Krigen i Ukraine: Danske virksomheder bør opruste mod uønskede IT-gæster

Politikerne er klar til give Danmark et stærkere militær. Men de skal også tænke i et lovpligtigt cyber-beredskab til virksomheder, påpeger forsker.

07/04/2022

Cyber

Foto: Shutterstock

Tanks, der står stille. Fly, som angriber. Soldater, der sender misiler ind over kollapsede ukrainske byer.
Sådan har medierne efter bedste evne forsøgt at skildre kampene i Ukraine.

Det er straks vanskeligere at rapportere fra en anden del af krigen. Den, hvor kamptropper, bevæbnet med computer, tastatur og mus sætter kurs mod fjenden. De såkaldte cyberkrigere.

Vi ved fortsat ikke, om Rusland har angrebet særligt voldsomt med cybervåben. Eller om Ukraine blot har været gode til at forsvare sig.


”Vi ved fortsat ikke, om Rusland har angrebet særligt voldsomt med cybervåben. Eller om Ukraine blot har været gode til at forsvare sig. Dog tyder det ikke på, at deres infrastruktur indtil nu har været hacket så voldsomt, som mange forventede. I stedet har russerne bombet den med konventionelle våben”, fortæller Jan Lemnitzer, der forsker og underviser i cybersikkerhed ved Institut for Digitalisering på CBS.

Så måske har frygten for en regulær cyberkrig, hvor statsfinansierede cybertropper over en bred kam smadrer softwaren i et andet land, været overdrevet. Men det betyder ikke, at der er ved at blive tændt fredspiber i cyberspace. Eller at Danmark og andre vestlige lande kan slappe af. For de vil fortsat være på det digitale sigtekorn, vurderer Jan Lemnitzer.

Nålestik skal skabe ustabilitet

Danmark kan således forvente at blive ramt af tilbagevendende nålestiksoperationer. En slags partisanangreb, hvor russiske hackere jævnligt slår til mod forskellige mål for at vise deres utilfredshed med de sanktioner, som Vesten har pålagt dem.

Så truslen mod dansk infrastruktur er bestemt tilstede, understreger Jan Lemnitzer.

Hvis Danmark eksempelvis beslutter at boykotte russisk gas og olie, vil russerne måske føle sig fristet til at hacke danske havvindemølleparker. Og hvis vi udelukker russiske banker fra det globale kredsløb, vil de måske forsøge at ødelægge vores kredsløb.

”Formålet vil være at forsøge at skabe utilfredshed blandt borgerne. At fremkalde ustabilitet og svække tilliden til vores demokrati og til den politik, vi fører over for Rusland”, påpeger Jan Lemnitzer, der tidligere i sin karriere forskede i international politik.

Dårligt forberedt

Og ifølge ham er Danmark rigtig dårlig forberedt til at imødegå sådan en strategi. Vi forbereder os nemlig på samme måde, som hvis vi skulle forsvare os i en konventionel krig.

Det vil sige, at det er militæret, som skal tage affære. Men i en cyberkrig kommer fjenden ikke trillende i tanks og lastbiler, som skal slås tilbage.

I stedet sidder fjenden derhjemme, og hvad enten det er russiske statsstøttede cybertropper eller kriminelle hackere i en kælder, er der ingen, som siger, at de vælger et militært mål, når de skal sende en virusbefængt orm afsted.

Nye måder at organisere vores forsvar på

De kan lige så godt udse sig en organisation eller en privat virksomhed. Bare spørg Mærsk, Demant, Vestas Nationalbanken eller Nordea, som blot er nogle af alle dem, der allerede har haft uønskede it-gæster.

Dertil kommer de virksomheder, som måske ikke ved, at de har haft besøg. For ligesom der i den fysiske verden findes en efterretningstjeneste, der spionerer mod udvalgte mål, gør det samme sig gældende i cyperspace.

Og her skal man ikke udsende en agent, som først skal smigre sig ind hos en ledende medarbejder i den pågældende organisation og siden oplære vedkommende i at fotografere vigtige dokumenter og lægge dem under en bestemt bænk.

Cybertruslen udfordrer altså politikernes historiske måde at føre sikkerheds- og forsvarspolitik på. Den udvander det klassiske skel mellem politiopgaver og forsvarsopgaver og mellem offentlig- og privat sikkerhedsansvar, påpeger Jan Lemnitzer.

Obligatorisk cybersikkerhed til private virksomheder

Af samme årsag opfordrer han til, at Danmark holder op med at tænke på cyberkrig som noget, militæret tager sig af. I stedet skal vi også stille krav om et beredskab i den private sektor, for det kan lige så godt være den, som bliver indgangen til et angreb.

Spørgsmålet er blot, om vi vil bruge offentlige midler, eller om vi gennem lovgivning vil tvinge virksomhederne til selv at investere i sikkerheden.



Og fordi forsyningskæderne og samarbejdet mellem private og offentlige virksomheder er så tætte, kan det sagtens få store samfundsmæssige konsekvenser, hvis en bank, en privat energiudbyder eller virksomhed bliver hacket.

“Vi bliver nødt til at indse, at det er nødvendigt, at private virksomheder får et forsvar mod cyberangreb. Spørgsmålet er blot, om vi vil bruge offentlige midler til det, eller om vi gennem lovgivning vil tvinge virksomhederne til selv at investere i sikkerheden”, siger Jan Lemnitzer.

I fagtidsskriftet ”Journal of Cyber Policy” argumenter han i en artikel for, at vi indfører en obligatorisk cybersikkerhedsforsikring for små- og mellemstore virksomheder, og at der samtidigt udarbejdes en række minimumsstandarder for deres cybersikkerhed. For ifølge ham er det ikke kun politikerne, der skal tænke i nye baner. Det skal virksomhederne også.

Mere bøvl end business

”Rigtigt mange virksomheder, særligt små og mellemstore, opfatter ofte cybersikkerhed som mere bøvl end business. Det kan være vanskeligt for en IT-ekspert at forklare sagens alvor over for en direktion, der ikke er bekendt med alle de tekniske begreber, og som ikke rigtigt har indset trusselsniveauet”, siger Jan Lemnitzer, som anbefaler, at der uddannes flere, som både har forretningsforståelse og indsigt i IT.

Desuden peger han på, at mange bestyrelser endnu ikke har forstået de tab, som et nedbrud kan medføre i form af penge og mistillid hos kunder og samarbejdspartnere.

”Det kræver både fokus og kompetencer i bestyrelseslokalerne at sikre, at cybersikkerhed bliver en integreret del af strategien, der når ud til alle dele af organisationen” forklarer han.

Jan Lemnitzer er også involveret i arbejdet omkring den cyberrisk simulator, som er placeret på CBS, og som kan træne erhvervsfolk i at tackle situationer, hvor de udsættes for cyberangreb. Industriens Fond står sammen med Bestyrelsesforeningen og en række andre partnere bag træningsprogrammet.

”Virksomhederne bliver nødt til at interessere for cybersikkerhed, så de ved, hvordan de skal reagere under et angreb. For truslen udefra er kommet for at blive” fastslår Jan Lemnitzer.

Læs mere om cyberrisk simulator for erhvervsfolk

Sidst opdateret: Sekretariat for Ledelse og Kommunikation // 19/05/2022