Vandsektoren skal have en strategi for cybersikkerhed
Truslen fra cyberkriminalitet og cyberspionage mod Danmark vurderes til at være meget høj. En ny national strategi stiller sikkerhedskrav til ministerområder, der har ansvar for samfundsvigtige funktioner eller samfundskritiske it-systemer. Dette medfører, at Miljøministeriet i en strategi sætter mål for arbejdet med cyber- og informationssikkerheden i vandsektoren.
Vandsektoren varetager samfundsvigtige funktioner, og drikkevands- og spildevandsforsyninger skal derfor opruste for at beskytte sig mod cyberangreb.
Det er en af konsekvenserne af en strategi, som er lanceret af regeringen og gælder for perioden 2022-2024.
Strategien hviler på de årlige trusselsvurderinger fra Center for Cybersikkerhed under Forsvarets Efterretningstjeneste. I centrets vurdering her i 2022 hedder det, at truslen fra både cyberspionage og cyberkriminalitet mod Danmark er meget høj.
”Selv om vores vurdering af disse trusler er uændret meget høj, og vi således forventer, at Ruslands invasion af Ukraine tidligere i år kun i begrænset omfang påvirker trusselsbilledet, så fører invasionen til mere usikkerhed, og den synliggør, hvorfor det er vigtigt med god beskyttelse og et godt beredskab.”
Det siger Mark Fiedel, chef for cyberanalyse i Center for Cybersikkerhed.
Centret har ikke udarbejdet en specifik vurdering for vandsektoren, men Mark Fiedel siger, at den mest aktuelle trussel er cyberkriminalitet.
”Hackergrupper forsøger døgnet rundt at bryde ind i systemer, der er vendt ud mod internettet,” siger Mark Fiedel.
Den måske mest alvorlige trussel inden for kategorien cyberkriminalitet er såkaldte ransomware-angreb, hvor kriminelle, når de er kommet indenfor, krypterer et it-system og kræver en løsesum for at låse det op igen. En anden form for angreb er, når kriminelle, efter at have skaffet sig adgang, stjæler finansielle og personlige oplysninger med henblik på misbrug.
Problematisk med OT-IT-kobling
Mark Fiedel påpeger, at truslen er mere overhængende, hvis et administrativt it-system er forbundet med et operationelt it-system (et såkaldt OT-system), som tilmed leverer basale ydelser til borgere. Det kunne være it-systemet til at drive drikkevandsforsyning eller håndtere spildevand.
”Hvis kriminelle således kan nå frem til dér, hvor det ikke kun er et problem for virksomheden men for samfundet som sådan, står de stærkere med et afpresningsforsøg,” siger han.
Kalundborg Forsyning var i august i fjor mål for et stort ransomware-angreb og gik straks i gang med at beskytte den digitale adgang til anlæggene i samarbejde med Center for Cybersikkerhed og Politiets it-enhed.
Mark Fiedel siger, at også cyberspionage kan være en trussel, og det er, hvis et forsyningsselskab eller en virksomhed er førende inden for eksempelvis udviklingen af en ny teknologi, som fremmede stater ønsker at aflure.
Destruktive cyberangreb udgør generelt en lav trussel mod Danmark, mens cyberterror stort set ikke er nogen trussel, vurderer centret.
”Trusselsniveauer viser sandsynligheden for, at nogen forsøger sig med den type angreb. Men de siger ikke i sig selv noget om, hvorvidt angreb vil lykkes eller om konsekvenserne ved et succesfuldt angreb,” siger Mark Fiedel.
Den høje grad af digitalisering i Danmark og åbenhed i det danske samfund, sammenlignet med en række andre lande, medvirker til at øge sårbarheden, hvis ikke der træffes modforanstaltninger.
Læs også "NIS 2.0 vil styrke IT-sikkerheden i EU"
Krav om flere sektorstrategier
Netop modforanstaltninger er kernen i National strategi for cyber- og informationssikkerhed 2022-2024. Regeringens strategi betyder, at flere sektorer i samfundet berøres ud over de seks nuværende samfundskritiske sektorer: energi, sundhed, transport, tele, finans og søfart. Blandt de næste for tur er drikkevands- og spildevandsområdet, som Miljøministeriet har ansvaret for.
Strategien består af fire hovedpunkter: Robust beskyttelse af samfundsvigtige funktioner. Øget kompetenceniveau og ledelsesforankring. Styrkelse af det offentlig-private samarbejde. Aktiv deltagelse i den internationale kamp mod cybertrusler.
Det første og betydelige af 34 initiativer handler om styrket sikkerhed om samfundets vigtige funktioner. Heri hedder det, at ”ministerområder med ansvar for samfundsvigtige funktioner, der i væsentlig grad er it-understøttet, forpligtes til at udarbejde strategier for cyber- og informationssikkerheden samt oprette en decentral cyber- og informationssikkerhedsenhed (DCIS).
Analyse som grundlag
Miljøstyrelsen har, når det gælder vandsektoren, bedt konsulentfirmaet Deloitte om at udarbejde en foranalyse om strategi for cybersikkerhed i denne sektor.
Analysen giver en status på sektoren, udpeger mulige tiltag og beskriver konkret Miljøministeriets rolle i forhold til etableringen af en såkaldt DCIS-enhed.
”Der er meget fornuft i at afdække, hvordan trusler og sikkerhed er i den enkelte sektor, og hvor snitfladerne er i forhold til både offentlige myndigheder og private aktører, for der er meget stor forskel mellem sektorerne,” siger Mark Fiedel fra Center for Cybersikkerhed.
Deloitte konstaterer i foranalysen, at vandsektoren er præget af decentralisering og markante forskelle mellem de enkelte forsyningsselskaber, hvoraf de største er komplekse organisationer. Dette gør det svært at foretage en klar afgrænsning af forsyninger, der skal indgå i den kritiske infrastruktur på selskabsniveau.
Deloitte observerer, at det generelle niveau for cybersikkerhed i vandsektoren i øjeblikket synes at være over middel men falder relativt med selskabernes størrelse.
Den kritiske infrastruktur i vandsektoren består ifølge Deloitte af selskabernes OT-systemer, som direkte understøtter selskabernes produktion, distribution og afledning af vand og derved er knyttet til selskabernes boringer, brønde, ledningsnet, vandværker, kloaknet, pumpestationer og renseanlæg.
Deloitte har i samarbejde med Miljøstyrelsen og organisationer i sektoren identificeret og beskrevet en række tiltag, der eventuelt vil kunne indgå i en fremtidig strategi for cyber- og informationssikkerhed i vandsektoren. Tiltagene er ved at blive behandlet af Miljøstyrelsen, og der er ikke på nuværende tidspunkt taget stilling til, hvilke tiltag der skal gennemføres.
Deloittes analysearbejde skal danne grundlag for den kommende strategi for cyber- og informationssikkerhed i vandsektoren samt oprettelsen af en decentral cyber- og informationssikkerhedsenhed for vandsektoren i Miljøstyrelsen. Strategien vil blive udarbejdet inden udgangen af 2022, hvor enheden i Miljøstyrelsen også skal være oprettet. Enheden skal have en operativ kapacitet i dagtimerne, så enheden kan koordinere tværgående cyber- og informationssikkerhedshændelser og rapportere hændelser til Center for Cybersikkerhed.