Forsvarets Efterretningstjeneste: Selv mindre produktionsvirksomheder sårbare for industrispionage

Forsvarets Efterretningstjeneste: Selv mindre produktionsvirksomheder sårbare for industrispionage

Er dit SCADA-system i farezonen? Ved du, at der allerede i produktionen af hard- og software kan installeres ondsindet kode eller komponenter? Se, hvad du selv kan gøre for at sikre din virksomhed.

Thomas Lund Sørensen

Center for Cybersikkerhed, Forsvarets Efterretningstjeneste
Direktør
Thomas Lund Sørensen's picture
" />
; 03.04.14    : 09:49
Er dit SCADA-system i farezonen? Ved du, at der allerede i produktionen af hard- og software kan installeres ondsindet kode eller komponenter? Se, hvad du selv kan gøre for at sikre din virksomhed.

Center for Cybersikkerhed, cfcs.dk, hører under Forsvarets Efterretningstjeneste. P360 har talt med centerets chef, Thomas Lund-Sørensen, om cybersikkerhed og produktionsvirksomheder.

Er det CFCS’ vurdering, at cyberrisikoen for danske virksomheder er stigende eller aftagende?

Som i andre lande oplever vi i Danmark en voksende cybertrussel mod vores kritiske infrastruktur. Danmark er et af verdens mest digitaliserede lande, og vi danskere er dybt afhængige af nem og fri adgang til information og udveksling af viden på internettet. Derfor bliver vi nødt til at kende og leve med truslerne, som vi har redegjort for i vores nye trusselvurdering på www.cfcs.dk.

Den mest fremtrædende cybertrussel, vi støder på er spionage. Der findes grupperinger, der målrettet går efter højteknologiske virksomheder og myndigheder, der besidder viden af strategisk interesse. Der er tale om en moderne form for industrispionage, der kan true Danmarks vækstmuligheder og mulighed for at skabe velfærd og velstand.

Produktionsvirksomheder er derudover udsatte for angreb mod selve produktionsapparatet, der kan blive mere sårbart i takt med at maskiner og processer styres via internetopkoblinger.

Af de sager om angreb på danske virksomheder, som CFCS har kendskab til, er der da særligt tale om "kommercielle motiver" (fx tyveri af IP eller angreb på en konkurrents infrastruktur) eller om "hacktivisme"?

Danmark har i det forløbne år oplevet en række overbelastningsangreb eller indbrud mod offentlige og private netværk. Aktiviteterne må formodes at falde under begrebet hacktivisme, og motivet er typisk politisk eller ideologisk. Anvendt i stor skala er den mest anvendte teknik Dos-angreb (Denial of Service, som overbelaster et systems evne til at svare på relevante forespørgsler, red), der kan lægge et samfund ned i en periode.

Målrettede angreb, hvor angrebsmetoden fx er e-mails med vedhæftede filer eller links, bliver også mere og mere udbredte. I mange tilfælde slipper e-mailen igennem til brugeren. Hvis filen efterfølgende bliver åbnet, risikerer man, at den berørte pc bliver inficeret med ondsindet kode. Det kan medføre, at brugerens pc kan fjernstyres, ofte med fuld kontrol. Det giver angriberen mulighed for at indsamle alle de informationer, som er tilgængelige for brugeren. Samtidig giver det angriberen fodfæste i netværket og kan fortsætte kompromittering af det resterende netværk.

Supply Chain Threat

En tredje voksende trussel er den såkaldte supply chain threat, hvor der allerede i produktionen af hard- og software bliver installeret kode eller komponenter, som en ondsindet aktør potentielt kan fjernstyre over internettet. Der kan også være tale om produkter, der indeholder forfalsket hard- eller software. Det vil sige man både kan risikere at få mere funktionalitet end man har bestilt, eller lavere kvalitet end man har betalt for.

Retter CFCS direkte henvendelse til virksomheder, hvis de er under angreb eller er truede – og er det et krav, at der er en sikkerhedsgodkendt person i firmaet, for at I kan henvende jer?

CFCS samarbejder primært med danske offentlige myndigheder samt private virksomheder, der har aktiviteter, der kan betegnes som en del af den danske kritiske infrastruktur.

Hvis CFCS konstaterer, at der foregår angreb mod en af disse, vil CFCS rette henvendelse til virksomheden med henblik på at orientere virksomheden om angrebet, så det kan blive stoppet. Det vil kunne ske til de relevante medarbejdere i virksomheden, og CFCS har ikke krav om, at personen skal være sikkerhedsgodkendt. Kun i de sjældne tilfælde, hvor der er behov for at udveksle klassificerede informationer, vil det kræve, at de involverede personer er sikkerhedsgodkendte.

I skriver på jeres hjemmeside, at også mindre og mellemstore virksomheder kan være mål for en varslingsindsats fra jeres side. Hvordan kan man sikre sig, at man får besked fra jer om helt aktuelle trusler?

CFCS opdager selv eller får løbende information om virksomheder og myndigheder, der er under angreb. Når vi gør det, forsøger vi at følge op hos den pågældende virksomhed. Virksomhederne fortæller os typisk, at de har bemærket, at der foregik ”noget” – mens andre bliver overraskede. Vi bistår som regel virksomhederne i den første kritiske fase med at identificere angrebet og få det standset.

En række af vores varslinger vil også være lagt på vores hjemmeside til orientering for alle interesserede (gå direkte til varslingen).

Knytter der sig specielle sikkerhedsproblemer til den stigende direkte adgang til produktionsudstyr via internet og andre ”remote access” teknologier? Her tænker vi specielt på SCADA-systemer, etc.

Vi råder generelt til, at myndigheder og virksomheder aktivt forholder sig til de risici, der er knyttet til deres virksomhed, og tager de fornødne forholdsregler, afstemt efter de mulige konsekvenser af et angrebs betydning for organisationens forretning og funktion. Risikostyring er det centrale redskab for cybersikkerhed.

Der er først for nylig blevet rettet opmærksomhed mod de problemer, det kan give at forbinde industrielle styrings- og kontrolsystemer til netværk og ikke mindst internettet. En række steder anvendes relativt gamle systemer, hvor det aldrig har været meningen, at de skulle forbindes med andre systemer. Derfor er fx SCADA-systemer ofte ikke sikrede på tilstrækkelig vis, hvis de bliver forbundet til internettet. Virksomhederne skal nøje overveje, om det er en god idé - og hvis det er problematisk, skal der gøres tiltag til at styrke sikkerheden, eller man må helt lade være med at forbinde dem til netværk, hvilket reducerer risikoen.

Fakta

Se aktuel trusselsvurdering for Danmark her:

Seneste artikler

Hvor ofte har du stået ved en butiksdisk eller en skranke i en lufthavn, eller brugt dyrebar tid mens du ventede på din læge, sygeplejerske eller advokat – mens folk slog information op i forskellige...

Gi forecastingen bedre forutsetninger

Det har været forbeholdt spåkoner med farverige gevandter, kort og krystalkugler at udtale sig om fremtiden. Men ude i virksomhederne prøver vi jo alligevel, og ofte er værktøjet et Excel-ark, hvor...

I virksomheder har de fleste medarbejdere et klart overblik over deres egne arbejdsopgaver, og adgang til de systemer og informationer, de har brug for, for at kunne udføre dem.