I cyberstormens øje

På en skala fra 1-10 var det en sårbarhed på 9,8. Eller med andre ord: Tæt på det værst tænkelige scenarie. I slutningen af april sidste år annoncerede teknologiselskabet Zyxel, at der var en kritisk sårbarhed i en række af deres produkter.

Selskabet har produceret en firewall, som bliver brugt af en række danske energiselskaber og andre, som arbejder med kritisk infrastruktur. Firewallen er den enhed, der hjælper med at beskytte en computer eller et netværk mod uønsket adgang udefra.

Hvis ikke firewallen virker, står hoveddøren ulåst om natten – i hvert fald for de personer, der kender til hoveddørens eksistens, og som kan finde ud af at “hive i håndtaget”.

Den gode nyhed var, at det blot krævede en opdatering – en såkaldt patch – at låse hoved­døren igen. Den dårlige nyhed var, at der var mindst 22 selskaber, der efter flere uger ikke havde gjort det.

Nogle troede, at andre ville sørge for, at den vigtige opdatering blev gennemført. Nogle ­selskaber troede, at de allerede havde den nyeste ­version. En enkelt var slet ikke klar over, at de havde det pågældende produkt fra Zyxel, der var blevet ­installeret af en ekstern leverandør.

Over flere bølger af angreb i løbet af maj 2023 lykkedes det hackere at få kontrol over firewallen i de 22 selskaber, der bl.a. forsyner danskerne med el og varme. Man frygtede, at hackerne ville være i stand til at slukke for strømmen og varmen for flere tusinde danske forbrugere.

Det fremgår af en beskrivelse af angrebet fra sikkerhedsorganisationen SektorCERT, som vare­tager it-sikker­heden for flere danske ­selskaber inden for kritisk infrastruktur. Rapporten beskriver i detaljer, hvordan angrebet blev opdaget og til sidst, hvordan det lykkedes at få kontrol over de inficerede netværk igen; bl.a. efter at et selskab måtte køre i “ødrift” – kappe al forbindelse til internettet – i seks dage.

Ifølge rapporten er der klare tegn på, at en fremmed stat var involveret i angrebet. Helt konkret nævner rapporten den berygtede hackergruppe Sandworm, der hører under den russiske militære efterretningstjeneste GRU – uden at man dog konkluderer, at russerne stod bag angrebet i maj 2023.

Lurer på vores infrastruktur

Angrebet blev først omtalt i medierne et halvt år efter, for hackerne kunne ikke – eller valgte ikke – at slukke for strømmen hos danske forbrugere. Og det var formentlig heller ikke formålet i første omgang, lyder det fra Mikkel Storm Jensen, der er militær­analytiker på Forsvarsakademiet med speciale i cyberkrig.

Det ligner nogen, som “lurer på, hvordan vores kritiske infrastruktur er”.

“Det kunne godt ligne noget, hvor man vil undersøge, om der er en svaghed, man kunne udnytte en anden gang. At der er nogen, som forbereder at kunne lukke for strømmen, hvis man får brug for det en dag. Det er ikke ualmindeligt, og det er der flere stater, der gør.

Principielt kunne man lige så godt have placeret en sprængladning på et kraftværk i Danmark og vente på den dag, man fik brug for at detonere den. Men der ville jo nok være en lidt anden politisk reaktion, hvis det blev opdaget,” mener Mikkel Storm Jensen, der forsker i statens rolle i at sikre, at samfundet har tilstrækkelig modstandsdygtighed overfor cyberangreb.

Er han bekymret over Danmarks mulighed for at modstå cyberangreb på kritisk infrastruktur som forsyningsselskaber, transport og sundhedsvæsenet? Det afhænger af, hvad man spørger om. Han noterer sig, at cyberangrebet i maj formentlig var rettet mod mindre forsyningsselskaber. Rapporten nævner dog ikke konkrete navne.

“Hvis du f.eks. tager den finansielle sektor og store forsyningsselskaber, så er jeg ikke så bekymret. De har både ressourcerne og ikke mindst incitament til at have en meget høj sikkerhed. Men hvis du ser på mindre virksomheders incitament på at investere i sikkerhed, er det noget andet. Hvis man forestiller sig, at der er en lille virksomhed i Københavns Lufthavn, der afiser fly. Hvis de bliver lagt ned en dag, hvor det er frostvejr, så er der ingen fly ud af Københavns Lufthavn. Men sådan en lille virksomhed har ikke et stort incitament til at bruge mange penge på it-sikkerhed. Det er et eksempel på, at omkostningerne bliver større for samfundet end for den enkelte virksomhed.”

Du er i frontlinjen

Ifølge Mikkel Storm Jensen bliver trusselsbilledet mod kritisk infrastruktur i Danmark drevet både af en politisk og en teknologisk udvikling. Den politiske udvikling med krig i Ukraine og Mellemøsten er nok velkendt for de fleste.

To tendenser driver den teknologiske udvikling: Kunstig intelligens og – lidt længere ude i fremtiden – kvanteteknologi, hvor computere vil være mange gange kraftigere end dem, vi kender i dag.

“Truslen fra kunstig intelligens er lige nu. Det er et våbenkapløb, hvor hackerne får markant bedre teknologi. Men det får de, der arbejder med it-sikkerhed også. Forskellen på våbenkapløbet i den virkelige verden og våbenkapløbet i cyberspace er, at du som helt almindelig medarbejder står i front­linjen hver dag,” siger Mikkel Storm Jensen, der peger på, at den sociale manipulation, der f.eks. ligger i phishing – hvor man under falsk identitet forsøger at lokke oplysninger ud af medarbejdere – bliver en kampplads i kraft af kunstig intelligens.

“Vi går fra at have ubehjælpsomme mails om en prins fra Nigeria, der vil forære dig to millioner dollars, til at du kan få både mails og telefonopkald, der lyder præcist som ‘Bente fra Regnskab’. Dermed kommer de helt almindelige medarbejdere i forreste linje,” siger Mikkel Storm Jensen.

Det er menneskeligt at fejle – for alle

Og det er netop – set fra den menige medarbejders synspunkt – risikoen for falske links, som lige nu er den største sikkerhedsrisiko. Det siger professor på IT-Universitetet i København Carsten Schürmann.

“Mit bedste råd er aldrig at trykke på et link i en mail. Det gør jeg ikke selv. Og problemet med phishing kommer kun til at stige med kunstig ­intelligens,” siger Carsten Schürmann, der frygter, at kunstig intelligens kan åbne for en ladeport af nye muligheder i fremtiden.

“Danmark har været meget ­sårbart, bl.a. fordi vi er et af verdens mest ­digitaliserede lande og har spredt vores kritiske infrastruktur i en række store og små selskaber, der både er private og offentlige. Men jeg mener, vi står bedre i dag end for fem år siden – bl.a. på grund af en række initiativer fra f.eks. Center for Cybersikkerhed,” siger Carsten Schürmann.

Center for Cybersikkerhed arbejder for at sikre et højt, digitalt sikker­hedsniveau i den infrastruktur, som samfundsvigtige funktioner er afhængige af. Centeret blev etableret i 2012 og er en del af Forsvarets Efterretningstjeneste.

Carsten Schürmann mener, at et andet vigtigt råd for almindelige med­arbejdere er at være ærlige og ikke lægge skjul på det, hvis man f.eks. ­kommer til at klikke på et mistænkeligt link.

Selv en professor fra IT-Universitetet kan have svært ved at se forskellen.

“Jeg skulle lave en ESTA for at rejse til USA. Og jeg fandt en hjemmeside, hvor jeg indtastede mine data, og det var først, da jeg skulle betale 114 dollars i stedet for de normale 14 dollars, at det gik op for mig, at det var en falsk side. Det var simpelthen så godt lavet,” siger Carsten Schürmann.

Og den menneskelige fejl kan Mikkel Storm Jensen fra ­Forsvarsakademiet godt genkende. Alle kan blive fanget på det forkerte tidspunkt.

“Jeg var selv tre klik inde i en mail, der udgav sig for at være fra MobilePay, da jeg havde fået nyt kreditkort. Og jeg har altså beskæftiget mig med det her i årtier og har en fortid i efterretningstjenesten,” siger Mikkel Storm Jensen, der konkluderer, at det er et stort problem, at der er så stor lukkethed omkring it-sikkerhed.

Nogle gange større lukkethed end allerhøjst nødvendigt.

“Der er et kæmpe incitament til ikke at sige noget, hvis du har lavet en fejl inden for it-sikkerhed. Det gælder, hvis du er en menig medarbejder. Og det gælder, hvis du er en af Danmarks største virksomheder eller et stort forsynings­selskab. Det er vigtigt, at man er åben over for dem, der arbejder med at ­forbedre sikkerheden,” slutter Mikkel Storm Jensen.

“Selvfølgelig tænker vi over det”

En af de TL-medlemmer, der sidder i frontlinjen med it-sikkerhed, er Klaus Pabst, der er it-supporter i Aarhus Vand.

Han besvarer spørgsmål og løser it-problemer for de 239 medarbejdere i selskabet, der er ansvarlige for, at over 300.000 aarhusianere har vand i hanerne, og at deres spildevand bliver håndteret.

Selvom det selvfølgelig har været tanke­væk­kende, at der er så meget fokus på kritisk infra­struktur i medierne lige nu, har det ikke ændret på de opgaver, der kommer til supporten.

“Der har hele tiden været meget fokus på, at vi er en forsyningsvirksomhed, der er underlagt direktiver og er forpligtet til at have systemer, der altid fungerer. Det forventer borgerne også af os. Jeg har i hvert fald oplevet, at vi har været meget bevidste om it-sikkerhed, al den tid jeg har arbejdet i Aarhus Vand,” siger Klaus Pabst, der oplever, at der godt kan komme flere spørgsmål om it-sikkerhed, når det har været fremme i medierne.

“Mine kolleger i Aarhus Vand er meget ansvarlige. Vi får en alarm, hvis de trykker på et mistænkeligt link, og det har vi kun oplevet få gange de sidste par år. Og det er næsten dagligt, at jeg har medarbejdere forbi, der spørger til f.eks. mails, der ser lidt anderledes ud. Jeg mener, der er en høj bevidsthed i hele organisationen,” fortæller Klaus Pabst, og understreger, at de f.eks. altid stræber efter at have fuldt opdaterede systemer.