Cybertruslen bliver kun større i fremtiden
Vandsektoren kan sikre sig et godt stykke ad vejen mod cybertrusler, men det kræver, at selskaberne hele tiden er på vagt. Vi har talt med Morten Bro fra Center for Cybersikkerhed, der for nylig har udsendt en ny rapport om trusselsniveauet mod vandsektoren.
Jesper WithDanmark er i høj grad udsat for cybertrusler.
En afgørende årsag er, at vi er et af de mest digitaliserede lande i verden. Det giver en stor angrebsflade, som er nemmere at angribe.
Vandsektoren er ikke den mest truede del af den kritiske infrastruktur, men der er gode grunde til at bekymre sig. For selv om det måske ikke er her, kriminelle grupperinger kan hente de største økonomiske gevinster, er sektoren alligevel interessant for dem.
”Vandsektoren skal bekymre sig mest om de cyberkriminelle. Hvis det er forholdsvis nemt at komme ind i forsyningsselskabers datasystemer, så vil nogen gøre det, alene fordi det er nemt. Og de kan måske opnå en pæn økonomisk gevinst via afpresning for en mindre indsats, end der hvor sikkerheden er i top,” siger Morten Bro, der har bidraget til rapporten om vandsektoren.
Et mindre forsyningsselskab – eller bare et vandværk – har måske ikke penge at gå efter for hackerne. Men det gør ikke, at man kan føle sig sikker. De kriminelle tænker måske anderledes, påpeger han. Selskabet kan fx bruges til afpresning, hvis de forsyner en by eller et hospital. Hackerne kan trække data ud, der kan misbruges og fx kan kundedata sælges videre.
Selv om man ikke har personfølsomme oplysninger, kan man alligevel udnyttes, hvis det er nemt for hackerne at komme ind i systemerne.
Læs det nye DANSKVAND med temaet "Beredskab" her
Kriminelle virksomheder
”I mange tilfælde er de kriminelle organiseret som virksomheder med en ledelse, salgsafdeling og HR, der arbejder sammen. Deres fælles forretningsområde er ransomware, hvor én gruppe udvikler angrebsværktøjerne og stiller dem til rådighed for mindre aktører, der køber adgang og gennemfører angrebene. Hvis en løsesum bliver betalt, tager udviklerne en del af beløbet som kommission.” siger Morten Bro.
Han henviser til eksempler fra Ukraine, hvor kriminelle grupper blev optrevlet i forbindelse med Ruslands angreb på landet, fordi nogle i en gruppe var ukrainere, mens andre var russere. De var meget professionelle og det hele var sat i system. De skaffede store beløb ved at afpresse virksomheder, som de hackede sig ind i. I andre tilfælde misbrugte de selskaber til at angribe videre mod mere interessante ofre.
Uanset hvilken type angreb et selskab udsættes for, kræver det samme IT-forsvar.
Store forsyningsselskaber har egne IT-afdelinger og har stort fokus på sikkerhed. De er udsat for samme trusselsniveau som alle andre, men de er ofte bedre stillet end mindre selskaber, der måske har IT- forsvar på et lavere niveau, uden ansatte der specifikt arbejder med det.
Hvordan ser fremtiden ud?
Truslen fra cyberkriminelle vil blive stadig større. Og med den brede udbredelse af AI bliver angrebene mere udspekulerede og raffinerede. Hvis AI arbejder for hackerne, vil det teknisk hjælpe dem i deres angreb.
”Fx er det blevet sværere at gennemskue, om en mail er forsøg på phishing eller ej. Der kan komme en mail til en medarbejder fra chefen eller fra IT-afdelingen i egen virksomhed, om at man skal ændre passwordet. Det er så op til medarbejderen at vurdere, om mailen er ægte.
AI gør det nærmest umuligt at se, om det er en phishing mail eller ej. Derfor anbefaler vi, at man indberetter mistænkelige mails ved den
mindste tvivl, også selv om det betyder 10 forkerte henvendelser i træk.
"På det her punkt må man ikke være bange for at belaste kollegerne,” siger Morten Bro.
Hvis angrebet kommer fra fx en statsaktør, der vil ind og skade din virksomhed, så har de brugt lang tid på først at lære dig og virksomheden at kende ved at læse hjemmesider, Facebook osv. Danske tekster på hjemmesiden er ingen udfordring i dag, for AI hjælper hackeren med at få det oversat korrekt lynhurtigt.
”Men AI er ikke kun dårligt for vandbranchen. Det kan også hjælpe virksomheder med mange ting - herunder cyberforsvar. AI kan
spotte mønstre i ting, som ikke er i orden, selv om medarbejdere umiddelbart ikke selv kan se det. Så AI løfter både forsvar og angreb,” siger Morten Bro.
Mørketal
Han vurderer, at der er et mørketal i branchen for antallet af angreb mod sektoren. Men med implementeringen af NIS2 (Net- og Informationssikkerhedsdirektivet) bliver alle i højere grad tvunget til at indrapportere angreb til myndighederne, uanset om de er lykkedes eller ej.
”Det er vigtigt at have et præcist overblik over omfanget og typen af cyberangreb, så virksomhederne i sektorerne bedst muligt kan forberede sig og tilpasse deres beredskab.” siger Morten Bro.
Han påpeger, at angribere kan gemme sig i netværk i længere tid før et angreb, og nogle organisationer opdager måske aldrig, at de er
kompromitteret. Hackeren kan bruge virksomhedens netværk som springbræt til at angribe andre virksomheder, hvilket gør det sværere
at forsvare sig – især når angrebene ser ud til at komme fra danske selskaber eller venligtsindede nabolande. Man kan således uforvarende blive en del af et angrebsnetværk uden at vide det.
”Vi har kendskab til flere cyberaktivist-angreb, hvor virksomheder angribes af andre virksomheder, der selv er blevet angrebet – i stedet for at angrebet kommer direkte fra de kriminelle selv. Så et vandselskab kan blive del af et angreb, fordi nogen allerede har været inde hos dem, uden at de har opdaget det.
Derfor er det afgørende at få sit cyberforsvar op på højest mulige niveau. Også selv om det koster nogle penge. I det lange løb kan det blive meget dyrere,” siger Morten Bro.
Han vurderer, at multiforsyninger lever med en større risiko end andre vandforsyninger, fordi de dækker over flere områder og på den måde er mere attraktive. Det kan være i form af et destruktivt angreb fra en statsaktør, eller kriminelle der hjælper en stat. Det kan også være cyberkriminelle, der går efter penge, og som ser, at de har større chance for at ramme et eller andet, fordi de kan angribe på flere fronter.
NIS2 vil styrke indrapportering
Morten Bro vurderer, at implementeringen af EU-lovgivningen NIS2 vil styrke indberetningen, fordi den stiller krav til bestyrelser og direktører om at indberette.
Der bliver bl.a. stillet krav om, at virksomheder i løbet af 24-72 timer skal underrette myndighederne om eventuelle it-sikkerhedshændelser.
”NIS2 gør ledelsens ansvar meget mere tydeligt. Det vil give et andet fokus på cybersikkerhed, for du bliver som leder ansvarlig for at leve op til kravene. Det bliver svært fremover at sige nej til tiltag og investeringer, for det rammer tilbage på ledelsen, hvis den ikke har gjort det nødvendige,” siger Morten Bro.
NIS2 implementeringen vil nok også føre til flere tilsyn i vandsektoren.
Center for Cybersikkerhed skal bl.a. sørge for at tilsyn bliver ensartet på tværs af sektorerne, og det skal føre til, at virksomheder og organisationer styrker sikkerheden. Der vil også komme en værktøjskasse med bøder på et tidspunkt, ligesom en ledelse i sidste ende kan sættes på porten.
Det er dog endnu ikke afklaret, hvor det præcist lander i Danmark, da lovgivningen først bliver nationalt implementeret til juli.
Kursus i cybersikkerhed for vandselskabers bestyrelse og topledelse
Kursus i cybersikkerhed for vandselskabers bestyrelse og topledelse klæder bestyrelsen og topledelsen i vandselskaber på til at efterleve deres ansvar.
