Håndtering af cyber-trusler kræver samarbejde

Nationens sikkerhed ligger alle danskere på sinde, men hvordan beskytter vi bedst Danmark mod forskellige typer cyber-kriminelle?

Nye måder at samarbejde på mellem det offentlige og private virksomheder med ansvar for kritisk infrastruktur er et af svarene ifølge en stribe oplæg på seminaret ’Cybersikkerhed i et globalt perspektiv’, der netop er afviklet af Dansk Energi i samarbejde med fire andre erhvervsorganisationer under paraplyen 5styrker.

– Vi står i en kompleks situation med mange forskellige trusler. 80-90 procent af den kritiske infrastruktur er privatejet, så virksomheder og borgere er partnere i den nationale sikkerhedspolitik, siger professor Karen Lund Petersen fra Københavns Universitet, der taler om et sceneskift i retning mod en ’decentraliseret sikkerhedspolitik’.

Tillid snarere end kontrol
Private virksomheder tænker naturligvis mere på at beskytte sine egne anlæg og systemer end på at være bolværk eksempelvis mod regimer, der vil Danmark det ondt. Eksportorienterede virksomheder som Ørsted, Novo Nordisk og Danish Crown er alle dybt optaget af, hvad de skal beskytte i en international sammenhæng, mens Center for Cybersikkerhed på vegne af det danske samfund typisk er mere interesseret i at vide, hvem der angriber nationen.

Karen Lund Petersen påpeger, at ’cybernationalisme’ med omfattende national lovgivning er en af udfordringerne for virksomheder, der opererer internationalt, så derfor – og af mange andre grunde – forestår der komplicerede diskussioner om, hvem der har ansvaret for nationens forskellige sårbarheder.

– Ansvarsrelationen til det politiske system er uklar, vurderer hun, der for nylig sammen med kollega og ph.d. Kristoffer Kjærgaard Christensen har udgivet en lille rapport med anbefalinger om organisering, læring/uddannelse og ejerskab for den politiske udvikling.

For at sætte gang i udvekslingen af viden anbefaler forsknings- og teknologidirektør Jørgen S. Christensen fra Dansk Energi, at der sker et skifte fra detaljeret lovgivning, ’som især mange eksterne konsulenter har fået gode kontrakter ud af’, til et aftalesystem, der bygger på tillid og risikoanalyser.

– Hvis myndighederne både skal samarbejde og holde øje, så bliver det et miskmask og dialogen bliver derefter. Det er nødvendigt at dele viden med myndighederne uden at risikere, at de kommer efter én med håndjern. Vi skal kunne være åbne, også når vi begår fejl, siger Jørgen S. Christensen.

Chief information security officer Martin Junker Warming fra Ørsted – den ene af tre cases på 5styrker-seminaret – erklærer sig som en varm tilhænger af samarbejde og udveksling af viden. Han fastslår, at it-sikkerhed ikke skal være et konkurrenceparameter:

– The Bad Guys samarbejder i stor stil, så det skal vi også gøre, siger han og understreger, at det skal ske i en atmosfære af tillid, som det eksempelvis er tilfældet i en etableret gruppe af danske it-sikkerhedschefer, hvoraf flere repræsenterer C20-virksomheder.

Hvem skal vi ringe til?
En anden case-virksomhed, Novo Nordisk, deltager også gerne i dialog med partnere på den rigtige side af loven – herunder det offentlige:

– Vi skal finde en form, hvor vi kan hjælpe hinanden. Der skal være tale om tovejskommunikation, så vi kan bruge det i vores daglige arbejde, siger Lars Falch, der er vice president for it-sikkerhed og kvalitet i Novo Nordisk og efterlyser klare arbejdsgange, for hvem skal man ringe til? Hvis Novo Nordisk på sit hovedkontor i Bagsværd får nys om et alvorligt it-angreb, ringer it-chefen næppe til det lokale politi, men udnytter snarere sine forbindelser højt oppe i systemet. Ja, og hvad så, hvis det er en Novo Nordisk-server i Sydkorea, der er under pres?

Novo Nordisk har 41.700 ansatte, ’der klikker på links med katte på Facebook’, salgskontorer i 77 lande og produktion bl.a. i Kina, USA, Frankrig og Danmark. For at beskytte sig mod cyberspionage og -kriminalitet har Novo Nordisk 800 ansatte beskæftiget i en central it-funktion og lige så mange rundt om i verden.

– Der er rigtig mange hovedpiner indlejret i at være en global virksomhed, siger Lars Falch og nævner, at Novo Nordisk står for knap halvdelen af verdens produktion af insulin. Hvis virksomheden ikke kan levere insulin eksempelvis til USA, så har USA et problem, påpeger Lars Falch, der vurderer, at et hårdt it-angreb, hvor hele virksomheden står stille i dage eller uger, kan være langt værre for forretningen end en brand på en fabrik.

I sit interne it-sikkerhedsarbejde forsøger Novo Nordisk at kombinere tekniske minimumskrav med lokale processer, så alle de ansatte tænker i it-sikkerhed og tager medansvar. I nogle lande, hvor sikkerhedskulturen halter efter, er brug af usb-stik og Gmail/Hotmail forbudt.

Åbenhed kan hjælpe angribere
I Danmark deler Novo Nordisk viden om cybersikkerhed med andre koncerner, men det bliver straks lidt mere kompliceret, hvis det offentlige er involveret: Dels fordi der kan være åbenhed i forvaltningen. Dels fordi det offentlige, der har udstedt love og regler, også er kontrolmyndighed og derfor kan komme efter virksomhederne.

Hverken Novo Nordisk eller Danish Crown er voldsomt interesseret i at læse om it-angreb på dem i medierne.

– Det er ikke altid ond vilje, hvis man ikke vil fortælle om hændelser. Ikke alt er egnet til forsiden af Børsen, for det kan hjælpe angriberne, siger Lars Falch.

– Vi deler gerne viden, men generelt har vi ingen interesse i at gå i offentligheden med det, fastslår chief information officer Elo H. Bromer fra 5styrker-case nr. 3, Danish Crown, der opgraderer sit komplicerede it-sikkerhedsarbejde ganske kraftigt bl.a. i lyset af det nylige angreb, der koster Mærsk-koncernen knap to mia. kr., i de kommende år.

Thorsen Foldager Johnsen, der er chef for trusselsvurderingsenheden under Center for Cybersikkerhed, understreger, at ingen hos ham er mere interesseret i mere papirarbejde og myndighedskontrol, så det bliver et ’ja tak’ til tillid fra ham.

– Men hvis Danmarks største televirksomhed – og det er et tænkt eksempel – er ligeglad med sikkerheden, så kan vi ikke sidde det overhørig, og hvis Danmark er uden energi i tre uger, så lander den hos mig, hvis jeg ikke har meddelt en mistanke videre, fastslår Thorsten Foldager Johnsen.