Vand Cybersikkerhed Fiedel
Ifølge Mark Fiedel, chef for cyberanalyse i Center for Cybersikkerhed, synliggør Ruslands invasion af Ukraine, hvorfor det er vigtigt med god beskyttelse og et godt beredskab mod cyberspionage og cyberkriminalitet. Foto: Center for Cybersikkerhed

Vandsektoren skal have en strategi for cybersikkerhed

Truslen fra cyberkriminalitet og cyberspionage mod Danmark vurderes til at være meget høj. En ny national strategi stiller sikkerhedskrav til ministerområder, der har ansvar for samfundsvigtige funktioner eller samfundskritiske it-systemer. Dette medfører, at Miljøministeriet i en strategi sætter mål for arbejdet med cyber- og informationssikkerheden i vandsektoren.

Regner Hansen

Vandsektoren varetager samfundsvigtige funktioner, og drikkevands- og spildevandsforsyninger skal derfor opruste for at beskytte sig mod cyberangreb.

Det er en af konsekvenserne af en strategi, som er lanceret af regeringen og gælder for perioden 2022-2024.

Strategien hviler på de årlige trusselsvurderinger fra Center for Cybersikkerhed under Forsvarets Efterretningstjeneste. I centrets vurdering her i 2022 hedder det, at truslen fra både cyberspionage og cyberkriminalitet mod Danmark er meget høj.

”Selv om vores vurdering af disse trusler er uændret meget høj, og vi således forventer, at Ruslands invasion af Ukraine tidligere i år kun i begrænset omfang påvirker trusselsbilledet, så fører invasionen til mere usikkerhed, og den synliggør, hvorfor det er vigtigt med god beskyttelse og et godt beredskab.”

Det siger Mark Fiedel, chef for cyberanalyse i Center for Cybersikkerhed.

Centret har ikke udarbejdet en specifik vurdering for vandsektoren, men Mark Fiedel siger, at den mest aktuelle trussel er cyberkriminalitet.

”Hackergrupper forsøger døgnet rundt at bryde ind i systemer, der er vendt ud mod internettet,” siger Mark Fiedel.

Den måske mest alvorlige trussel inden for kategorien cyberkriminalitet er såkaldte ransomware-angreb, hvor kriminelle, når de er kommet indenfor, krypterer et it-system og kræver en løsesum for at låse det op igen. En anden form for angreb er, når kriminelle, efter at have skaffet sig adgang, stjæler finansielle og personlige oplysninger med henblik på misbrug.

Problematisk med OT-IT-kobling

Mark Fiedel påpeger, at truslen er mere overhængende, hvis et administrativt it-system er forbundet med et operationelt it-system (et såkaldt OT-system), som tilmed leverer basale ydelser til borgere. Det kunne være it-systemet til at drive drikkevandsforsyning eller håndtere spildevand.

”Hvis kriminelle således kan nå frem til dér, hvor det ikke kun er et problem for virksomheden men for samfundet som sådan, står de stærkere med et afpresningsforsøg,” siger han.

Kalundborg Forsyning var i august i fjor mål for et stort ransomware-angreb og gik straks i gang med at beskytte den digitale adgang til anlæggene i samarbejde med Center for Cybersikkerhed og Politiets it-enhed.

Mark Fiedel siger, at også cyberspionage kan være en trussel, og det er, hvis et forsyningsselskab eller en virksomhed er førende inden for eksempelvis udviklingen af en ny teknologi, som fremmede stater ønsker at aflure.

Destruktive cyberangreb udgør generelt en lav trussel mod Danmark, mens cyberterror stort set ikke er nogen trussel, vurderer centret.

”Trusselsniveauer viser sandsynligheden for, at nogen forsøger sig med den type angreb. Men de siger ikke i sig selv noget om, hvorvidt angreb vil lykkes eller om konsekvenserne ved et succesfuldt angreb,” siger Mark Fiedel.

Den høje grad af digitalisering i Danmark og åbenhed i det danske samfund, sammenlignet med en række andre lande, medvirker til at øge sårbarheden, hvis ikke der træffes modforanstaltninger.

Læs også "NIS 2.0 vil styrke IT-sikkerheden i EU"

Krav om flere sektorstrategier

Netop modforanstaltninger er kernen i National strategi for cyber- og informationssikkerhed 2022-2024. Regeringens strategi betyder, at flere sektorer i samfundet berøres ud over de seks nuværende samfundskritiske sektorer: energi, sundhed, transport, tele, finans og søfart. Blandt de næste for tur er drikkevands- og spildevandsområdet, som Miljøministeriet har ansvaret for.

Strategien består af fire hovedpunkter: Robust beskyttelse af samfundsvigtige funktioner. Øget kompetenceniveau og ledelsesforankring. Styrkelse af det offentlig-private samarbejde. Aktiv deltagelse i den internationale kamp mod cybertrusler.

Det første og betydelige af 34 initiativer handler om styrket sikkerhed om samfundets vigtige funktioner. Heri hedder det, at ”ministerområder med ansvar for samfundsvigtige funktioner, der i væsentlig grad er it-understøttet, forpligtes til at udarbejde strategier for cyber- og informationssikkerheden samt oprette en decentral cyber- og informationssikkerhedsenhed (DCIS).

Analyse som grundlag

Miljøstyrelsen har, når det gælder vandsektoren, bedt konsulentfirmaet Deloitte om at udarbejde en foranalyse om strategi for cybersikkerhed i denne sektor.

Analysen giver en status på sektoren, udpeger mulige tiltag og beskriver konkret Miljøministeriets rolle i forhold til etableringen af en såkaldt DCIS-enhed.

”Der er meget fornuft i at afdække, hvordan trusler og sikkerhed er i den enkelte sektor, og hvor snitfladerne er i forhold til både offentlige myndigheder og private aktører, for der er meget stor forskel mellem sektorerne,” siger Mark Fiedel fra Center for Cybersikkerhed.

Deloitte konstaterer i foranalysen, at vandsektoren er præget af decentralisering og markante forskelle mellem de enkelte forsyningsselskaber, hvoraf de største er komplekse organisationer. Dette gør det svært at foretage en klar afgrænsning af forsyninger, der skal indgå i den kritiske infrastruktur på selskabsniveau.

Deloitte observerer, at det generelle niveau for cybersikkerhed i vandsektoren i øjeblikket synes at være over middel men falder relativt med selskabernes størrelse.

Den kritiske infrastruktur i vandsektoren består ifølge Deloitte af selskabernes OT-systemer, som direkte understøtter selskabernes produktion, distribution og afledning af vand og derved er knyttet til selskabernes boringer, brønde, ledningsnet, vandværker, kloaknet, pumpestationer og renseanlæg.

Deloitte har i samarbejde med Miljøstyrelsen og organisationer i sektoren identificeret og beskrevet en række tiltag, der eventuelt vil kunne indgå i en fremtidig strategi for cyber- og informationssikkerhed i vandsektoren. Tiltagene er ved at blive behandlet af Miljøstyrelsen, og der er ikke på nuværende tidspunkt taget stilling til, hvilke tiltag der skal gennemføres.

Deloittes analysearbejde skal danne grundlag for den kommende strategi for cyber- og informationssikkerhed i vandsektoren samt oprettelsen af en decentral cyber- og informationssikkerhedsenhed for vandsektoren i Miljøstyrelsen. Strategien vil blive udarbejdet inden udgangen af 2022, hvor enheden i Miljøstyrelsen også skal være oprettet. Enheden skal have en operativ kapacitet i dagtimerne, så enheden kan koordinere tværgående cyber- og informationssikkerhedshændelser og rapportere hændelser til Center for Cybersikkerhed.

Læs også "10 gode råd om cybersikkerhed"

Yderligere information

Læs mere om DANVAs arbejde

Ledelse
Cybersikkerhed
Læs også:
cybersikkerhed.jpg

Cyberalliancen spiller ind til den nationale cybersikkerhedsstrategi

I takt med stigende cybertrusler foreslår Cyberalliancen en ambitiøs opdatering af Danmarks national…
2024 04 17 Greenwashing

EU til kamp mod greenwashing

Ny EU-regulering sigter mod at styrke troværdigheden af miljøanprisninger og bekæmpe greenwashing. F…
2024 03 06 Justesens Plæne Tidevandsparken

DANVA lancerer netværk om CSRD, Bæredygtighedsrapportering og ESG

Efter færdiggørelsen af DANVA Vejledning 111: Bæredygtighedsrapportering i Vandselskaber (CSRD) skal…
Spildevandsrensning 928

Nye afgiftssatser for spildevand fra den 1. januar 2024

Til orientering trådte der den 1. januar 2024 nye afgiftssatser for spildevand i kraft.