Cybersikkehed: Sårbarhed kan vendes til fordel

Internet of things, big data, blockchain og kryptovaluta … Der er mange begreber, der beskriver den digitaliseringsproces, vores samfund gennemgår. De er alle udtryk for en generel tendens: Vi flytter vores værdier og aktiviteter fra den fysiske til den digitale verden.

Værdierne, vi flytter, er mange og mangfoldige: persondata, kritisk infrastruktur, sundhedsdata, værdipapirer, valuta osv. Danmark er et af de lande, der har placeret flest sådanne værdier online, og det gør vores samfund, virksomheder og borgere ekstra udsatte over for hackere. Men samtidig giver digitaliseringsgraden mulighed for, at Danmark kan blive et foregangsland inden for udvikling af teknologier og metoder til at modstå den hurtigst voksende form for kriminalitet: cyberangreb.

Digitalisering gør sårbar

Køber man en kaffemaskine i dag, følger der en app med, så man kan brygge morgenkaffen direkte fra sengen. Antallet af elektriske apparater, som er på nettet i en almindelig husstand, er steget fra otte i 2012 til 23 i 2017 ifølge en OECD-rapport. Men de mange onlineapparater, tablets, spillekonsoller og smart-tv’er gør os digitalt sårbare. Det fortæller kryptolog og forsker i cybersikkerhed Lars Ramkilde Knudsen fra DTU Compute:

”Når alting bliver koblet sammen, skaber det flere indgange for hackerne til at hente vores værdifulde oplysninger. Så selvom din telefons sikkerhed er i top, hjælper det ikke noget, hvis man kan hacke den igennem en af de mindre sikre apps, du har installeret,” siger han.

En telefon eller computer kan hackes på mange måder. Styresystemet er nemlig bygget op af mange linjer kode, som hele tiden bliver udvidet i forskellige retninger, når brugeren installerer ny software – som eksempelvis appen til kaffemaskinen.

Hvis bare en af kodeudvidelserne ikke er tilstrækkeligt cybersikker, kan en hacker bryde ind og få adgang til dele af harddisken, intranettet eller styresystemet. Det fortæller Henrik Falkenthros, der arbejder som såkaldt etisk hacker for konsulentvirksomheden BDO. Hans arbejde består i at hacke virksomheder på bestilling for at afsløre sikkerhedshuller. 

”Antallet af steder, hvor vi kan angribe f.eks. en server fra, er steget helt vildt de seneste år. Generelt er sikkerhedsniveauet ikke særlig højt i ny teknologi, som forbindes til nettet. Så for at komme ind skal vi bare finde et sted, hvor enhederne er koblet forkert sammen. Det lykkes i ca. ni ud af ti tilfælde,” siger han.

Princippet gælder alle digitale systemer, som er koblet til hinanden. Og netop sammenkoblingen og centraliseringen af computersystemer er noget, der er meget brugt i Danmark for at gøre den digitale omstilling mere brugervenlig, men metoden er risikabel.

”Det, der gør netop vores samfund sårbart, er, at vi har centraliseret vores offentlighed omkring f.eks. NemID og CPR-registeret. Der er meget, som kan blive hacket på en gang, ligesom den samme trussel gælder smartdevices, der kobles til hinanden. Centraliserede data er altid mere udsatte end decentraliserede data,” siger Lars Ramkilde Knudsen.

Også virksomheder kan opleve konsekvenserne af at koble alle deres computersystemer sammen i ét system. Mærsk måtte eksempelvis udskifte 45.000 computere og 4.000 servere sidste år som følge af et virusangreb, der lammede hele virksomhedens logistiske netværk i ti dage. Angrebet medførte et anslået tab på mellem 1,6 og 1,9 mia. kr.

Uoverskuelige konsekvenser

Meget tyder på, at vi kommer til at se flere hackerangreb i fremtiden. Center for Cybersikkerhed under Forsvarets Efterretningstjeneste har i en ny rapport karakteriseret risikoen for cyberkriminalitet som ’meget høj’ i Danmark.

”Det er, fordi der i dag er langt flere værdier at hente online og mindre risiko for at blive snuppet,” siger chefen for Center for Cybersikkerhed, Thomas Lund-Sørensen.

Antallet af hackerangreb i Danmark steg med 42 pct. fra 2009 til 2016. I samme periode faldt antallet af rapporterede indbrud med 8 pct. ifølge tal fra Danmarks Statistik. Beregningerne forudsiger, at cyberkriminalitet inden for de kommende tre år vil blive mere almindeligt end indbrud.

Selvom private borgere er udsatte, er det dog myndigheder og virksomheder, der kommer til at opleve de største økonomiske og strukturelle konsekvenser ved cyberangreb.

Det så vi sidste år, hvor over 150 lande blev ramt af det såkaldte WannaCry-angreb, som er verdens hidtil største ransomware-angreb. Angrebet krypterede filerne på alle computere på et givent netværk, og filerne blev kun låst op, hvis brugeren betalte en løsesum i form af bitcoins. Danmark slap relativt let fra dette angreb med omkring 300 infektioner, men store dele af den britiske sundhedssektor blev ramt.

”Konsekvenserne af et cyberangreb kan pludselig blive uoverskuelige, hvis alting er koblet sammen. Potentielt kan al infrastruktur, biler eller hele dit hjem blive hijacket,” siger Lars Ramkilde Knudsen.

Kan blive en dansk niche

Men selvom Danmark er særlig udsat for hackerangreb, giver digitaliseringen os også et forspring. Det bliver nemlig lettere for os at udnytte dette nye marked for cybersikkerhed kommercielt og skabe vækst, fastslår den nye rapport ’The future market for cybersecurity in Denmark’ fra Innovationsfonden, udarbejdet af revisionsselskabet Deloitte.

Digitaliseringen har nemlig givet os den fordel, at vi generelt er bedre til it end borgere fra andre nationer. Vores virksomheder har derfor lettere ved at rekruttere medarbejdere med kompetencer, som bliver mere og mere efterspurgte.

Desuden har både DTU og Aarhus Universitet som nogle af de få universiteter i verden forsket i og uddannet kandidater i kryptologi. Kryptologi er en vigtig disciplin inden for cybersikkerhed, da det handler om at hemmeligholde information og data fra eksempelvis hackere.

”Vi er blandt verdens stærkeste i kryptologi, fordi vi underviser og forsker i det. På samme måde kan vi blive verdens bedste i cybersikkerhed, hvis vi lægger universiteternes fokus der,” siger professor i kryptologi Lars Ramkilde Knudsen.

Også chefen for Center for Cybersikkerhed, Thomas Lund-Sørensen, mener, at det er vigtigt at satse på forskning og undervisning for at modstå et fremtidigt trusselsbillede.

”Hvert år ser vi angreb, som er mere avancerede end året før. Derfor er vi nødt til at være på forkant med et voksende trusselsbillede med god, solid forskning. Både inden for det tekniske område, i forhold til hvordan man modstår cyberangreb, og med henblik på undervisning i, hvordan man håndterer offentlige serviceopgaver i en digital verden,” siger han og uddyber, hvordan det vil skabe vækst til det danske samfund på lang sigt:

”Man kan sammenligne det med dengang i 70’erne og 80’erne, hvor vi omstillede vores energisystem til grøn energi og kraft-varme-værker. Det har vist sig at være en fantastisk niche for Danmark, og det samme tror jeg, vi kan skabe på cybersikkerhedsområdet.”