Trusselsvurdering mod Danmark: Meget høj!
Cyberalliancen, der består af Green Power Denmark, Danske Rederier, Finans Danmark, Teleindustrien og DANVA, lancerer seks initiativer, der kan styrke samfundets robusthed mod angreb fra de fremmede magter og kriminelle grupperinger, der opererer på den forkerte banehalvdel i cyberspace.
Finanssektoren inkl. Nationalbanken har et stærkt fokus på cybersikkerhed og er en kilde til inspiration for energibranchen. Det mener teknologidirektør Jørgen S. Christensen fra Green Power Denmark, der her runder af på Cyberalliancens Sikkerhedskonference i Experimentarium i København. Foto: Jesper Tornbjerg.
Danmarks nationale cybersikkerhedsstrategi udløber til årsskiftet, men der er absolut ikke grund til at slække på indsatsen. Tværtimod. Trusselsvurderingen fra Center for Cybersikkerhed under Forsvarets Efterretningstjeneste (FE) taler om ’meget høj’ på cyberspionage, ’meget høj’ på cyberkriminalitet og ’høj’ på cyberaktivisme.
Vurderingen er også, at Rusland, der i over to år har ført totalkrig mod Ukraine, udfordrer Vesten lige op til, men under det punkt, der kan udløse NATO’s artikel 5. Altså den såkaldte musketer-ed om, at et angreb på ét land er et angreb på alle.
– Som samfund er vi sårbare og skal op i et andet gear. Der foregår de facto en krig lige under niveauet for ’rigtig krig’. Der er tale om en hybridkrig inklusive cyberkrig, fastslår tidligere udenrigsminister Jeppe Kofod (S) på Cyberalliancens Sikkerhedskonference i Experimentarium i København.
Ros fra FE til alliance-forslag
I forbindelse med sikkerhedskonferencen har Cyberalliancen, der består af Green Power Denmark, Danske Rederier, Finans Danmark, Teleindustrien og DANVA, udarbejdet seks initiativer, som Forsvarsministeriet samt Digitaliserings- og Ligestillingsministeriet kan lade sig inspirere af i arbejdet med at formulere en national strategi for cyber- og informationssikkerhed for 2025-27.
Initiativerne bygger videre på den viden og erfaringer fx energisektoren har bygget op de seneste år samt i regi af det fælles SektorCERT, der er med til at opdage og håndtere, når kritiske sektorer udsættes for cyberangreb. SektorCERT, der også er med til at forebygge angreb, er inspireret af finanssektorens værn mod cyberangreb.
Vi er ikke så meget optaget af, hvem der angriber os, men vi efterlyser bl.a. svar på, hvad vi skal lede efter i det daglige, og hvordan vi skal gardere os mod angreb på fysisk infrastruktur.
Forslagene fra Cyberalliancen handler bl.a. om bedre vidensdeling og samarbejde på tværs af sektorer, sammenhænge mellem samfundskritiske sektorer, fysisk beskyttelse af kritisk infrastruktur, tættere nordisk samarbejde, kvalificeret arbejdskraft og udnyttelse af kunstig intelligens.
– Vi er ikke så meget optaget af, hvem der angriber os, men vi efterlyser bl.a. svar på, hvad vi skal lede efter i det daglige, og hvordan vi skal gardere os mod angreb på fysisk infrastruktur, siger teknologidirektør Jørgen S. Christensen fra Green Power Denmark om den dialog mellem myndigheder og erhvervsliv, der ifølge Cyberalliancen skal udvikles yderligere.
– Der er meget guf i forslagene fra alliancen, kvitterer Thomas Flarup, der er chef for Center for Cybersikkerhed i FE.
Misinformation undergraver demokratiet
Inspiration til cybersikkerhedsstrategien – og den cyberrelaterede del af de seneste forsvarsforlig til et trecifret milliardbeløb – er der også fra de direktiver, EU-systemet har produceret de seneste år, og som skal implementeres i alle 27 medlemslande.
Morten Løkkegaard (V) har som medlem af Europa-Parlamentets såkaldte ’hybridkrigsudvalg’ været med til at skærpe EU’s indsats mod cyberangreb. Udvalget blev i sin tid nedsat som en reaktion på russisk indblanding i USA’s præsidentvalg i 2016 og Brexit-afstemningen i 2016.
MEP Morten Løkkegaard (V) har fokus på digitaliseringens muligheder og begrænsninger. Ruslands krig mod Ukraine og vestlige værdier...
– Vi var nok lidt bagude, erkender Morten Løkkegaard om en bekymring, der fortsat gælder: En række aktører bruger af misinformation og propaganda som et redskab til at underminere demokratiske processer og skabe splittelse i samfundet.
Morten Løkkegaard mener, at NIS var et ’ambitiøst forsøg, der blev udvandet af tyskerne’. Med NIS 2, der skærper kravene til beskyttelse af kritisk infrastruktur ejet også af private aktører, har EU vedtaget en stærkere pakke med svar på udfordringen fra Rusland, Kina, Iran, Nordkorea og andre magter og grupperinger, der opererer på den forkerte banehalvdel i cyberspace.
Mulighed for at hacke millioner af tandbørster
Udover NIS2 er også ’the cyber resilience act’ om produkter koblet på internettet relevant i bestræbelserne på at beskytte infrastruktur, virksomheder og borgere i en verden, hvor (næsten) alt i stigende grad bliver forbundet over internettet: Babyalarmer, tandbørster, køleskabe, mobiltelefoner, solcelleinvertere osv.
Direktiverne er vedtaget ud fra en bred, europæisk erkendelse af, at der er nationale aktører, som med teknologisk kapacitet og politiske ambitioner, udgør en betydelig trussel mod vores digitale infrastruktur, økonomi og nationale sikkerhed.
Vi skal sikre et vist bundniveau i implementeringen. NIS2 er noget af svaret på udfordringerne, men bestemt ikke det hele.
Angrebene sker i forskellige former hver eneste dag: Fra malware-infektioner og phishing-kampagner til koordinerede angreb på kritisk infrastruktur og politiske institutioner.
– En kæde er aldrig stærkere end det svageste led. Mange virksomheder var ikke omfattet af NIS, men det lykkedes at lande et fornuftigt kompromis om NIS 2, hvor alle er med, hvor der er pligt til at melde ind, hvis der sker noget, og hvor der er en sanktionspakke på 1,4-2 procent af omsætningen, siger Morten Løkkegaard, der mener, at det niveau svarer det de ’dummebøder’ nogle angrebne virksomheder betaler for kriminelles afpresning.
Implementering med højt bundniveau
Mens energibranchen ser frem til en gennemarbejdet implementering af EU-reguleringen, er Morten Løkkegaard – på linje med Jeppe Kofod – ærgerlig over, at implementeringen af NIS 2 er forsinket og udskudt til efteråret.
Arbejdet med at implementere nye EU-regler, der skal højne cybersikkerhedsniveauet og styrke kritiske virksomheders og myndigheders...
De to er imidlertid direkte bekymret for ’uens implementering’ af standarder og direktiver i medlemslandene.
– Vi skal sikre et vist bundniveau i implementeringen. NIS2 er noget af svaret på udfordringerne, men bestemt ikke det hele, siger Jeppe Kofod, der mener, at NATO og EU skal arbejde tættere sammen, og at udenrigspolitiske muskler – eksempelvis sanktioner – fortsat har en stor rolle at spille.
– Det skal være dyrt at angribe os, fastslår Jeppe Kofod.
Kommissær med ansvar for cybersikkerhed
Meget lidt tyder på, at Ruslands krig mod Ukraine snart stopper, og at freden sænker sig over Mellemøsten, så disse og andre geopolitiske udfordringer vil også præge den næste femårsperiode i EU.
Hvis USA vælger Donald Trump som præsident, vil det kun øge det europæiske ansvar for egen beskyttelse. Ifølge Morten Løkkegaard vil cybersikkerhed under alle omstændigheder blive et endnu vigtigere emne for politikere og virksomheder. Hans forventning er, at EU får en ’forsvarsindustriel kommissær’, eller hvad titlen end bliver, med ansvar for cybersikkerhed.
– Jeg har lavet meget erhvervslovgivning. Når det handler om cybersikkerhed prøver jeg at følge det til dørs, så vi undgår uens implementering, siger Morten Løkkegaard som endnu en understregning af situationens alvor.
