Power & Utilities

  • Share

Danmark er blandt verdens mest digitaliserede lande – men ligger lavt på sikkerhed

23. november 2018

Med mulighederne kommer cybertruslerne om spionage og kriminalitet, og hackerne sidder på lur. Hvad kan organisationen gøre?

Digitalisering i energi- og forsyningssektoren

Danmark er blandt verdens mest digitaliserede lande, og energi- og forsyningsområdet er ingen undtagelse. Sektoren har – ud over store mængder kunde- og persondata – ofte sofistikerede brugere af nye teknologier, herunder avanceret dataanalyse og kunstig intelligens. Teknologier, der kan øge kapacitetsudnyttelsen ved systematisk at behandle kunde- og persondata eller de data, der registreres i generatorer, transmissionssystemer, distributionsnetværk m.m.

Digitalisering og øget forbundenhed øger imidlertid også eksponeringen over for cyberkriminelle og ondsindede statslige aktører. Forsvarets Efterretningstjenestes Center for Cybersikkerhed peger i en nylig trusselsvurdering for energisektoren på1, at der kan ligge forskellige motiver bag.

Motiver

Ondsindede stater kan med målrettede angreb have destabilisering af vores samfund som motiv.

Danmarks rolle som foregangsland for omstilling til grøn energi gør, at nogle lande/grupper forsøger at spionere/indhente informationer, der kan bruges til udvikling af egen energisektor og virksomhed.

Andre aktører har fokus på berigelse/økonomisk kriminalitet, hvor danske organisationer kan blive ramt som led i et målrettet angreb eller blive ramt tilfældigt.

Følgende sager er offentlig kendte

  • Ukendte aktører forsøgte at få uautoriseret adgang til organisationer i den danske energisektor i 2017
  • Ukendte aktører forsøgte i 2018 at snyde danske virksomheder i energisektoren til at overføre penge til de kriminelles egne konti ved at udgive sig for at være en ledende medarbejder
  • Russiske grupper forsøgte at infiltrere amerikanske energiselskaber for at destabilisere demokratiet gennem destruktive angreb på kritisk infrastruktur
  • Kinesiske grupper forsøgte at stjæle strategisk information om teknologier og forretningsmodeller
  • Nordkoreanske grupper forsøgte via phishing at stjæle penge fra forskellige virksomheder.

Danmark roder i midten, hvad angår cybersikkerhedsniveau

Trods en topplacering, hvad angår udbredelsen af digitalisering, ligger Danmark ikke tilsvarende i toppen i nogen opgørelser over cybersikkerhedsniveau – uanset metode og opgørelsesparametre2.

Typisk indgår faktorer som omfang af cyberrettet lovgivning, nationale cyber- og informationssikkerhedsstrategier, udbredelsen af cyber- og informationssikkerhedsstandarder, antal af cyber- og informationssikkerhedscertificeringer, uddannelse og awareness-aktiviteter m.m. i vurderingen.

Udfordringerne for organisationerne skal imødekommes på tre fronter

Vi peger i vores Global Information Security Survey 2018, GISS3 på, at digitale transformationer og ibrugtagen af nye teknologier eksponerer organisationer for nye sårbarheder. Samtidig bliver hackere og cyberkriminelle dygtigere og dygtigere. Anbefalingen er, at organisationens øverste ledelse skal engagere sig yderligere i cyber- og informationssikkerhed.

For aktører i energisektoren er der følgende væsentlige observationer:

  • Over halvdelen (57 %) har øget deres budget på cyber- og informationssikkerhed. 68 % angiver, at de planlægger at øge budgettet yderligere over de næste 12 måneder.
  • 15 % angiver, at kundernes persondata anses som det mest værdifulde for cyberkriminelle at få fat på, mens 14 % peger på strategiske planer som det mest værdifulde. Næsten en tredjedel angiver, at phishing-forsøg fortsat udgør den største stigning i risiko.
  • 30 % respondenter i energisektoren angiver, at uforsigtige eller uvidende medarbejdere udgør den største fare sammen med forældede informationssikkerhedskontroller eller -arkitektur.
  • 42 % siger, at de ikke har haft et alvorligt sikkerhedsbrud i de seneste 12 måneder.

Ledelsen anbefales at rette fokus på tre fronter og bør overveje nedenstående spørgsmål grundigt:

  1. Beskytte organisationen: Fokus på at identificere de kritiske systemer og data samt opbygge sikkerhed:
  • Hvad er vores mest værdifulde informationer?
  • Hvor er vores mest indlysende cybersikkerhedssvagheder?
  • Hvilke trusler står vi over for?
  • Hvem er de potentielle trusselsaktører?
  • Er vi allerede blevet kompromitteret?
  • Hvordan er vores sikkerhed i sammenligning med vores konkurrenter?
  • Hvad er vores regulatoriske ansvar, og er vi godt med?
  • Udnytter vi til fulde de sikkerhedsfeatures, der er indbygget i vores systemer?
  1. Optimere cybersikkerheden: Drop sikkerhedsaktiviteter med lav værdi, og invester i de nye teknologier for at styrke eksisterende sikkerhed:
  • Hvad er vores cybersikkerhedsstrategi, og fokuserer vi tilstrækkeligt på vores Crown Jewels?
  • Hvad er vores risikovillighed?
  • Hvordan kan teknologier som Robotics, AI og Data Analytics hjælpe os?
  • Hvor skal vi opgradere sikkerheden?
  • Kan vi droppe nogle aktiviteter og bruge pengene bedre et andet sted? 
  1. Muliggør vækst: Fokuser på, at der i digitaliseringen vælges systemer med indbygget sikkerhed:
  • Er vores supply chain sikker?
  • Hvordan kan vi designe og bygge mere sikre nye kommunikationskanaler?
  • Hvordan passer cybersikkerhed ind i vores nye digitale forretningsmodeller?
  • Hvor fokuseret er ledelsen på cybersikkerhed, og er ambitionerne høje nok?
  • Har vi det fornødne fokus på cybersikkerhed i hele vores organisation?

Hvis du har kommentarer til ovenstående eller lyst til at drøfte ovenstående spørgsmål i en uforpligtende samtale, er du velkommen til at kontakte os.

Kontakt os

Henriette Brandstrup, tlf. 2529 3543


1 Cybertruslen mod energisektoren

2 Fx National Cyber Security Index 2018

3 EY Global Information Security Survey 2018
 

Informationssikkerhed
Informationssikkerhed er en bred betegnelse for de samlede foranstaltninger til at sikre informationer i forhold til fortrolighed, integritet (ændring af data) og tilgængelighed. I arbejdet indgår bl.a. organisering af sikkerhedsarbejdet, påvirkning af adfærd, processer for behandling af data, styring af leverandører samt tekniske sikringsforanstaltninger.

Cybersikkerhed
Cybersikkerhed omfatter beskyttelse imod de sikkerhedsbrud, der opstår som følge af angreb mod data eller systemer via en forbindelse til et eksternt net eller system, herunder forbindelser til internettet.

 

Kontakt os

Ønsker du yderligere information om Power & Utilities, er du altid velkommen til at kontakte os.
 

Connect with us

Gå i dialog med os via vores sociale medier, nyhedsbreve eller webcasts.