Af Mads Vigh | 723 ord | Læsetid: 4 minutter
De seneste dages hændelser understreger det høje trusselsniveau og vores fælles ansvar for at forstå og håndtere truslerne. Dette er baggrunden og hensigten med NIS2, hvor værdien og effekten for samfundet står og falder med, at både private og offentlige tager ejerskab og sikrer en effektiv implementering – fremfor at betragte det som en administrativ opgave, der skal gennemføres med mindst mulig indsats.
Fysiske droneangreb på lufthavne synliggør alvoren
Mandag aften blev København sat på pause. To-tre store droner fløj pludselig rundt i luftrummet over hovedstaden, og i fire timer stod al lufttrafik stille.
Fly blev holdt på jorden, afgange aflyst og ankommende fly omdirigeret til andre lufthavne. I alt blev omkring 100 fly aflyst, og op mod 50.000 passagerer blev direkte berørt.
Kort efter meldte Oslo Lufthavn om lignende observationer, og internationalt vakte hændelsen øjeblikkeligt opmærksomhed. Statsminister Mette Frederiksen kaldte det et ”alvorligt anslag” på dansk kritisk infrastruktur, mens Politiet og PET definerede droneaktiviteten som ‘et angreb'[1].
I går aftes var turen så kommet til Jylland, hvor der i nat er spottet droner over flere lufthavne blandt andet i Aalborg, Esbjerg og Sønderborg – samt ved Flyvestation Skrydstrup[2].
Hvem der står bag, vides endnu ikke. Men det ændrer ikke på det centrale spørgsmål: Hvor sårbare er vi, når det, der holder samfundet i gang, bliver sat ud af spil – og er vi i stand til at reagere og beskytte os selv?
Fra fysiske droner til digitale angreb
Droner i luftrummet er synlige og mærkbare. Cyberangreb er ofte det modsatte: De rammer i det skjulte, men med lige så store konsekvenser for vores kritiske infrastruktur.
Så sent som i sidste weekend blev flere større europæiske lufthavne ramt af ransomwareangreb, herunder Berlin, Bruxelles og London, hvor check-in- og boardingsystemer blev kompromitteret.
Angrebet ramte MUSE-platformen fra Collins Aerospace, som driver systemer i mange lufthavne, og førte til kaos i check-in, bagagehåndtering og boarding[3].
Lufthavne, og kritisk infrastruktur generelt, hviler på komplekse tekniske systemer, som er attraktive mål netop fordi konsekvenserne ved nedbrud er enorme og synlige.
Og det er ikke kun lufthavne, der er i skudlinjen. Hospitaler, energisektoren og transportbranchen har de senere år været mål for hackerangreb, med præcis samme resultat: nedbrud, kaos og usikkerhed for både borgere og virksomheder.
NIS2 og vores fælles ansvar
Det er netop i dette lys, vi skal se implementeringen af NIS2-direktivet. EU’s ramme for cybersikkerhed skal sikre, at kritiske sektorer arbejder systematisk med sikkerhed, beredskab og rapportering.
NIS2 tvinger os til at placere et organisatorisk ansvar og stille spørgsmålet: Er vi klædt på til at modstå avancerede angreb, og kan vi reagere hurtigt og effektivt, når det sker?
Virksomheder, der er underlagt NIS2, skal forholde sig til basale sikkerhedsprincipper baseret på globale standarder som:
- Trusselsovervågning, tidlig detektion og hændelsesrapportering indenfor 72 timer
- Robust sikkerhedsarkitektur og drifts discipliner
- Incident response og disaster recovery-planer
- Sikkerhedskultur og ledelsesinvolvering
Men direktivet er et kompromis inden for rammerne af det politiske system og mandat i Europa, hvilket begrænser klarhed, procestid og ensartethed på tværs af lande.
Trifork Security deltog i sidste uge sammen med Dansk Erhvervs IT-sikkerhedsnetværk og IT-Branchens Policy Board for Cybersikkerhed i Bruxelles for at drøfte netop dette. Vores konklusion er klar:
- Vi har nogle meget dygtige og engagerede repræsentanter, som er drevet af de rigtige mål med NIS2.
- Vi har en politisk ramme, der skaber en lang proces, hvor man ikke kan diktere ensartede retningslinjer for implementering. Det politiske kompromis medfører formuleringer, der kan fortolkes forskelligt – og derfor er NIS2 ikke entydig, men et solidt resultat inden for de givne rammer.
Netop derfor har vi som private og offentlige virksomheder et ekstraordinært stort ansvar for at sætte os ind i målet og tage ejerskab for en logisk og effektiv implementering; kun sammen kan vi beskytte vores samfund – og det haster.
Vores rolle som rådgiver: Gøre sikkerhed håndgribelig
Det er ikke nok at levere værktøjer og løsninger. Vi skal sikre, at vores rådgivning og vejledning er så konkret, at virksomhederne kan omsætte den til praksis. Det betyder, at vi skal:
- Oversætte lovkravene til konkrete handlinger – så virksomhederne ved, hvad der forventes af dem i praksis.
- Understøtte praktiske øvelser og beredskab – så organisationer har trænet deres reaktion, inden krisen rammer.
- Skabe løsninger, der er prioriterede ud fra et risikoperspektiv – sikkerhed kræver en løbende tilpasning, hvor risiko, påvirkning og omkostninger skal balanceres.
- Være til stede som partner – ikke kun som leverandør, men som medspiller, der skaber værdi.
Kontakt os i dag, så vi kan hjælpe med at få jeres NIS2-beredskab på plads.
[1] DR: Droner lukkede Københavns Lufthavn i fire timer – https://www.dr.dk/nyheder/indland/overblik-droner-lukkede-koebenhavns-lufthavn-i-fire-timer-her-er-hvad-vi-ved
[2] DR: Droner over flere danske lufthavne – https://www.dr.dk/nyheder/indland/overblik-droner-over-flere-danske-lufthavne-i-aalborg-lukkede-det-flytrafikken
[3] BBC: EU cyber agency says airport software held to ransom by criminals – https://www.bbc.com/news/articles/cqjeej85452o