Center for Cybersikkerhed har i lyset af Ukrainekrigen sendt en ny trusselsvurdering på gaden. Den fastholder sit niveau fra tidligere. Der er et MEGET HØJT trusselsniveau, men trods uændret niveau – det kan ikke komme højere op - øges alligevel utrygheden, når Ruslands invaderer Ukraine. Hvad skal man gøre?
Blåvand melder storm
I sin søgen efter svaret har man lyst til netop at læne sig op ad en autorititet som fx. Center for Cybersikkerheds seneste trusselsvurdering. Men den giver kun generelle anvisninger, som er svære at forholde sig til for den enkelte, så dér er der ikke meget hjælpe.
Lad os i stedet gå et skridt tilbage og trække en parallel til et område, vi alle kender.
Betragt trusselsvurderingen som et stormvarsel fra DMI. Der er en storm under opsejlning, og truslen fra stormen er fx MEGET HØJ, fordi den er stærk. Imidlertid er truslen kun relevant for dig, hvis stormen kommer forbi dit hus og dit hus er dårligt vedligeholdt eller på anden måde sårbart overfor stærk vind.
Dit hus er dit domæne
Er det tilfældet, er det din opgave at få sømmet de løse tagsten fast og fældet det gamle træ, før det vælter ned over dit hus. I det hele taget tage de forholdsregler, som du har ressourcer, tid og evner til. Men det er din beslutning, for du er sandsynligvis den eneste, der kender dit hus og din have så godt, at du ved, hvor skoen trykker. Du er også den eneste der ved, hvilken økonomisk og praktisk værdi dit hus har for dig, og om du opbevarer noget, der har affektionsværdi for dig på loftet.
Det gør dig til den eneste, der kan vurdere konsekvenserne for dig, hvis huset bliver ødelagt. Og derfor er du også den eneste, der kan tage ansvar for, at du kan modstå stormen. Det kan hverken DMI eller nogen andre tage ansvar for.
Til gengæld kan DMI fortælle os om stormens styrke og retning, og sandsynligheden for at den rammer et givet område. Er stormen stærk, vil DMI fortælle os, at trampoliner bør tages ind, tagsten sikres, diger skal styrkes, træer kan vælte osv.
Vindstyrke 12
Med DMIs sandsynlighedsberegning, viden om styrken og din egen vurdering af konsekvenserne for dine egne værdier, dit hus, økonomiske tryghed osv laver du helt automatisk din egen vurdering af, hvad du skal gøre. Altså en risikovurdering efterfulgt af en beslutning om, hvilke handlinger der skal sættes i værk.
Sådan sker det automatisk, hver gang der er udsigt storm. Og du tænker ikke en gang over, at det er en risikovurdering, du laver.
Ser vi på Center for Cybersikkerheds trusselsvurdering i kontekst af vejrudsigten, så betyder en MEGET HØJ trussel fra cyberspionage og cyberkriminalitet følgende: For det første er der en igangværende cyberstorm, for det andet at den med meget stor sandsynlighed kan påvirke ALLE, der anvender it-værktøjer og har beskyttelsesværdige informationer. Og konsekvenserne er særligt store for samfundsvigtige funktioner, også på uddannelses- og forskningsområdet.
Du skal altså læse trusselsvurderingen i kontekst af dit digitale domæne – har jeg informationer, som jeg vil være rigtig ked af at miste, kommer i andres varetægt eller bliver ændret uden mit vidende? – på samme måde som du læser et stormvarsel i kontekst af dit analoge domæne: Er mit hus og andre ejendele meget værdifulde for mig?
Uanset om du svarer ja eller nej på spørgsmålet har du med det mindset allerede lavet din risikovurdering. Uden at tænke over det.
Lær dit domæne at kende
Med andre ord: Når DKCERT eller Center for Cybersikkerhed sender en trusselsvurdering på gaden med sandsynligheden MEGET HØJ, hvad enten den er udarbejdet på baggrund af krigen i Ukraine eller retter sig mod særlige sektorer som fx. uddannelses- og forskningssektoren, så bør alle forskere og deres organisationer kigge på de konsekvenser, som brud på fortrolighed, tab eller ændring af data vil have. Hvis konsekvensen for universitetets forskning (hvis fx cyberspioner/-kriminelle får indsigt i, ændrer eller fjerner adgangen til de resultater, der er blevet arbejdet på i årevis) er for stor, så skal man gøre noget.
Og nu kommer vi tilbage til spørgsmålet fra starten. Hvad skal man så gøre?
Det kan jeg fortælle dig: Du skal finde dit it- og informationsdomænes løse tagsten og få dem sømmet fast. Du kan nok få hjælp til det meste, men du er den eneste, der kan tage ansvar for det.
Kig på dine sårbarheder
Indrømmet: Det er svært at finde sine sårbarheder i it- og informationsdomænet. For de fleste er det sværere at finde et sårbart it-system end en løs tagsten. (Men det kan DKCERT faktisk hjælpe med. Vi tilbyder institutioner på forskningsnettet at se, hvor der er løse tagsten, hvilke træ der kan vælte og hvor trampolinen står (hvis du da ikke vidste det i forvejen). Det kaldes for sårbarhedscanninger, og dem kan du bruge til din beslutning om, hvor du skal gøre noget først.)
Men sårbarheder ift. informationssikkerhed handler ikke (kun) om de it-systemer man bruger til at håndtere, sende eller processere kritiske informationer. Det handler i lige så høj grad om, hvorvidt der er styr på de informationer, når vi behandler dem analogt: papirrapporterne i printeren, papiret på det åbne kontor, de telefonsamtaler du fører og det du taler om i kantinen, i bussen. Om dine medarbejdere ved, hvordan de skal håndtere informationerne, om de er ligeglade eller om de faktisk har en anden dagsorden?
Er håndteringen af disse informationer sårbar, og hvordan kan sårbarheden i så fald håndteres?
Det er dit ansvar som en del af forskningsmiljøet at undersøge det.
Dit ansvar at handle
Ud fra vurderingen om en MEGET HØJ trussel fra cyberspionage og cyberkriminalitet kan vi for vores sektors vedkommende godt antage, at der er MEGET STOR sandsynlighed for forsøg på angreb mod dansk viden og forskning. Bl.a. fordi motiverne for et angreb er så klare: Dansk viden og forskning har høj kvalitet og er attraktiv.
Hvis din forskning også er attraktiv for dig, så skal du læse trusselsvurderingerne fra Center for Cybersikkerhed og DKCERT med de briller: At du er midt i en cyberstorm, og at det er dig, der skal tage ansvar for at handle udfra kendskabet til dit eget domæne og værdien af dine informationer.
Andre gør det ikke for dig.