Trommehvirvlen til det største cyberangreb på Danmark nogensinde er så småt begyndt.
Således havde Beredskabsstyrelsen sammen med Rigspolitiet og Center for Cybersikkerhed for nylig trommet 180 deltagere sammen i Eigtveds Pakhus ved Udenrigsministeriet i København for at fortælle om cyberangrebet i form af en øvelse, der planmæssigt rammer flere offentlige myndigheder i starten af november.
Allerede ved sammenkomstens indledende strækøvelser er det nok værd at spidse ører til Danmarks evner til at slå et cyberangreb effektivt tilbage.
"Vi har alle noget at lære på dette område," indleder øvelseschef Bjarne Sørensen fra Rigspolitiet sin tale med.
Og så er der vist ikke sagt for meget med årets tidligere angreb på NemID, KL's hjemmeside og ikke mindst Danmarkshistoriens største datalæk hos CSC i frisk erindring.
Afslører danske cyberslæk
Flere gange i Eigtved Pakhus bliver det understreget, at cyberangreb mod landets firewalls er blandt de 10 hændelser, der kan medføre de største ulykker og katastrofer herhjemme - på linje med oversvømmelser og atom-ulykker fra europæiske kraftværker.
Blandt oplægsholderne til temadagen er chefen for Forsvarsministeriets Center for Cybersikkerhed, Thomas Lund-Sørensen, der taler om cybersikkerhed som en problemstilling, der kun bliver mere presserende år for år i takt med, at flere enheder bliver tilsluttet til internettet.
Han nævner blandt andet, at der i 2008 var flere ting end mennesker tilsluttet nettet, mens der er i dag er flere ting på nettet end mennesker på Jorden.
Og der i 2020 vil være op mod 50 milliarder enheder tilknyttet internettet - næsten en tidobling i forhold til i dag - der også åbner sprækker i cybersikkerheden.
"Vi har brugt Shodan-søgemaskinen og lavet en stikprøve på myndighedernes tilslutning til nettet, og uden at gå i dybden fandt vi flere steder, hvor vi kunne se default-brugernavne som for eksempel 'admin' og passwordet 'admin' på enheder, der var knyttet til nettet," fortæller Thomas Lund-Sørensen.
"Det er ikke nogen skam at blive cyberangrebet"
Ingen vil sige noget
Virksomheder er dog ifølge Thomas Lund-Sørensen generelt meget tilbageholdende med at tale om usikkerheder og angreb på deres virksomhed ofte ud fra tre meget forskellige årsager:
Det drejer sig om 1) manglende kendskab til angrebet, 2) vanskeligheder ved at beregne effekten af et angreb, 3) frygt for, hvordan nyheden om et angreb påvirker børskursen.
"Virksomhederne er også tilbageholdende med politianmeldelser og i det hele taget at udstille, at cybersikkerheden er blevet brudt. Men det er ikke nogen skam at blive cyberangrebet. Det vidner bare om, at ens virksomheder er attraktiv," siger Thomas Lund-Sørensen fra talerstolen.
Sådan kommer du i gang med forberedelserne
I lighed med al anden kriminalitet er en politianmeldelse første skridt til at hjælpe sig selv og andre virksomheder med at komme cybertruslen til livs - ligegyldigt om det drejer sig om netværksspioner eller politiske hackere.
Fire punkter med udråbstegn
Chefen fra Center for Cybersikkerhed fremhæver, at ved et cyberangreb er det vigtigt, at alle kan lære fra dem, når de nu engang har fundet sted.
"Både i udlandet og herhjemme har organisationer været meget tilbageholdende med at dele viden på dette område, men vi bliver simpelthen nødt til dele informationer, fordi cyberforsvar er en holdindsats," lyder opfordringen fra Thomas Lund-Sørensen.
Derefter begynder fremviser han en planche, hvor tre hovedpunkter til at modstå cyberangrebene står mejslet med udråbstegn.
Det drejer sig først og fremmest om, at man som organisation skal erkende, at truslen om et cyberangreb er mere håndgribelig end nogensinde før.
Punkt to handler om, at alle organisationer bør gennemføre en risikoanalyse, hvor den enkelte organisation individuelt kan nå frem til, hvad der skal investeres i for at beskytte konkrete datasæt. Og her skal hele virksomheden inddrages.
"Et af problemerne med cybersikkerhed er, at det sjældent bliver løftet op på ledelsesniveau, hvor det hører hjemme sammen med en lang række andre mere traditionelle risici," fastslår Thomas Lund-Sørensen.
Det tredje område er, at enhver organisation bør udarbejde planer, implementere planerne og vedligeholde dem i form af øvelser for at holde sig på tæerne.
Sådan kommer du selv i gang
For at komme i gang med at kigge dit eget cyberberedskab efter i sømmene har Beredskabsstyrelsen fået udarbejdet et såkaldt dilemmaspil, som du kan samle din organisations nøglepersoner omkring for at afdække, hvor jeres cyberberedskab eventuelt halter.
Dilemmaspillet er oprindeligt beregnet til deltagerne i den kommende cyberøvelse, men det kan med lige så stort udbytte benyttes af alle interesserede virksomheder, der enten frygter eller allerede har haft uønskede besøgende på sine firewalls.
Du kan hente Dilemmaspillet og læse mere om det på Beredskabsstyrelsens hjemmeside.
Og så har Thomas Lund-Sørensen fra Center fra Cybersikkerhed et godt, jordnært råd, når du fremover indgår it-kontrakter:
"Vores anbefaling er, at sikkerhed skal håndteres allerede i designfasen af et nyt it-projekt, og derfor bør alle ansvarlige overveje sikkerhedskravene kraftigt, når de indgår kontrakter med deres it-leverandører," afslutter han.