkes eller om konsekvenserne ved et succesfuldt angreb,” siger Mark Fiedel.
Den høje grad af digitalisering i Danmark og åbenhed i det danske samfund, sammenlignet med en række andre lande, medvirker til at øge sårbarheden, hvis ikke der træffes modforanstaltninger.
Læs også "NIS 2.0 vil styrke IT-sikkerheden i EU"
Netop modforanstaltninger er kernen i National strategi for cyber- og informationssikkerhed 2022-2024. Regeringens strategi betyder, at flere sektorer i samfundet berøres ud over de seks nuværende samfundskritiske sektorer: energi, sundhed, transport, tele, finans og søfart. Blandt de næste for tur er drikkevands- og spildevandsområdet, som Miljøministeriet har ansvaret for.
Strategien består af fire hovedpunkter: Robust beskyttelse af samfundsvigtige funktioner. Øget kompetenceniveau og ledelsesforankring. Styrkelse af det offentlig-private samarbejde. Aktiv deltagelse i den internationale kamp mod cybertrusler.
Det første og betydelige af 34 initiativer handler om styrket sikkerhed om samfundets vigtige funktioner. Heri hedder det, at ”ministerområder med ansvar for samfundsvigtige funktioner, der i væsentlig grad er it-understøttet, forpligtes til at udarbejde strategier for cyber- og informationssikkerheden samt oprette en decentral cyber- og informationssikkerhedsenhed (DCIS).
Miljøstyrelsen har, når det gælder vandsektoren, bedt konsulentfirmaet Deloitte om at udarbejde en foranalyse om strategi for cybersikkerhed i denne sektor.
Analysen giver en status på sektoren, udpeger mulige tiltag og beskriver konkret Miljøministeriets rolle i forhold til etableringen af en såkaldt DCIS-enhed.
”Der er meget fornuft i at afdække, hvordan trusler og sikkerhed er i den enkelte sektor, og hvor snitfladerne er i forhold til både offentlige myndigheder og private aktører, for der er meget stor forskel mellem sektorerne,” siger Mark Fiedel fra Center for Cybersikkerhed.
Deloitte konstaterer i foranalysen, at vandsektoren er præget af decentralisering og markante forskelle mellem de enkelte forsyningsselskaber, hvoraf de største er komplekse organisationer. Dette gør det svært at foretage en klar afgrænsning af forsyninger, der skal indgå i den kritiske infrastruktur på selskabsniveau.
Deloitte observerer, at det generelle niveau for cybersikkerhed i vandsektoren i øjeblikket synes at være over middel men falder relativt med selskabernes størrelse.
Den kritiske infrastruktur i vandsektoren består ifølge Deloitte af selskabernes OT-systemer, som direkte understøtter selskabernes produktion, distribution og afledning af vand og derved er knyttet til selskabernes boringer, brønde, ledningsnet, vandværker, kloaknet, pumpestationer og renseanlæg.
Deloitte har i samarbejde med Miljøstyrelsen og organisationer i sektoren identificeret og beskrevet en række tiltag, der eventuelt vil kunne indgå i en fremtidig strategi for cyber- og informationssikkerhed i vandsektoren. Tiltagene er ved at blive behandlet af Miljøstyrelsen, og der er ikke på nuværende tidspunkt taget stilling til, hvilke tiltag der skal gennemføres.
Deloittes analysearbejde skal danne grundlag for den kommende strategi for cyber- og informationssikkerhed i vandsektoren samt oprettelsen af en decentral cyber- og informationssikkerhedsenhed for vandsektoren i Miljøstyrelsen. Strategien vil blive udarbejdet inden udgangen af 2022, hvor enheden i Miljøstyrelsen også skal være oprettet. Enheden skal have en operativ kapacitet i dagtimerne, så enheden kan koordinere tværgående cyber- og informationssikkerhedshændelser og rapportere hændelser til Center for Cybersikkerhed.
Danva bruger cookies til at gøre hjemmesiden mere brugbar og give dig en bedre oplevelse samt til statistik. Du kan til- og fravælge cookies herunder og til enhver tid trække din accept tilbage ved at klikke på ‘ikonet’ i bunden af siden.
Læs mere i vores Cookiepolitik
DANVA er dataansvarlig, og vi sikrer, at dine persondata behandles i overensstemmelse med lovgivningen.
Du er velkommen til at rette henvendelse til os for at høre om person-databehandlingen, få indsigt i dine data, ajouføre din persondata – eller gøre brug af nogle af de øvrige rettigheder, du har, jf. den nye Data-beskyttelseslov.
Navn: DANVA
Adresse: Godthåbsvej 83, 8660 Skanderborg
CVR: 29031215
Telefonnr.: 7021 0055
Mail: persondatahenvendelse@danva.dk
Website: www.danva.dk/privatlivspolitik
Personoplysninger
Generelt
Personoplysninger er alle slags informationer, der i et eller andet omfang kan henføres til dig. Når du benytter vores website indsamler og behandler vi en række sådanne informationer. Det sker f.eks. hvis du tilmelder dig vores nyhedsbrev, deltager i konkurrencer eller undersøgelser, melder dig ind i foreningen, registrerer dig som bruger eller abonnent, foretager køb via websitet eller ved øvrig brug af services.
Gennemskuelig og fair databehandling
Når du stiller dine persondata til rådighed for os, vil det klart fremgå, til hvilke formål dine persondata vil blive anvendt.
Vi anvender denne type data om dig
Vi anvender data om dig for at:
De data, vi anvender, omfatter:
Formål og retsgrundlag for vores behandling af dine persondata
Formålet med vores behandling af dine personoplysninger er følgende:
Vi behandler kun dine oplysninger i det omfang, som det er nødvendigt for at opfylde de formål, hvortil oplysningerne er indsamlet. Vi skal oplyse dig om vores retsgrundlag for behandling af dine oplysninger, som er følgende: Behandling af oplysninger med henblik på opfyldelse af en aftale: Persondataforordningens artikel 6, stk. 1, litra b (behandlingen er nødvendig for DANVAs opfyldelse af en aftale, som eksempelvis kontraktligt medlemskab af DANVA).
DANVA kontrollerer og opdaterer dine persondata
Vi kontrollerer, at de persondata, vi behandler om dig, ikke er urigtige eller vildledende. Vi sørger også for at opdatere dine persondata løbende.
Da vores service og ydelser er afhængig af, at dine data er korrekte og opdaterede, beder vi dig oplyse os om relevante ændringer i dine data. Du kan benytte kontaktoplysningerne ovenfor til at meddele os dine ændringer.
Indhentning af samtykke
I nogle tilfælde skal DANVA have samtykke til at behandle dine persondata. Med mindre vi har et lovligt grundlag for at behandle dine persondata, vil vi indhente dit samtykke, inden vi behandler dine persondata. Vi oplyser dig om et sådant grundlag og om vores legitime grundlag for at behandle dine persondata.
Dit samtykke er frivilligt, og du kan til enhver tid trække det tilbage ved at henvende dig til os, hvilket fremgår af afsnittet ”Du har ret til at tilbagekalde dit samtykke”.
Opbevaring af data
Dine data opbevares kun så længe, det er nødvendigt af hensyn til at opfylde DANVAs forpligtelser over for dig som kunde/medlem og interessent, og/eller for opfyldelse af lovgivning, herunder særligt bogføringslovens regler om opbevaring af bogføringsmateriale i 5 år.
Vi sletter dine persondata, når de ikke længere er nødvendige i forhold til det formål, som var grunden til vores indsamling, behandling og opbevaring af dine data. Er dine data følsomme, jf. persondata-forordningens artikel 9, opbevares de så længe, at dette er relevant og nødvendigt.
Videregivelse af data
Vi videregiver kun dine personoplysninger til andre, såfremt vi er forpligtet hertil via lovgivning, eller til vores leverandører i det omfang, de skal levere en ydelse, som berører dig. Herudover videregiver vi dine personoplysninger til samarbejdspartnere/koncernselskaber, såfremt dette er muligt at gøre i overensstemmelse med de persondataretlige regler. Vi overlader også dine personoplysninger til vores databehandlere. Vi har indgået behørige databehandleraftaler med disse databehandlere.
Vi har følgende databehandlere, som er med til at sikre, vi kan levere vores produkter og service:
Sikkerhed
Dine persondata er beskyttet hos os, og vi har en intern data-beskyttelsespolitik.
DANVA har udarbejdet en lovpligtig, intern IT-sikkerhedspolitik. Den indeholder interne instrukser og beskriver de tekniske sikkerhedsforanstaltninger, som DANVA har truffet, og som beskytter dine persondata mod hændeligt eller ulovligt at blive tilintetgjort, gå tabt eller blive ændret, mod uautoriseret videregivelse, og mod at uvedkommende får adgang eller kendskab til disse oplysninger. DANVA har procedurer for tildeling af adgangsrettigheder, som indebærer, at alene de medarbejdere, for hvem det er nødvendigt for udførelse af deres arbejdsopgaver, har adgang til dine personoplysninger. Vi laver blandt andet løbende back-up af vores datasæt for at undgå datatab.
Skulle der ske et sikkerhedsbrud, der resulterer i høj risiko for dine rettigheder, herunder for diskrimination, ID-tyveri, økonomisk tab, tab af omdømme eller anden væsentlig ulempe, vil DANVA underrette dig om sikkerhedsbruddet så hurtigt som muligt i det omfang, som er krævet i persondataforordningens artikel 34.
Overførsel til tredjeland
Vi videregiver persondata til rejsebureauer og hoteller ved bestilling af rejser og overnatninger i udlandet i forbindelse med DANVAs aktiviteter. I disse tilfælde beder vi om dit samtykke.
Du har ret til at få adgang til dine persondata
Du har ret til at få indsigt i de persondata, DANVA behandler om dig.
Du har ret til at få unøjagtige persondata rettet eller slettet
Hvis du mener, at de persondata, vi behandler om dig, er unøjagtige, har du ret til at få rettet dine persondata.
Du har ret til at gøre indsigelse mod vores behandling af dine persondata
Er din indsigelse berettiget, vil DANVA stoppe med at behandle persondata om dig.
Du har ret til at få begrænset vores behandling af dine persondata
Du har ret til at tilbagekalde dit samtykke
Du har ret til at trække dit samtykke til DANVAs behandling af dine personoplysninger tilbage, såfremt DANVA baserer hele eller dele af sin behandling på samtykke.
Du har ret til dataportabilitet i visse situationer
Hvis vores behandling af dine personoplysninger baserer sig på samtykke eller en kontrakt, og vores behandling er foretaget automatisk, har du ret til dataportabilitet.
Vi behandler og svarer på din henvendelse så hurtigt som muligt og senest en måned efter, at vi har modtaget din henvendelse, medmindre anmodningens kompleksitet og omfang gør, at vi ikke kan svare inden for en måned. I så fald kan svarfristen blive op til 3 måneder i alt, jf. persondataforordningens artikel 12.
Hvis du vil høre mere eller gøre brug af dine rettigheder, er du velkommen til at kontakte DANVAs persondataansvarlige.
Navn: Peter Mortensen, DANVA
Adresse: Godthåbsvej 83, 8660 Skanderborg
CVR: 29031215
Telefonnr.: 7021 0055
Mail: persondatahenvendelse@danva.dk
Du har ret til at klage til Datatilsynet
Du har ret til at klage til Datatilsynet over DANVAs behandling af dine personoplysninger.
Datatilsynets kontaktoplysninger er følgende:
Adresse: Borgergade 28, 5., 1300 København
E-mail: dt@datatilsynet.dk
Telefon: + 45 33 19 32 00
Hjemmeside: www.datatilsynet.dk
Cookies
Websitet anvender ”cookies”, der er en tekstfil, som gemmes på din computer, mobil el. tilsvarende med det formål at genkende den, huske indstillinger, udføre statistik og målrette annoncer. Der er ingen personlige oplysninger gemt i vores cookies, og de kan ikke indeholde skadelig kode som f.eks. virus.
Det er muligt at slette eller blokere for cookies. Se vejledning: http://minecookies.org/cookiehandtering
Hvis du sletter eller blokerer cookies, vil annoncer kunne blive mindre relevante for dig og optræde hyppigere. Du kan desuden risikere, at websitet ikke fungerer optimalt, samt at der er indhold, du ikke kan få adgang til.
Websitet indeholder cookies fra tredjeparter til at måle trafikken på websitet. Google Analytics har adgang til de pågældende cookies. Du kan fravælge cookies fra Google Analytics her: http://tools.google.com/dlpage/gaoptout.
Vi bruger følgende typer cookies på Danva.dk:
Navn: _ga
Beskrivelse: Registrerer et unikt ID, der anvendes til at føre statistik over hvordan den besøgende bruger hjemmesiden.
Levetid: 2 år.
Udbyder: Google Analytics.
Navn: _gat
Beskrivelse: Anvendes af Google Analytics til at drosle hastigheden på antallet af forespørgsler til serveren.
Levetid: 1 minut.
Udbyder: Google Analytics.
Navn: _gid
Beskrivelse: Registrerer et unikt ID, der anvendes til at føre statistik over hvordan den besøgende bruger hjemmesiden.
Levetid: 24 timer.
Udbyder: Google Analytics.
Navn: ecit_cookieconsent
Beskrivelse: Anvendes til styring af cookieadvarsel.
Levetid: 1 år.
Udbyder: Danva.
Navn: __RequestVerificationToken
Beskrivelse: En del af sikkerhedssystemet til at forebygge svindel og hackerangreb.
Levetid: Udløber med Session (ca. 20 minutter).
Udbyder: Microsoft.
Privatlivspolitikken er senest opdateret den 31. maj 2018