Thomas Wong har skrevet dette indlæg Foto: Nixu Denmark

Forleden kunne man læse på it-magasinet Version2s hjemmeside, at et hacker-angreb mod et vandforsyningsanlæg, der ville have forgiftet op mod 15.000 amerikaneres drikkevand, var blevet afværget ved et tilfælde. Kunne det samme mon ske i her i landet, at et dansk vandforsyningsanlæg kom i hackerne søgelys?

- Naturligvis kan det ske i Danmark, men det har vi styr på, siger man hos vandforsyningerne rundt omkring i landet.

Nogle vil måske sige, at jeg ikke er den rette til at skrive denne klumme, for jeg har en kommerciel interesse i at skabe ’røre i andedammen’, om man så må sige. Jeg lever jo af at sælge it-sikkerhedsløsninger. Men jeg er samtidig borger, og det kunne være vand til min husstand, der blev forgiftet. Derfor føler jeg, at jeg har ret til at ytre mig. Men måske netop fordi jeg har den kommercielle interesse og arbejder med it-sikkerhed hver eneste dag, er jeg bedre rustet end de fleste til at stå frem med en kommentar som denne. Det er jo mig og mine kolleger fra branchen, der gang på gang oplever, at der ikke er tilstrækkeligt styr på sikkerheden.

Langt de fleste forsyningsselskaber har i dag dannet sig et overblik over adgangene til deres system, og de har også sørget for at sikre alle disse kendte adgange.

Eller har de?

Det, der kan være en udfordring, er også at skaffe sig et overblik over de ikke så kendte adgange for eksempel leverandører. Ofte behøver man ikke bore særlig dybt, før man støder på en ekstern leverandør, der har fået sin egen vpn-adgang. Det er jo en del af aftalen. Han er nødt til at have adgang, hvis han skal kunne hjælpe. Naturligvis, men er der styr på disse leverandører? Bliver it-konsulentens pc scannet, inden den kobles til det interne netværk for at opdatere software? Svaret er meget ofte ’nej’. Man stoler på sine leverandører og har tillid til, at de lever op til deres ansvar som leverandør til en virksomhed inden for kritisk infrastruktur. I næsten ni ud af ti tilfælde har man ikke stillet dokumentationskrav til sine leverandører.

Nu skal vi jo ikke male fanden på væggen, siger du nok. For hvem skulle dog have interesse i at skade en vandforsyning i Danmark? Hvad ville de få ud af det? Der er jo ikke de store millionbeløb at hente. Det er der heller ikke hos en amerikansk vandforsyning. Alligevel er jeg overbevist om, at i det pågældende tilfælde er der tale om en bevidst handling fra hackernes side. Nogen har været ude på at forgifte 15.000 amerikanske borgere. Rationalet bag mange hacker-aktiviteter er nemlig, at der ikke er noget rationale. Måske bryder man sig bare ikke om Danmark og vælger derfor en tilfældig vandforsyning eller bare den vandforsyning, der er lettest at trænge ind hos – så altså ikke noget tilfældigt over det alligevel. Måske har man bare fundet ud af, at der er en svaghed i denne vandforsynings sikkerhed - og det skal udnyttes. Et eksempel fra de flestes hverdag: Hvis din cykel bliver stjålet, fordi du har glemt at låse den, er det ikke nødvendigvis, fordi 1) tyven stod desperat og manglede en cykel, eller 2) tyven havde et horn i siden på netop dig. Næ, det forholdt sig nok snarere sådan, at netop din cykel blev stjålet, fordi den ikke var låst, i modsætning til alle de omkringstående cykler, og så var det sjovt og det kunne lade sig gøre. Du kan måske endda finde den i den nærmeste port eller forhave.

Øget risiko når vi sidder hver for sig

Typiske vælger terrorister at angribe steder, hvor angrebet kan få en meget voldsom effekt for eksempel på steder, hvor mange mennesker er samlet. Ja så siger det sig selv, at her under corona-nedlukningen, hvor vi alle sammen sidder hver for sig og holder afstand, er der ikke så mange af den slags steder. Derfor kan man måske frygte, at terroren vil søge andre men lige så effektfulde mål – fx angreb på vores kritiske infrastruktur, hvor man også vil ramme mange tusinde mennesker.

Heldigvis er den type hændelser sjældne, men tragiske hændelser fra blandt andet Krudttønden på Østerbro, har vist os, at Danmark og resten af Norden er ikke længere ’fredet område’. Vi er nødt til at være forberedt på disse black swan-hændelser og løbende holde vores sikkerhedsarbejde opdateret. Verden udvikler sig med rivende hast og hver tredje år, som har været kutyme for sikkerhedstjek, er ikke længere nok.

Det positive ved historien om det amerikanske vandforsyningsselskab er for det første, at den har en positiv slutning – ingen kom til skade, og for det andet, at historien kommer frem i lyset, så vi kan bruge den aktivt som en slags alarmopkald, hvor vi er så heldige, at vi stadig har mulighed for at nå at gøre noget ved det.

Så mit budskab med denne klumme er, at naturligvis har I hos danske forsyningsselskaber styr på sikkerheden, men gider I ikke lige at tjekke en ekstra gang alligevel. 

Artiklen er en del af temaet Klumme.