“MEGET HØJ”

Sådan vurderer Center for Cybersikkerhed truslen mod den danske energisektor i en meddelelse offentliggjort den 6. september.

Vurderingen uddyber, at truslen både omfatter risikoen for cyberspionage og cyberkriminalitet. Det vil sige, at der er en meget stor risiko for, at fjendtlige aktører lige nu prøver at stjæle værdifuld information fra danske virksomheder i energisektoren – eksempelvis data om omstillingen til grøn energi, som Danmark er et foregangsland for. Og det vil sige, at der ligeledes er meget stor risiko for, at fjendtlige aktører – private og/eller statsfinansierede – lige nu planlægger angreb, der vil lamme kritiske systemer og potentielt true forsyningssikkerheden.

Det er en meget alvorlig trusselsvurdering på en meget alvorlig baggrund.

Det er ikke svært at forestille sig, hvad ondsindede kræfter kan stille op, hvis de skaffer sig kontrol over forsyningen af vand-, el- og varme til danske borgere og virksomheder. Det scenario er der ingen, der kan leve med.

Det er i det lys, man skal anskue de nye myndighedskrav, der bliver stillet til virksomheder i forsyningssektoren.

 

NIS-direktivet strammer skruen

I maj i år trådte NIS-direktivet som bekendt i kraft. Med det direktiv fulgte en række skærpede sikkerhedskrav og underretningspligter for operatører af væsentlige tjenester og udbydere af digitale tjenester i forsyningssektoren. Det skal ganske enkelt være sværere at kompromittere sikkerheden i de danske forsyningsvirksomheder inklusive disse operatørers leverandører. Og hvis det endelig skulle ske, at en forsyningsvirksomhed blev ramt af et cyberangreb, skal de følge NIS-direktivets stramme drejebog for, hvordan og hvor hurtigt relevante myndigheder skal kontaktes.

“Man kan nemt blive en smule ensporet, når det drejer sig om it-sikkerhed i energisektoren,” siger Benjamin Nordentoft Vejgaard, som er Area Director, Security i KMD.

“For det siger selv, at sikkerheden går forud for alle andre hensyn. Sådan må og skal det være. Men at højne sikkerheden betyder ikke nødvendigvis, at man skal sætte den digitale udvikling på pause. Tværtimod.”

For det siger selv, at sikkerheden går forud for alle andre hensyn. Sådan må og skal det være. Men at højne sikkerheden betyder ikke nødvendigvis, at man skal sætte den digitale udvikling på pause. Tværtimod.

Benjamin Nordentoft Vejgaard, Area Director, Security KMD

Forsyningsselskaber konkurrerer – ligesom virksomheder i så mange andre sektorer – på mere og mere digitaliserede markedsvilkår. At blive bedre til at opsamle, aktivere og eksponere data ud mod kunder og samarbejdspartnere er og skal være en stor del af det at drive forsyningsvirksomhed. Balanceakten er selvfølgelig at gribe disse muligheder, uden det medfører en forhøjet sikkerhedsrisiko.

Kan det overhovedet lade sig gøre?


Opgaven kalder på ekstern hjælp


“Ja, det kan det heldigvis godt, og det er dette mindset man er nødt til at gå til markedet med. For ellers risikerer man at blive handlingslammet, og det tjener hverken forretningen, kunderne eller det danske samfund,” siger Benjamin Nordentoft Vejgaard.

Én af de store forskelle på at drive forsyningsvirksomhed i dag versus for fem eller 10 år siden er, at kompleksiteten i forretningsmodellen er steget kraftigt som følge af digitaliseringens transformerende effekt. It-understøttelse er blevet så vigtig en del af den daglige drift, at det kan være svært at håndtere opgaven selv, hvis man samtidig skal have styr på udvikling af kerneforretningen.

Trukket lidt hårdt op: Skal en gennemsnitlig dansk forsyningsvirksomhed selv bygge og vedligeholde de bolværker, der skal holde cyberkriminelle fra hele verden ude, samtidig med at virksomheden udvikler sine digitale ydelser og services, så de er tidssvarende? Eller kalder den opgave på hjælp fra eksterne?


Optimeringsarbejdet må ikke gå i stå


KMD har været én af de største løsningsudbydere og hosting-leverandører til danske forsyningsvirksomheder gennem 20 år. KMD’s driftscenter og de kompetencer, der varetager opgaverne i driftscenteret, lever op til de påkrævede certificerings- og sikkerhedsstandarder. Det gælder også NIS-direktivets krav vedrørende eksempelvis incident-processer, log management og monitorering.

“Ligesom KMD’s driftscenter lever op til alle krav, gør vores løsninger det også,” siger Benjamin Nordentoft Vejgaard. “Her er cloud-modellen med SaaS-løsninger endda med til at højne sikkerheden, fordi løsningerne løbende bliver opdateret og optimeret, så de altid overholder gældende lovgivning og branchestandarder.”

Ligesom KMD’s driftscenter lever op til alle krav, gør vores løsninger det også. Her er cloud-modellen med SaaS-løsninger endda med til at højne sikkerheden, fordi løsningerne løbende bliver opdateret og optimeret, så de altid overholder gældende lovgivning og branchestandarder.

BENJAMIN NORDENTOFT VEJGAARD, AREA DIRECTOR, SECURITY KMD<br>

Fokus på awareness

Som Center for Cybersikkerheds trusselvurdering vidner om, er energisektoren i Danmark et mål for hackere. Derfor er det vigtigt, at man ikke bare har styr på sikkerheden i sine it-løsninger og hos sin it-leverandør, men at organisationen også har fokus på overholdelse af interne sikkerhedspolitikker.

“Jeg tror ikke, at der findes medarbejdere i de danske forsyningsvirksomheder, der bevidst ønsker at kompromittere virksomhedens it-sikkerhed. Men alligevel sker det. Med den alvorlige trusselsvurdering in mente, kan vi kun opfordre til, at man har en klar plan for sikkerhedsarbejdet, at planen bliver implementeret helt ud i yderste led, og at planen jævnligt revideres,” slutter Benjamin Nordentoft Vejgaard.