Om godt fire måneder bliver Danmark ramt af forskelligartede hackerangreb, som vil lamme store dele af den kritiske it-infrastruktur på hospitaler, i det københavnske transportnet og hos el-selskaber.
En kombination af DDoS-angreb (Distributed Denial of Service), hackerangreb med tyveri af følsomme data og manipulation af offentlige data skyller ind over grænserne, når Danmark og især København bliver cyber-stormløbet den 6. og 7. november.
Vi kan desværre ikke afsløre, hvem der bliver ramt i it-systemerne, så de ikke virker længere.
For det hele er én stor øvelse, og en afsløring af de deltagende selskaber vil ødelægge overraskelsesmomentet for de medvirkende organisationer, der i dag sidder på servere med kritiske samfundssystemer.
"Cyberangreb er et relativt nyt våben i arsenalet, og vi står overfor at skulle håndtere den slags," fortæller øvelseschef Mads Ecklon, der er chef for Center for Beredskabsplanlægning og Krisestyring i Beredskabsstyrelsen.
Øvelsen er blevet gennemført hvert andet år siden 2003, men i år har Beredskabsstyrelsen sammen med medarrangøreren Rigspolitiet opgraderet kraftigt på både angrebsformer og antal deltagere for at presse deltagerne i krisestyringsøvelsen.
De røde mod de blå
Op mod 40 deltagende organisationer - som tæller blandt andre offentlige myndigheder, udvalgte sektorer som hospitaler, energi- og transportsektoren og sågar statsminister Helle Thorning-Schmidt (S) - vil den 6. og 7. november blive testet i håndteringen af et koordineret cyberangreb rettet mod Danmark.
"Der er tale om et rollespil for bureaukrater. Vi har ikke ork-ører på og maler os næppe grønne, men øvelsen er i princippet tænkt på at ligge så tæt op ad virkeligheden som muligt,"
Mads Ecklon meddeler, at øvelsen overordnet handler om at træne krisestyring, definere roller og ansvar samt kontrollere, om krisestyringsberedskabet er godt nok i tilfælde af et koordineret hackerangreb på kritisk dansk infrastruktur.
"Vi har et rødt hold, der skal teste et blåt hold," siger øvelseschefen og forklarer sit udsagn med, at rødt hold er øvelsesledelsen, der kontakter blåt hold - det vil sige deltagere som eksempelvis el- og transportselskaber - med oplysninger om mulige hackerangreb.
"Det kan være, at en af deltagerne bliver kontaktet med oplysninger om, at noget i deres system ser virkelig mærkeligt ud og det tyder på en form for hackerangreb. Så du kan sige, at vi giver dem brikkerne til puslespillet, men så er det op til dem at lægge det sammen og reagere korrekt," lyder det fra Mads Ecklon.
Rasende dyre katastrofer
Sideløbende med de simulerede hackerangreb og DDoS-angreb mod konkrete selskaber vil det generelle kriseberedskab også blive øvet.
Dermed bliver regeringens sikkerhedsudvalg med Helle Thorning-Schmidt i spidsen og resten af det generelle kriseberedskab også sat i spil i cyberøvelsen.
Der er dog ikke tale om en såkaldt fuldskala-øvelse med manglende strøm i de danske hjem og nedstyrtede fly.
"Fuldskala-øvelser er rasende dyre, og der er samtidig meget ventetid. Vi har valgt at holde øvelsen nede på simuleringsniveau, fordi det er vigtigt, at det bliver en god og relevant oplevelse for alle deltagerne," fortæller Mads Ecklon, der sidder med et budget på 200.000 kroner for øvelsen.
"Det er heller ikke afgørende for beslutningerne ude i virksomhederne og i kommunikationen med og mellem myndighederne, at nedbruddene sker ude i virkeligheden," siger Mads Ecklon.
Derfor er det godt at finde fejl
Han udelukker dog ikke, at der modsat denne test i information management også en dag bliver afholdt en tekniker-øvelse, hvor der reelt bliver lukket ondsindet kode ind i den kritiske infrastruktur.
"En angriber i et virkeligt hackerangreb vil ofte være meget diskret for ikke at blive opdaget, men i vores øvelse gør vi det ret tydeligt, at folk bliver angrebet. Det ville jo være lidt kedeligt, hvis vi afholdt en to-dagsøvelse, og ingen opdagede, at der var noget i gang," lyder det fra øvelseschefen.
Fejl er en styrke
Mens øvelsen kører, er der også simuleringer af nyheder til borgerne fra eksempelvis DR, Version2 og Computerworld på et aflukket website, ligesom der også vil blive statusopdateret på øvelsesudgaver af sociale medier som Facebook.
Samtidig vil de ramte organisationer blive testet i at håndtere opkald fra simulerede borgere, så de ved, hvordan de skal håndtere den slags situationer, hvis cyberkatastrofen en dag reelt rammer Danmarks netværk.
Dog er det ikke alle deltagernes mobiltelefoner, der må benyttes i øvelsen, da der også skal trænes i, at mobilnettet er sat ud af drift.
"Vi hælder en del elektronisk teaterblod ud, fordi cyberangreb er usynlige og derfor så uhåndgribelige, at det bliver nødt til at blive udført i virkeligheden, hvis deltagerne skal prøve på egen krop, hvad det drejer sig om," siger øvelseschef Mads Ecklon.
Han fortæller, at succeskriteriet er at finde ud af, om de deltagende parter er i stand til at håndtere krise, om organisationen fungerer og kommunikationen kører som planlagt mellem de ramte organisationer og øvelsesledelsen.
"Der opstår altid tvivl om roller og ansvar, og fejl og misforståelser i øvelsen ser vi faktisk som en styrke, for det er jo trods alt bedre, at det sker i en øvelse, som vi kan lære af, og ikke i virkeligheden," siger Mads Ecklon.
Vender tilbage i februar
Hele manøvren bliver afrundet med, at han sammen med resten af øvelsesledelsen udpeger særlige temaer, hvor der skal strammes op.
"Vi er benhårde i udvælgelsen af anbefalinger, fordi vi kan sikkert give 100 anbefalinger, men så er vores erfaring bare, at der ikke sker særlig meget. Så er det bedre med få og konkrete anbefalinger," siger Mads Ecklon.
Når øvelsen er overstået, og anbefalingerne er kommunikeret videre, vender Beredskabsstyrelsen tilbage i februar 2014 til de involverede parter for at se, om forskellige anbefalinger og kritikpunkter er blevet implementeret.
Hvis der under øvelsen kommer rigtige hackerangreb mod de involverede parter, stopper øvelsen med det samme.
