Sikkerhed og sikring af samfundsvigtige funktioner er vigtigere end nogensinde, men Danmark står over for adskillige udfordringer. I denne artikel stiller Devoteams cybersikkerhedseksperter skarpt på, hvordan vi kan opnå en højere grad af sikkerhed med begrænsede ressourcer med en række konkrete tiltag.
Engang hed det kritisk infrastruktur, i dag er det samfundsvigtige funktioner. Rammen for aktiviteter, det danske samfund afhænger af for at kunne fungere, er i de senere år blevet kraftigt udvidet. Det handler selvfølgelig stadig om energi, forsyning, sundhedssystem og transport, men Covid-19 viste, at samfundet også har brug for eksempelvis dagligvarehandel og produktion for at kunne fungere. Dertil kommer den fortsatte digitalisering, der øger antallet af systemer, som er sårbare over for cyberangreb.
Risikoen er markant. Ifølge Center for Cybersikkerhed er trusselniveauerne for:
- Cyberspionage: Meget høj.
- Cyberkriminalitet: Meget høj.
- Cyberaktivisme: Høj.
Men sikkerheden og beredskabet halter. Ifølge tal fra Digitaliseringsstyrelsen er 46% af IT-systemer utilstrækkeligt sikrede. Årsagerne er i vores erfaring især følgende:
- Manglende overblik. Sikkerhed og beredskab er ofte ikke organiseret tilstrækkeligt. Der mangler klarhed og systematik i tilgangen til opgaverne.
- Manglende ressourcer. Det er vanskeligt at få tildelt de nødvendige midler til en situation, der måske kan opstå. Derfor lider sikkerhed og beredskab generelt under mangel på ressourcer, både til opbygning og vedligeholdelse.
- En for administrativ tilgang. Meget arbejde med beredskab foregår i dag på papiret i form af planer og afrapporteringer. Der mangler en mere håndfast, operationel tilgang, hvor man træner sandsynlige scenarier.
Vi vil i denne artikel gennemgå fire tiltag for at imødegå disse udfordringer og dermed opnå et højere niveau af sikkerhed for samfundsvigtige funktioner i Danmark. Det handler om IT, men vi kommer også ind på et andet væsentligt og ofte underprioriteret område: Industrielle systemer i form af OT (Operational Technology) og ICS (Industrial Control Systems).
Et robust og levedygtigt beredskab
Vi starter med at få et overblik over beredskabet for at specificere de nødvendige aktiviteter og sikre, at planer er opdaterede – en kontinuerlig tilstandsrapport for beredskabet. Desværre oplever vi ofte, at begreber bliver brugt i flæng, dækkende flere forskellige aktiviteter på én gang, men her er det altså vigtigt at definere indhold og ansvar for de specifikke områder.
Vi kigger på de mest kritiske funktioner i virksomheden og verificerer, at planer for business continuity, IT-nøddrift etc. er fyldestgørende, og om der foretages de rette tests.
Strukturen kan udformes på forskellige måder, men i Devoteam bruger vi som regel nedenstående model, hvor rødt er beredskab, blåt står for drift, og lilla udgør forudsætninger.
Corporate Crisis Management er virksomhedens overordnede krisestyringsfunktion. Når en virksomhed bliver ramt af en alvorlig hændelse, træder denne krisestab sammen, som det f.eks. var tilfældet under Covid-19.
IT Crisis Management tilfører ekstra ressourcer i form af kommunikation og koordinering, så driften kan koncentrere sig om sine opgaver.
Business Continuity skal holde hånden under forretningsprocesserne, dvs. planer for, hvordan virksomheden kan køre videre med forretningen et vist omfang, mens man er under angreb eller lider af eftervirkningerne.
IT Service Continuity fokuserer på, hvordan man kan holde IT kørende på et nedsat niveau og på den måde til en vis grad understøtte forretningen.
Lilla er som nævnt forudsætningen for, at det kan lade sig gøre. Har man de rette former for backup? Er systemer skruet sammen ift. forretningsmæssig kritikalitet og systemernes egenskaber? Hvordan ser de tekniske reetableringsplaner ud?
Aktuelt får vi i Devoteam mange opgaver, der går ud på at gennemgå og rette op på et eksisterende beredskab som vist i nedenstående figur.
Specielt Business Continuity står højt på dagsordenen. Virksomheder har travlt med at få forretnings- og servicefunktioner til at beskrive, hvad de laver, og hvordan de kan fungere uden eller med et minimum af IT.
Det var om overblik og organisering. I det følgende vil vi beskrive en række operationelle tiltag og principper, der i vores erfaring bidrager til et forbedret beredskab og dermed højere sikkerhed.
1. Få det meste ud af jeres ressourcer
Manglen på ressourcer vil være et konstant vilkår, og derfor gælder det om at vælge sine kampe og sikre de vigtigste aktiver. Der skal prioriteres benhårdt med fokus på funktioner, der
- er mest sandsynlige at blive angrebet,
- repræsenterer den største værdi, dvs. hvor den samfundsmæssige skade vil være størst.
Vi bruger to tilgange til at identificere de vigtigste funktioner. Den første er at forstå modstandernes vilkår og motiver. Hvad er deres intentioner og muligheder? Hvor vil et angreb mest sandsynligt finde sted? Den anden er at analysere de forskellige funktioner og udpege, hvilke er mest afgørende for at kunne fortsætte driften.
Det kan være et stort arbejde at klassificere og prioritere samtlige funktioner, og som hjælp foreslår vi at bruge taksonomien fra det europæiske agentur for cybersikkerhed, ENISA.
For at optimere ressourceanvendelsen anbefaler vi en Operating Model, som vist i nedenstående figur, hvor opgaver bliver inddelt i fire kategorier ud fra hhv. værdi og indsats (boksen i midten).
Med udgangspunkt i disse kriterier bliver opgaverne håndteret på denne måde:
- Høj værdi, lav indsats: Løses med det samme.
- Lav værdi, lav indsats: Behandles som del af den normale drift.
- Lav værdi, stor indsats: Opgaven nedprioriteres, og man accepterer risiko.
- Høj værdi, høj indsats: Oprettes som projekt.
Klassificering af opgavers kritikalitet kan også bruges til at kortlægge, hvor forberedt man er i tilfælde af et angreb.
I ovenstående eksempel er fysisk adgangsstyring kritisk, men niveauet af Design, Disaster Recovery Plan, Business Continuity Plan og Test svarer ikke til kritikaliteten.
2. Test, find, ret – og test igen
Det er vores erfaring, at tests ofte bliver underprioriteret. Der gennemføres for få, kvaliteten mangler, og mange gange er det primære formål at leve op til formelle krav som compliance, dvs. at få en god rapport. Men tests er en essentiel del af sikkerhed og beredskab. Det er sådan, vi finder ud af, om sikkerheden reelt er på det ønskede niveau, eller om det kun eksisterer i teorien. Derfor er det afgørende med kontinuerlige tests, først og fremmest med fokus på de områder, vi har defineret som særligt vigtige. Devisen er: Test, find, ret – og test igen.
Samtidig skal man gøre sig klart, at der er forskellige niveauer af tests og øvelser, hvor betydningen varierer, som det fremgår af nedenstående figur.
En papirøvelse er nem og kan meget vel gå godt, men behandler langt fra alle aspekter ved et reelt angreb. Derfor er det vigtigt at være opmærksom på, hvilken form for test og øvelse man udøver, og hvorvidt de giver realistiske svar om virksomhedens beredskab.
3. Tænk i operationel anvendelighed
I Devoteam oplever vi ofte, at beredskabsindsatsen er for teoretisk og ikke i tråd med de aktuelle forhold i virksomheden. Vi anbefaler at være opmærksom på især følgende områder:
Beredskabsplaner: Hele pointen med planer er, at de skal kunne omsættes til umiddelbar handling. Vores erfaring er, at planer ofte er alt for akademiske. De er skrevet til en revisor eller myndigheder, men ikke til dem som skal bruge planerne. Vi lægger vægt på at udarbejde planer i samarbejde med de mennesker, som skal bruge dem. På den måde sikrer vi, at planerne er forståelige og udstikker de rette handlinger.
Kommunikation: Beredskabet bygger på kommunikation, som derfor skal være præcis og entydig gennem hele virksomheden. Hvad betyder det f.eks., at systemet er reetableret? At det fungerer rent teknisk, eller at forretningen nu er 100% oppe at køre igen? Eller hvad omfatter en kritisk funktion? Er det også dertil hørende kommunikation, logistik og produktion?
Ambitionsniveau: Mange virksomheder sætter et for højt ambitionsniveau, typisk for at imødekomme interessenter som f.eks. Rigsrevisionen. Men det skader beredskabet, når egne evner overvurderes. Virksomhedens sikkerhed er bedst tjent med transparens mht. mangler og fokus på gennemførbare planer.
4. Skab fællesskab mellem IT og OT/ICS
Ovenstående har primært handlet om IT, men når det gælder samfundsvigtige funktioner, er det i høj grad også relevant at inkludere industrielle systemer, dvs. OT (Operational Technology) og ICS (Industrial Control Systems). De findes i en lang række faciliteter fra energiforsyning over trafik til industri.
Sådanne systemer er blevet stadig mere digitaliserede, men bliver typisk ikke betragtet som IT-systemer, når det gælder sikkerhed, hverken i design eller drift. Der mangler opmærksomhed og finansiering, hvorfor OT/ICS er bagud på en række områder ift. IT.
Derfor foreslår vi, at OT/ICS i stigende grad håndteres på samme måde som IT. Det lader sig ikke fra den ene dag til den anden, da vi har med to forskellige universer at gøre – teknisk, kulturelt og mht. sikkerhedsmæssig modenhed.
Disse forskelle må ikke undervurderes, og vi anbefaler et forløb, der etablerer et fællesskab mellem IT og OT/ICS. Dvs. man koncentrerer sig om sammenfaldende interesser og metoder mht. at forstå sit miljø og sin forretning. Derefter kan man arbejde på at kontrollere aktiviteter og etablere en fælles modstandskraft, en Security Baseline, som løbende bliver udviklet og forstærket.
Lad os sikre samfundet bedre
Beredskabet for samfundsvigtige funktioner i Danmark er mangelfuldt. Trods mangel på ressourcer kan vi højne sikkerheden ved at
- fokusere på de mest værdifulde funktioner,
- gøre indsatsen mere operationel,
- skabe overblik og præcision, samt
- skabe en større sammenhæng mellem IT og OT/ICS.
Hvis du vil vide mere om disse indsatsområder eller om sikring af samfundsvigtige funktioner i det hele taget, så tag et kig på disse tre webinarer fra vores cybersikkerhedseksperter:
DevoTalk: Sikkerhed og sikring af samfundsvigtige funktioner
DevoTalk: Cybersikkerhed i operationelle miljøer
DevoTalk: Beredskab i samfundsvigtige funktioner
Vi står klar til at hjælpe dig videre
Hvis du vil vide mere, er du velkommen til at tage kontakt til en af os nedenfor eller via knappen her.