DANSKVAND har bedt to it-sikkerhedseksperter med kendskab til forsyninger om at komme med tips til, hvordan vand- og spildevandsselskaber bedst kan beskytte sig mod cyberkriminelle.
Regner HansenPeter Kruse er it-sikkerhedsekspert og partner i CSIS Security Group. Jacob Herbst er Chief Technology Officer i Dubex. Begge virksomheder er førende inden for cybersikkerhed, og Kruse og Herbst har kendskab til de særlige forhold hos forsyninger.
DANSKVAND har bedt Peter Kruse er it-sikkerhedsekspert og partner i CSIS Security Group. Jacob Herbst er Chief Technology Officer i Dubex. Begge virksomheder er førende inden for cybersikkerhed, og Kruse og Herbst har kendskab til de særlige forhold hos forsyninger.
Al sikkerhed begynder med ledelse. Ledelsen skal have fokus på de største sikkerhedsudfordringer og forsyningens ansvar. Det indledende skridt i processen er at lave en risikovurdering, der derpå kan bruges som et prioriteringsværktøj. Dette værktøj kan være en hjælp til at vise, hvor virksomheden skal sætte ind først, og hvor virksomheden skal bruge henholdsvis flest og færrest ressourcer.
En forsyning bør gennemføre en systematisk opdeling af, hvilke brugere, der har adgang til hvilke oplysninger og operationer. Brugerne skal alene kunne komme ind i det strengt nødvendige. En segmentering er nærmest uomgængelig på samme måde, som der er vandtætte skotter i en ubåd.
Hvis der er vand- eller spildevandsselskaber, som anvender samme it-system til administrative formål, for eksempel til at udsende regninger og til at drive processer, for eksempel at tænde og slukke for pumper eller åbne og lukke for ventiler, så gælder det om at opsplitte det administrative it-system og det operationelle it-system (såkaldt OT) hurtigst muligt. Det ene kan bruges som springbræt til det andet.
Det er én ting, hvis cyberkriminelle formår at bremse udsendelsen af regninger i nogen tid og en helt anden og langt mere alvorlig ting, hvis cyberkriminelle kan komme ind til interfaces, der regulerer drikkevandsforsyning og spildevandsstrømme.
Segmenteringen er særlig påkrævet, hvis partnere/leverandører af den ene eller anden grund har behov for adgang. Det er vigtigt at mindske angrebsfladen. En praksis om begrænset adgang kan suppleres med en kontrol af cybersikkerheden hos partnere/leverandører.
Dette gælder ligeledes, hvis det er nødvendigt at lægge data i skyen. Forsyningen skal interessere sig for, hvem der har adgang, og hvordan data transporteres. Der findes flere former for sikkerhedscertificering. Det er næsten umuligt at undgå ekstern deltagelse, da de fleste virksomheder ikke råder over tilstrækkelige it-ressourcer og it-kompetencer i egen organisation.
Det er altafgørende at lave sikkerhedsopdateringer af software i takt med, at opdateringerne er tilgængelige. I modsat fald efterlader forsyningen en åben dør, som cyberkriminelle og andre, der måtte angribe, vil være hurtige til at smutte ind ad.
Passwords er generelt et ømt punkt. Mange brugeres passwords er for svage, eller brugere genbruger et password til flere tjenester. Det eneste realistiske værn er at indføre tofaktorgodkendelse. Det består i for, eksempel, at skulle bruge en kode, tilsendt direkte via SMS, ud over password. Det giver et ekstra sikkerhedslag.
Iværksæt uddannelse af medarbejdere i it-awareness, så de undgår at blive ofre for forsøg på at narre dem. De skal afholde sig fra at klikke på links fra ukendte afsendere. En meget populær metode til svindel er phishing.
Her forsøger cyberkriminelle at lokke brugere eller virksomheder til at aflevere personoplysninger. Det sker ved at sende en falsk e-mail, der får modtageren til at tro, at henvendelsen kommer fra en bank, myndighed, it-administrator eller en person fra modtageres adressekartotek, hvorfor modtageren opfylder det udtrykte ønske om at indsende fortrolige oplysninger pr. e-mail eller logge ind på en fake hjemmeside på nettet.
Det kan være en god idé at indføre digital overvågning på operationel teknologi, så det er muligt at spore eventuelle uregelmæssigheder og forsøg på påvirkning på tværs af systemet. Dette gøres med logning. Logfilerne er en registrering i et separat digitalt rum. En praksis med logning kan tilvejebringe advarsler i realtid, og logfilerne kan desuden hjælpe til en hurtig og effektiv efterforskning af sikkerhedshændelser.
En beredskabsplan bør være på plads, så alle relevante medarbejdere ved, hvad de skal gøre, hvis it-systemet er påført problemer udefra. Planen skal vise den digitale fremgangsmåde, hvis det er nødvendigt med respons på en hændelse.
Der skal desuden helst være en anvisning på manuelle løsninger, hvis den digitale redningsaktion slår fuldstændig fejl. Man skal populært sagt vide, hvor man kan bruge svensknøglen. Beredskabsplanen bør tjekkes og øves af medarbejdere med faste intervaller. En beredskabsplan kan eventuelt udbygges med scenarier, hvor et hold af venligtsindede hackere hyres til at forsøge at finde sårbarheder i sikkerheden ved hjælp af simuleringer.
En betryggende cybersikkerhed involverer også en opmærksomhed om forsyningens fysiske strukturer. Dette er mere påtrængende i vandsektoren end i mange andre sektorer. Det er essentielt, at bygninger, anlæg og udstyr er beskyttet mod, at uvedkommende kan indhente informationer, som de efterfølgende kan misbruge ved digitale angreb. Der skal her være fokus på adgangskontrol og andre sikkerhedsprocedurer.
En it-sikkerhedskopi kan være den sidste livline, hvis it-systemet er plaget af uoprettelige forstyrrelser som konsekvens af et cyberangreb. Det er vigtigt at sikre sig, at denne backup er blevet testet med henblik på at kontrollere, at den faktisk er i stand til at reetablere systemet - og reetablere det tilstrækkelig hurtigt.
Læs også "Vandforsyninger i Europa oplever et stigende antal cyberangreb".