IT-sikkerheden halter hos op mod halvdelen af danske vandforsyninger og renovationsselskaber. Det kan give problemer med hackerangreb og gøre det svært for virksomhederne at leve op til nye EU-regler.
Af Jacob Lomholt og Juliane Nielsen
På en computerskærm på vandværket i byen Oldsmar i Florida ser en medarbejder sin mus bevæge sig rundt på skærmen, uden at medarbejderen selv gør noget. Senere på dagen sker det samme igen, men denne gang klikker musen sig ind i det program, som styrer koncentrationen af kemikalier i vandet. Koncentrationen af kaustisk soda, en base, som man normalt finder i afløbsrens, ændrer sig med et par klik, så den bliver mere end 110 gange højere end det normale niveau. Vandværket ændrer med det samme værdien tilbage, og intet af det basiske vand når ud af vandhanen hos forbrugerne. Sådan fortæller det amerikanske medie Wired om hændelsen.
Angrebet på forsyningen i Florida viser, hvad risikoen kan være for vandforsyninger, hvis ubudne gæster trænger ind i IT-systemerne. I foråret var den danske forsyningssektor også udsat for et hackerangreb, og forsker i cybersikkerhed, Jens Myrup, spår, at det kommer til at ske igen. Mange danske vandværker og renovationsselskaber har ikke tilstrækkeligt styr på deres IT-sikkerhed. Især risikoanalysen af IT-systemerne halter, og den er helt essentiel for at gardere sig mod hackerangreb. Et nyt direktiv fra EU, som træder i kraft næste år, skal højne sikkerheden blandt medlemslandenes virksomheder, men de danske vandforsyninger og renovationsselskaber vil få svært ved at leve op til kravene i direktivet, når sikkerheden ser ud, som den gør nu.
Basen for IT-sikkerhed mangler hos mange
Tal fra Danmarks Statistik viser, at 50 procent ikke bruger tests af IT-sikkerhed og 45 procent bruger ikke risikoanalyse.
Særligt risikoanalysen er vigtig for IT-sikkerheden, da den både fungerer som en kortlægning af, hvilke enheder, der er i virksomheden, hvilke risici der kan være i de forskellige systemer samt en vurdering af sandsynligheden for, at de bliver angrebet.
Når man tester IT-sikkerheden, tester man for, om der er sårbarheder i systemet, som kan udnyttes af hackere. Den høje andel, der ikke tester deres IT-sikkerhed, kan ifølge Jens Myrup også være et udtryk for, at der er andre ting, der ikke er på plads, når det kommer til sikkerheden.
“Hvis ikke man opdaterer sine systemer løbende, giver det ikke nogen mening at teste, fordi så finder man bare en masse huller. Det er risikovurderingen, der er fundamentet for alt andet, man gør. Hvis ikke man laver en risikovurdering, kommer man til at bruge penge på de forkerte ting, eller man får ikke sikret det, der er allervigtigst.”
Mere digitalisering og større risiko
Danmark tager igen førstepladsen på FN’s liste over mest digitaliserede lande. Men digitaliseringen giver også flere angrebsflader for hackere. For eksempel er maskineriet på fabrikker i dag koblet op på IT-systemerne. Konkret betyder det, at hackere kan få adgang til vandpumpen på spildevandsanlægget, ventilationsanlægget eller kontrolcenteret på et kraftvarmeværk.
“Vi er meget afhængige af, at vores digitale systemer fungerer, for at vi kan passe vores arbejde, for at vores banker fungerer, for at vores energisektor fungerer, for at vores transportsektor fungerer. Der er ikke nogen steder, hvor vi ikke er afhængige af IT-systemer. Men det betyder bare også, at vi bliver mere sårbare overfor angreb, og det skal vi håndtere.” siger Jens Myrup, forsker i cybersikkerhed.
Selvom det digitale Danmark er langt fremme, ser det ikke ud på samme måde med sikkerheden. Faktisk ligger Danmark nummer 32 på FN’s indeks over cybersikkerhed, lige under Kazakhstan. Det kan gøre os sårbare overfor angreb, og det så man i foråret 2023.
Ukendte hackere trængte ind i den danske forsyningssektor og fik adgang til systemerne hos 22 forsyningsselskaber. Angrebet kunne have betydet, at vand, strøm og varme til 100.000 husstande blev lukket. Ifølge Jens Myrup kan vi godt forvente at se lignende angreb igen. De seneste år har der været en stigning i antallet af angreb. Dog kan stigningen også skyldes, at flere anmelder angreb.
Manglende forståelse i bestyrelserne
Hackerangreb kan både have betydning for virksomheders omdømme og deres økonomi. Ofte krypterer hackere data og forlanger penge for at give virksomheden adgang til dens egne data igen. Det kaldes et ransomware-angreb, og det kan koste virksomheden tusindvis af kroner. Alligevel beskæftiger mange ledelser sig kun i begrænset omfang med IT-sikkerhed.
Tal fra Danmarks Statistik viser, at 75 procent af bestyrelser og topledelser kun i nogen grad tager stilling til virksomhedens IT-sikkerhed. Forståelsen for hvorfor IT-sikkerhed er vigtigt, skal komme oppefra, hvis man spørger Jens Myrup.
“Så længe det ikke er tydeligt for beslutningstagere og virksomhedsledere og dem, der sidder i de øverste myndigheder, hvorfor det her er vigtigt, så tror jeg, at det bliver svært at få det prioriteret. Det, der får virksomhederne til at tage det seriøst, er, hvis de bliver ramt af et angreb. Men det kan jo ikke passe, at der skal lig på bordet, før man gør noget”, siger Jens Myrup.
Lars Hermind, som er direktør for den danske filial af sikkerhedsfirmaet Armis, kan genkende billedet af, at man ikke tager sikkerheden seriøst nok. Han har arbejdet i IT-branchen i 30 år og har derfor et indgående kendskab til problematikkerne inden for IT-sikkerhed.
“Jeg bliver igen og igen forbløffet over, hvor lidt man har sat IT-sikkerhed ind på bestyrelsesniveau.” siger Lars Hermind.
Hos Danske Vandværker forsøger man at øge opmærksomheden blandt medlemmerne omkring IT-sikkerheden. Dog er der stadig mange vandværker og renovationsselskaber, som ikke foretager de mest basale sikkerhedsmæssige tiltag.
“Som forening skriver vi om det og kommunikerer om det. Man begynder også at forstå alvoren. Men der er jo ingen tvivl om, at det er bestyrelsen og ledelsen af vandværket, der har ansvaret for at sikre, at man får efterset de her ting.”, siger Susan Münster, direktør for brancheorganisationen Danske Vandværker.
Brancheorganisationer anerkender, at det bliver svært at nå i mål med nye regler
I oktober 2024 træder nye EU-regler på området i kraft i form af det såkaldte NIS-2. De nye regler afløser det gamle direktiv fra 2016 og kommer til at omfatte flere brancher. Her vil vandforsyningen også være omfattet, men det er endnu uvist, om de mindste vandværker vil være omfattet. De nye regler betyder skærpede krav til dokumentation om IT-sikkerheden og risikoanalyse. Selvom de små selskaber ikke nødvendigvis er omfattet, kan der stadig være en risiko.
“Selvom man er et lille selskab, hvis det lykkes nogen at få blandet vandet på en uheldig måde eller gøre noget, så det vand, der bliver lukket ud, er sundhedsskadeligt eller utilgængeligt, så er det jo også et stort problem.” siger Jens Myrup.
Som sikkerheden ser ud nu, bliver det svært at nå, fortæller Lars Hermind fra Armis. Cirkulær og Danske Vandværker erkender, at det bliver svært at nå. Danske vandværker peger på, at der altid vil være et efterslæb, men at de regner med at nå at få deres medlemmer klar.
Niels Toftegaard, kommunikationschef ved brancheforeningen Cirkulær, som repræsenterer kommunale renovationsselskaber, glæder sig til, at det nye direktiv træder i kraft og tror på, at det bliver et skub i den rigtige retning. Spørger man ham, om han synes sikkerheden er god nok nu, er svaret klart.
“Nej, det, det synes jeg ikke, og det kan man mene mange ting om, men jeg vil vælge at se på det positive. Det er faktisk et bærende element i det her direktiv, netop, at man skal lave den der risikoanalyse.”
Det skærpede krav om risikoanalyse skal sikre, at virksomhederne har et tilstrækkeligt beredskab, så de er klar, hvis der sker et angreb, som man så det i Florida og i den danske forsyningssektor i foråret.