Cybertruslen mod den danske kritiske infrastruktur er meget alvorlig. Som modsvar møder virksomheder med samfunds- og forsyningskritiske funktioner skærpede cybersikkerhedskrav og foretager betydelige investeringer i at styrke deres digitale forsvar. Alligevel beretter hver anden virksomhed inden for kritisk infrastruktur i Norden om blinde vinkler i cybersikkerheden. Det viser ny undersøgelse fra DNV Cyber.
Cybertruslen mod virksomheder, der spiller en afgørende rolle for samfundets og økonomiens funktioner har aldrig været større og mere avanceret. Som svar på den stigende cybertrussel øges krav til sikkerhedsforanstaltninger på tværs af samfundsvigtige sektorer, og virksomheder investerer massivt i at styrke deres cybersikkerhed. Men hvis ikke hele forsyningskæden prioriteres, forbliver sikkerheden sårbar, og en styrkelse af en virksomheds egen digitale forsvarslinje vil have begrænset effekt.
Det er konklusionen på den nye Cyber Priority-undersøgelse fra DNV Cyber, som er baseret på en undersøgelse af 207 fagfolk i Norden på tværs af kritiske infrastrukturindustrier, herunder energi, maritim, produktion og sundhed.
I undersøgelsen er det kun 56 pct. af de adspurgte fagfolk i Norden, som føler sig sikre på, at deres virksomhed har tilstrækkeligt overblik over de sårbarheder, som forsyningskæder udsætter virksomheden for gennem digitale forbindelser. Det øger risikoen for cyberangreb via software og tredjepartsleverandører.
Forsyningskæder giver cyberkriminelle adgang gennem bagdøre
Ifølge Stefán Kristjánsson, dansk talsperson for DNV Cyber, er organisationer derfor nødt til at danne bedre overblik over sårbarheder i deres forsyningskæder og implementere metoder, der sikrer større tilsyn med leverandører:
-Man kan ikke beskytte sig mod trusler, man ikke kender til. For at styrke forsyningskæden bør cybersikkerhedskrav i højere grad integreres i indkøbs- og leverandørkontrakter, og sikkerhed bør tænkes ind i designet af processer. Derudover er løbende detektions- og reaktionsmekanismer afgørende for at opdage og begrænse effekten af sikkerhedsbrud, fortæller Stefán Kristjánsson.
Digitalt våbenkapløb
Undersøgelsen viser desuden, at forsyningskritiske virksomheder befinder sig i, hvad der bedst kan karakteriseres som et digitalt våbenkapløb. 38 pct. af de adspurgte angiver, at cyberkriminelle kan have infiltreret deres forsyningskæde – uden at leverandørerne har rapporteret det. Cyberangreb rettes altså ikke længere kun mod virksomhederne selv, men i stigende grad mod de leverandører, som de er digitalt forbundet med.
-Man er ikke stærkere end sit svageste punkt. Cyberkriminelle målretter oftere sine angreb mod digitale sårbarheder i virksomheders forsyningskæder, hvilket potentielt giver adgang til flere organisationer og systemer, herunder kritisk infrastruktur. Hvis vi ikke sikrer hele forsyningskæden, er virksomhederne ikke beskyttet mod uønskede gæster. Det svarer jo til, at vi låser hoveddøren omhyggeligt, men lader bagdøren stå på klem, siger Stefán Kristjánsson videre.
National cyberstrategi er på trapperne
Ifølge Cyber Priority-undersøgelsen er regulering den største drivkraft for investeringer i cybersikkerhed blandt kritiske infrastrukturindustrier. Det er blandt de bedste værktøjer til at styrke den generelle cyberrobusthed og adressere risici i forsyningskæderne og hos virksomhedernes leverandører.
Det understreger EU’s net- og informationssikkerhedsdirektiv 2 (NIS2) også, mens EU’s Cyber Resilience Act (CRA) kræver, at industrielle IoT-produkter opfylder forbedrede cybersikkerhedsstandarder.
Den geopolitiske situation betyder, at vi på tværs af EU oplever flere og flere cyberangreb, og allerede i 2025 har Center for Cybersikkerhed hævet trusselsvurderingen for både tele- og vandsektoren i Danmark. Det kommer blandt andet som følge af cyberangrebet på et dansk vandværk kort før jul i 2024, som efterlod borgere uden vand i flere timer – samt angrebet på TDC-ejede Dansk Kabel TV, hvor hackerne sugede adresser og telefonnumre ud af systemet på kort tid. Af samme årsag er aftalepartierne bag ”Aftale om beredskabsområdet 2025-2026” fra januar 2025 enige om, at der skal udarbejdes en ny national strategi for cyber- og informationssikkerhed i 2025.
-Det er positivt med reguleringen fra EU og Danmark, men vi halter bagefter hackerne, der konstant forfiner deres metoder og går målrettet efter de svageste led. Vi ser, at virksomhederne prioriterer at feje for sin egen digitale dør og derfor ikke har overblik over sårbarhederne i forsyningskæden. Det er uholdbart. Virksomheder bør være på forkant med reguleringen for at sikre robusthed mod det komplekse trussels- og risikobillede. Det er vi alle interesseret i, og derfor bør vi også øge samarbejdet om at sikre os, fortsætter Stefán Kristjánsson.
Det er hele 94 pct. af fagfolk inden for kritisk infrastruktur i Norden enige i. De mener, at der bør være mere samarbejde for at sikre ensartede tilgange til cybersikkerhed. Samarbejdseksempler omfatter udviklingen af IEC 62443-standarderne, der adresserer sikkerhed for operationel teknologi i industrielle kontrolsystemer, og oprettelsen af anbefalede praksisser for cyberrobusthed i den maritime og energiindustrien.
Andre tal fra undersøgelsen
• Næsten tre fjerdedele (73 pct.) af de adspurgte fagfolk i Norden mener, at deres organisations cybersikkerhedsuddannelse ikke er avanceret nok til at forberede medarbejderne på mere sofistikerede trusler.
• Omkring 62 pct. af fagfolk i Norden inden for kritisk infrastruktur er sikre på, at deres organisation er i stand til at indbygge cybersikkerhedsforpligtelser i nye kontrakter med leverandører, mens 73 pct. af de adspurgte i Norden siger, at deres organisation integrerer cybersikkerhed i de tidlige faser af nye infrastrukturprojekter.
