Hybridtrusler rammer bredt og kræver målrettet cybersikkerhed

I de seneste år har Rusland været en drivkraft i flere forskellige hybridkrige. Og selvom lande som Kina og Iran også er godt med på hybridkrigsvognen, så er det oftest russerne, der fylder mest, når talen falder på hybridkrige. Det er der god grund til. For i takt med, at Ruslands angreb på Ukraine har udvidet sig hen over de seneste 10 år, så er hybridkrigen i den grad kommet til Europa og dermed Danmark.

Når sigtekornet indstilles på de danske virksomheder og deres problemer med hackerangreb, så kan man derfor hurtigt fristes til at tænke i russiske baner. Men selvom Rusland også er kilde til angreb på dansk erhvervsliv, så er det fulde billede meget mere varieret.

”Udviklingen har gjort, at det i dag er nemt at blive hacker. Ser man sig omkring ude i verden, så er det let at finde nogen, der kan hacke, og som kan hyres til at gøre det. Hvis man har onde hensigter og er på jagt efter hacker-kompetencer, så kan man, med kort aftræk, købe cybercrime-as-a-service, og så er man hurtigt i gang”, siger Martin Kofoed Høding, der er Chief Cyber Security Officer hos virksomheden itm8. Han peger på en række uheldige forhold, der desværre frister svage sjæle:

”Rent finansielt er cyberkriminaliteten attraktiv. Der er, globalt set, langt flere penge på højkant, end der for eksempel er på narkotikaområdet. Derudover er det forholdsvist nemt og billigt at komme i gang og risikoen for at blive fundet, fanget og dømt er lav. Det gør cyberkriminalitet til en tillokkende beskæftigelse for mange”.

Det, at mange engagerer sig i kriminalitet via internettet, gør det svært at ruste sig mod.

”Havde der nu været én aktør, der brugte én metode, og agerede i én sektor, så ville det være lettere at gå til og forsvare sig i mod. Men sådan er virkeligheden ikke. Danske virksomheder – både små og store – angribes af mange forskellige aktører, på mange forskellige måder, på alle tænkelige tidspunkter og på kryds og tværs af brancher”, siger Jens Myrup Pedersen, der er professor i cybersikkerhed ved Aalborg Universitet og uddyber:

”Den diversitet og uforudsigelighed er vanskelig at arbejde med. Det er svært at lave one-size-fits-all-løsninger, der fungerer uanset om det er stater, røverbander, hacktivister, dusørjægere eller konkurrerende virksomheder, der angriber. Nogen er på jagt efter penge, nogen vil stjæle forretningshemmeligheder, nogen vil lave hærværk og forpurre produktionen, og nogen vil bruge virksomheden som en vej ind i en større værdikæde og dermed angribe flere virksomheder. Eksempler er der mange af, og mål og metoder er forskellige. Den diversitet er svær at dæmme op for”.

Eftersom det danske erhvervsliv er meget digitaliseret og arbejder med produkter og services, der i stor stil udnytter internettet for at fungere optimalt, så er de danske virksomheder særligt udsatte, når det kommer til hackerangreb.

Netop derfor er det også vigtigt, at både virksomheder, deres produkter og deres samarbejdspartnere og værdikæder vægter cybersikkerheden højt.

”Vi har talt om de her udfordringer i mange år efterhånden. Men man kan altså ikke tale sig ud af problemerne. Der skal handles, og det er på høje tid at komme i gang”, lyder den klare opfordring fra Jens Myrup Pedersen.

Og selvom arbejdet med cybersikkerhed kan virke uoverskueligt, så er der gode måder at komme i gang på.

”Det er vigtigt at understrege, at det er muligt at forsvare sig. Også for de små og mellemstore virksomheder. Det handler ikke om at lave den perfekte løsning på én dag. For det kan man ikke. Men det handler om at komme i gang på en god måde. Som virksomhedsejer eller leder kan man begynde med at kigge på, hvad andre virksomheder gør. Hvordan håndteres cybersikkerheden hos nabovirksomhederne og hos virksomheder, der minder om ens egen. Og hyr en student, der kan gå i gang med det samme, og som ved, hvad det handler om, som ved hvor der skal sættes ind, og hvordan det gøres i praksis”, siger Mikael Vingaard, der er Senior OT Security Consultant hos ICSRange.

Han peger på det danske cyberlandshold, der netop har vundet sølvmedaljer ved de europæiske mesterskaber i cybersikkerhed, som eksempel på, at der i Danmark heldigvis findes mange unge mennesker, der er dygtige til cybersikkerhed.

”Når man er klar til at gå i gang med at forbedre virksomhedens cybersikkerhed i praksis, så gælder det om at finde det rigtige sted at starte. Her peger jeg altid på det tekniske. Altså at software, systemer, komponenter og anden hardware – og samspillet mellem dem – har et højt sikkerhedsniveau. Derudover er det selvfølgelig godt at arbejde med at træne medarbejderes opmærksomhed, adfærd og kompetencer, og det er rigtig godt at have beredskabsplaner klar til den dag, det går galt. Men fokusér især på det tekniske til at begynde med – det er fundamentalt”, lyder rådet fra Mikael Vingaard.

Og det råd kan de også nikke genkendende til hos itm8, der hver dag besøger kunder rundt omkring i Danmark.

”Vi er i berøring med mange virksomheder. Og fordi Danmark og dansk erhvervsliv meget tidligt tog digitaliseringen til sig, så ser vi desværre ofte, at virksomheder kører på gammel teknologi. Det har fungeret godt og understøttet forretningen i rigtig mange år, men nu er det ikke længere tidssvarende – rent sikkerhedsmæssigt – og det er altså en stor risiko at løbe i en tid, hvor cyberangreb regner ned over dansk erhvervsliv, og hvor trusselsniveauet generelt er højt”, fortæller Martin Kofoed Høding og henviser til en liste, som itm8 har lavet, der viser, hvor hackerne rammer de danske virksomheder, og hvor det altså er godt at sætte ind med beskyttelse – her fylder det tekniske mest.

Ny teknologi, flere ansatte og bedre produkter og processer. Det lyder dyrt, hvis man som virksomhed vil prioritere cybersikkerheden. Og sådan kan det da også se ud, hvis man ikke forholder sig til det fulde billede.

”Virksomhederne skal ikke se udgifterne som omkostninger. De skal se dem som investeringer i højere cybersikkerhed, hvilket understøtter virksomhedens pålidelighed og udvikling af gode sikre kvalitetsprodukter. Det lokker betalingsvillige og kvalitetsbevidste kunder til”, siger Mikael Vingaard og fortsætter:

”Og alternativet kan jo for alvor være dyrt. Hvis man ikke investerer i cybersikkerhed, så kan man blive et let offer, og der findes desværre mange eksempler på, hvor galt det kan gå i forhold til økonomiske tab, imagetab og kunder, der forsvinder. Vi skal generelt – som individer, som virksomheder og som samfund – anerkende, at cybersikkerhed koster noget ekstra. Men det skal holdes op mod de scenarier, der kan opstå, hvis vi ikke sikrer os. De fleste af os kan fint klare os uden strøm, vand, varme og internet i et par timer. Sikkert også i fem eller ti timer. Men hvad sker der, når der er gået et døgn. Eller to døgn. Tænker man de scenarier ordentligt til ende, så ser det ikke så lyst ud det hele – og så vil mange nok gerne betale lidt ekstra for strøm, vand og varme, hvis pengene går til at styrke resiliensen og sikre en stabil forsyning. Den tankegang kan godt overføres til erhvervslivet. Det er værd at prioritere cybersikkerheden, både hos små og store virksomheder”.

Og det synspunkt står sikkerhedseksperten ikke alene med, for cybersikkerhed kan faktisk blive en vækstdriver.

”Erhvervslivet skal se cybersikkerhed som en styrkeposition. Danske virksomheder har i årevis været kendte for deres veldesignede produkter, med lang levetid og af høj kvalitet. Her passer et højt sikkerhedsniveau rigtig godt ind. Derfor kan virksomhederne se sikkerhedsagendaen som en mulighed for at skille sig positivt ud, og bruge den høje cybersikkerhed som en konkurrencefordel. I takt med, at truslerne fra de cyberkriminelle bliver flere og flere, så kommer virksomhedernes kunder i stigende grad til at efterspørge cybersikkerhed. Det betyder, at dem der har investeret i tide og har prioriteret cybersikkerheden kommer til at stå allerforrest i feltet, når kampen om nye ordrer skal udkæmpes – og det gælder uanset, om det er lokalt eller globalt”, siger Jens Myrup Pedersen.

Kilde: Industriens Fond

/ PiB