”Hvert fjerde produktionsapparat under angreb”
Sådan kan man læse i en pressemeddelelse udsendt af Dansk IT i dag. Overskriften kunne indikere, at en meget stor del (26 procent) af de danske erhvervsvirksomheder jævnligt må kæmpe mod it-kriminelle, der forsøger at ramme virksomhederne, hvor det gør rigtig ondt.
Nemlig via målrettede redskaber, som også var i anvendelse i forbindelse med Stuxnet, hvor forretningskritiske produktionsanlæg styret af processtyringssoftware fra Siemens sættes helt ud af spillet.
Hvis der ikke dæmmes op for angrebene, så forestiller Dansk IT en situation, hvor sygehuse, mejerier og den danske infrastruktur (elforsyning, lufttransport, osv.) kan sendes til tælling.
Fanden på væggen?
Men skrækscenariet skal tages med nogle forbehold.
For det første kan man læse i selve rapporten, at de rapporterede angreb er angreb, som it-afdelingerne har spottet i firmaernes firewalls og sikkerhedssystemer. Det er ikke vellykkede angreb, der har sat noget som helst ud af spil.
”Det, at en virus rammer en firewall, er jo bare udtryk for, at der er mange, der forsøger sig med angreb. Det ville være interessant, at se statistikken for de tilfælde, hvor det er lykkedes at inficere maskiner og anlæg på den interne side af firmaerne,” siger Ole Schmitto indehaver af sikkerhedsfirmaet eSec Managed Security til ComON.
”Sagt på en anden måde. Hvis du flyver rundt i rummet, så er du omgivet af tusindvis af meteorer. Men de er jo ikke alle sammen farlige. Dem, som du skal bekymre dig om, er de meteorer, som har direkte retning mod dig,” siger Ole Schmitto, der dog understreger, at der er en reel sikkerhedstrussel mod danske virksomheder.
Kom ikke gennem hegnet
Formand for DANSK IT, Klaus Kvorning Hansen, mener ikke, at DANSK IT maler fanden på væggen.
Men fordi vira er blevet spottet i en firewall er det jo ikke ensbetydende med, at den udgør en trussel. Det svarer vel til at sige, at de mange millioner spam, der florerer om dagen, udgør en trussel. Men det, der sorteres fra, er jo ikke en reel trussel.
”Så kan jeg fornemme, at du mener, at bare fordi en trussel ikke er kommet forbi sikkerhedsforanstaltningerne, så er det ikke en trussel. Den opfattelse har vi ikke. I denne sammenhæng er spam i øvrigt også ganske uskyldigt. Men i forhold til, hvor meget spam der fanges, så skal vi nå et tilsvarende eller højere niveau af sikkerhed, når det kommer til de seriøse trusler,” siger Klaus Kvorning Hansen.
Som et eksempel på et avanceret angreb beskriver Kvorning Hansen et tænkt eksempel fra hans egen arbejdsplads, Pensam, hvor it-kriminelle kunne tænkes at tvinge sig adgang til it-systemet og forvanske - eller true med at forvanske - udbetaling til pensionister.
Men det er i undersøgelsen ikke soleklart, om de danske tal udelukkende melder om de alvorlige angreb i stil med Stuxnet, hvor angriberne målrettet går efter at sætte navngivne fabrikker eller samfundskritiske systemer ud af spil, eller om de også rummer generiske angreb mod eksempelvis Adobe Flash og Microsoft-programmer.
Er I sikre på, at de 119 it-chefer i deres besvarelse differentierer mellem sådanne målrettede angreb og mere generelle it-trusler, der også havner i sikkerhedssystemerne fiskenet?
"Jeg kan jo ikke udelukke, at nogle få af dem har misforstået spørgsmålet, men selv om du trækker 10 fra, så er der stadig tale om et højt tal," siger Klaus Kvorning Hansen, der personligt er overrasket over antallet af seriøse it-angreb mod danske firmaer. For eksempel melder 40 procent af de offentlige it-chefer, at der har været målrettede angreb på deres systemer.
”Det væsentlig i undersøgelse er, at så mange har identificeret angreb i deres sikkerhedssystemer. Det bekymrende er, at halvdelen af dem alligevel svarer, at de ikke har indført skærpede forholdsregler for at hindre angreb i fremtiden."
Vi vil gerne skabe debat
Ifølge Klaus Kvorning Hansen er der ikke tale om en undersøgelse, der tydeliggør truslernes karakter, men den bør sætte gang i en debat.
”Vi vil rejse et alvorligt problem, for der sker noget på området, som vi mangler at tage stilling til. Skal vi for eksempel sidestille de tiltagende angreb med en form for terrorisme, som det er det offentliges opgave at stoppe? Og hvordan beskytter vi de virksomheder, der egentlig drives af private, men varetager dele af den danske infrastruktur. For eksempel Dong og BaneDanmark,”siger Klaus Kvorning Hansen.
I undersøgelsen svarer 59 procent, at de mener, at it-sikkerhed er firmaernes eget problem, mens 28 procent mener, at det overordnet er det offentliges opgave at minimere it-sikkerhedstruslerne.
