Vandbranchen har fokus på it-sikkerhed

I et nyt forsøg kobles en overvågningsløsning på en elektronisk beredskabsplan, som sender en alarm, hvis der konstateres afvigelser i vandforsyningens datastrømme. Det skal styrke it-sikkerheden og gøre livet svært for hackere, skriver direktøren i Danske Vandværker.
Brødtekst

Vil vi minimere risikoen for at ende i hackernes klør, kræver det handling.

Vi er alle sammen nødt til at være på stikkerne, det gælder i min egen organisation, hos bestyrelsen på vandværket og i det omgivende samfund. Vi bliver mere og mere digitaliserede, og vi får adgang til mange smarte løsninger, som gør vores liv lettere, men det gør os også mere sårbare.

Derfor er vi nødt til at være meget opmærksomme på sikkerheden i vores it-systemer, for jo mere teknik, vi får mellem hænderne i vores dagligdag - jo mere udsatte bliver vi. Men husk, alt begynder med os selv – også it-sikkerhed.

Vi skal have et landkort over vores it

I kommunikationen med vores medlemmer sætter vi løbende it-sikkerhed på agendaen. Vi bringer artikler i vores magasin, vi skriver om emnet i vores ugentlige nyhedsbrev, og når det er relevant, bruger vi også de sociale medier til at komme ud med vores budskaber om emnet.

Vi klæder medlemmerne på, så de kan opdatere og toptune deres beredskabsplaner. Der er mange spørgsmål om sikkerhed, man kan stille sig selv.

Ofte har man jo flere leverandører af it, og ved man for eksempel helt præcist, hvem det er, man skal ringe til i tilfælde af et angreb?

Og hvem, der er ansvarlig for hvad? Har man en risikovurdering, så man både kender og anerkender de områder, hvor man kan være sårbar? Og har man tegnet et landkort over it’en, så man har et visuelt overblik over, hvordan systemerne helt præcist spiller sammen?

Vandbranchen tænker it-sikkerhed

For et stykke tid siden blev en vandforsyning i USA ramt af et hackerangreb. Heldigvis var der en vågen operatør, som fik angrebet afværget, men det understreger, at også vi i vandbranchen er udsatte og skal sove med det ene øje åbent.

Derfor indgår vi som repræsentant for branchen i samarbejder, som både handler om it-sikkerhed i vores egen organisation og hos vores medlemmer. Forbrugerne skal kunne stole på deres lokale vandforsyning.  

Projekt styrker håndtering af cyber-sikkerhed

Danske Vandværker deltager i et nyt dansk udviklingsprojekt, Samarbejdende Cybersikkerhed, som skal styrke sikkerheden på vandværker og i andre små og mellemstore virksomheder.

Kort fortalt kobles en overvågningsløsning på en elektronisk beredskabsplan, som sender en alarm, hvis der konstateres afvigelser i vandforsyningens datastrømme. Løsningen giver også information om de ting, der skal sættes i gang, hvis der sker en fjendtlig indtrængen, desuden undervises deltagerne i it-sikkerhed.

Det vigtige er, at alt er målrettet specifikt til vandværkernes dagligdag, som ofte består af kontakt med mange tekniske systemer, men det er lige så vigtigt, at branchen via en central enhed arbejder sammen på tværs for at gøre sig modstandsdygtige over for hackerangreb.  

It-sikkerhed er som en liter mælk

Projektet er støttet af Industriens Fond og udføres af Danske Vandværker i samarbejde med GTS-instituttet Dansk Brand- og Sikringsteknisk Institut, it-sikkerhedsfirmaet Derant samt dataanalysefirmaet Halfspace.

Vi har gang i 15 pilotprojekter på vandværker fordelt over hele landet, og en af de ting vi allerede har lært er, at selv om man mener at have godt styr på sagerne, er det alligevel en rigtig god ide med et tjek.

På et af vandværkerne, fik man sig nemlig noget af en overraskelse, da der blev udløst en alarm, som viste, at der rent faktisk var noget at komme efter. Eksemplet viser, at når vandværkerne deler deres erfaringer, opnår de bedre løsninger, som styrker dem mod hackerne.

It-sikkerhed er som bekendt en meget kompleks sag, og derfor bliver der udarbejdet skabeloner og hjælpeguider til vandværkerne. Et af kardinalpunkterne er sårbarhedsanalysen, der viser, hvor vandværket med fordel kan sætte ind for at højne sin it-sikkerhed.

Formålet med alle værktøjerne er selvfølgeligt at gøre det nemmere at arbejde helt konkret med området, for det er vigtigt at være opmærksom på og at anerkende, at folk på vandværker er eksperter i at levere det livsvigtige drikkevand til forbrugernes haner og ikke eksperter i it-sikkerhed. Eller som en af vandværkscheferne udtrykte det på et af arbejdsmøderne: ”It-sikkerhed er ligesom en liter mælk, den har kort holdbarhed.

Og for os på vandværkerne handler det mest af alt om at få nogle værktøjer, så vi kan yde så stor modstand mod hackerne som overhovedet muligt. Og det får vi ved at være med i det her projekt”.

Går alt efter planen, er løsningen klar til brug for alle vandværker i løbet af sommeren.

D-mærke skal styrke dansk digitalisering

Her i foråret lanceres en ny mærkningsordning, som skal skabe et stærkere, digitalt Danmark.

Det er Dansk Industri, Dansk Erhverv, SMVdanmark og Forbrugerrådet Tænk, som er parterne bag det nye mærke, der omfatter digital ansvarlighed samt it-sikkerhed.

Industriens Fond har bevilliget 19 millioner kroner til ordningen, og mærket skal gøre digital tillid til et positivt konkurrenceparameter og samtidig styrke dansk erhvervsliv.

Fundamentet for D-mærket er en enkel guide, som gør det nemt for virksomhederne at håndtere data sikkert og ansvarligt – og samtidig at skilte med det. Mærket skal også give forbrugerne tillid til, at deres data behandles sikkert og ansvarligt.

Chefen på et af vores medlemsvandværker beskriver kriterierne i ordningen som både systematiske og velbeskrevne og er generelt meget begejstret for det nye mærke. Vandværkschefen mener også, at hvis folk begynder at kigge på det her mærke, så får vi en væsentlig bedre verden – det er store ord, og det bliver meget interessant at følge udviklingen for det nye D-mærke, som anbefales af førende eksperter inden for it-sikkerhed og beskyttelse af data og privatliv.

Hvad kan du og jeg gøre?

Men it-sikkerhed begynder som så meget andet ved os selv.

Har vi valgt et stærkt – og svært - password til vores systemer, og accepterer vi, at det er nødvendigt med flere forskellige passwords?

I en rapport om borgernes informationssikkerhed, som blev udgivet af Digitaliseringsstyrelsen sidste år, fremgår det ret klart, at kodeord stadig er et svagt led i relation til både borgere og offentligt ansattes it-sikkerhed.

Ifølge rapporten oplyser en fjerdedel af de offentligt ansatte, at de genbruger kodeord. Der er godt nok tale om en positiv udvikling i forhold til 2018, hvor 37 procent angav, at de genbrugte deres kodeord, men det er stadig et problem.

Kodeord er jo helt centralt i beskyttelsen af samfundets informationer. I rapporten oplyser kun 16 procent af borgerne, at de efterlever anbefalingerne om at have et kodeord, der er over 12 tegn og ikke benyttes flere gange.

Ved genbrug af kodeord udsætter man sig og sin organisation for en kæmpe risiko. Lækkede kodeord handles i stor stil blandt kriminelle på nettet, og der er næsten garanti for, at de bliver forsøgt misbrugt. Og det understreger, at de gode råd om kodeord ikke kan gentages ofte nok, for lad os gøre det så svært som muligt for hackerne.

Kodeordet gør det ikke alene

I førnævnte rapport har Digitaliseringsstyrelsen også stillet skarpt på trusler og de konsekvenser, truslerne har haft.

Hele 64 procent af borgere har inden for det seneste år oplevet mindst et phishing-forsøg, altså modtaget en svindelmail, -sms eller -opkald.

Det er en stigning fra 51 procent fra 2018, og det viser ret tydeligt, at truslen med falske mails og opkald er vedvarende. Også når vi handler på nettet, skal vi passe på, for ifølge rapporten har hver tiende borger, der har købt noget på nettet, inden for det seneste år oplevet at blive udsat for svindel mindst én gang i forbindelse med en handel.

Nej tak til autopilot

Uanset hvilken metode, svindlerne bruger, så udnytter de den samme menneskelige svaghed.

Ifølge en artikel på sikkerdigital.dk mener Andreas Lieberoth, som forsker i mediepsykologi og digital adfærd, at for mange af os kører på autopilot, og at vi stoler blindt på henvendelser fra personer, som udgiver sig for at være fra en myndighed eller en anden autoritet.

Langt de fleste handlinger og kliks foretager vi uden at tage os tid til at være tilstrækkelig opmærksomme eller skeptiske.

Jeg kan kun gentage mig selv – lad os gøre det så svært som muligt for svindlerne. Det gælder både på vandværkerne og i resten af samfundet.