Klumme: CFCS hæver trusselsniveauet mod telesektoren

Truslen fra cyberaktivisme stiger, mens truslen fra cyberspionage falder.

Sådan står der at læse i Center for Cybersikkerheds trusselsvurdering, som blev udsendt fredag den 2. juni. Trusselsvurderingen vedrører specifikt telesektoren og afløser dermed den seneste trusselsvurdering mod sektoren, som er fra 2019.

Konkret sænkes niveauet for så vidt angår spionage fra HØJ til MIDDEL og niveauet for cyberaktivisme hæves fra LAV til MIDDEL.

Selvom telesektoren ikke direkte har med uddannelses- og forskningsområdet at gøre, så er trusselsvurderingen alligevel relevant at kaste et blik på af to årsager:

For det første driver telesektoren den infrastruktur, som vi som en del af det digitaliserede samfund stort set alle sammen er afhængige af. Er infrastrukturen nede, så er det svært at opretholde digitale services, kommunikere, formidle information og deslige.  For det andet er der bevægelserne i niveauet af truslen. Dem kan man lære meget af og gøre det nemmere at forstå, hvad trusselsvurderinger overhovedet er for nogle størrelser. Det vil jeg gennemgå her.

Fra høj til middel

Trusselsvurderingen sænker trusselsniveauet fra cyberspionage mod telesektoren fra høj til middel. CFCS skriver, at ændringen sker på baggrund af en fornyet analyse, der viser, den danske telesektor sandsynligvis ikke et højt prioriteret angrebsmål på nuværende tidspunkt. CFCS tilføjer, at det dog er muligt, at fremmede stater planlægger cyberspionage mod telesektoren i Danmark.

Årsagen er, at spionage primært har til formål at indhente information, der kan give en stat sikkerhedspolitisk viden eller fremme et lands industri og økonomi. Telesektoren i Danmark er ikke i sig selv en traditionel kilde til information af sikkerhedspolitisk karakter og udvikler ikke ny teknologi, der umiddelbart kan understøtte fremmede staters økonomi. Spionage vil ikke være rettet mod teleselskaberne selv, men mod ders kunder.

Set i det lys, giver det god mening at sænke niveauet – også selv om fremmede stater kunne tænkes at gøre det på et senere tidspunkt.

Med disse nuanceringer, som CFCS så udmærket gør rede for, så kan man stille sig selv det spørgsmål, om der overhovedet har været grund til at have et højt trusselsniveau fsa. cyberspionage siden 2019? Det vil jeg ikke kloge mig på, men jeg vil hilse det, som jeg betragter som en mere moden og velovervejet trusselsvurdering, velkommen. Det øger troværdigheden for centeret. 

Fra lav til middel

Trusselsvurderingen ændrer sig også for cyberaktivisme. Dette giver også mening set i lyset af, at den seneste trusselsvurderingen mod Danmark, som udkom den 18. maj, hæver niveauet for cyberaktivisme fra lav til middel. Og her den 30.6 blev vurderingen af truslerne fra cyberaktivisme mod de øvrige kritiske sektorer også hævet til middel.

Her er årsagen direkte relateret til krigen i Ukraine, hvor cyberaktiviteterne i de seneste måneder har bevæget sig fra Ukraine og Rusland til Nato-landene Tjekkiet, Polen og Estland. Og de cyberaktivistiske tendenser breder sig yderligere mod vest. For nylig så vi Italien være truet og Palermo decideret ramt af aktiviteter, som kan knytte sig til hævnaktioner som følge af, at medlemmer af den prorussiske cybergruppe Killnet fik deres navne og billeder offentliggjort på sociale medier. Og her i uge 26 har vi set Killnet iværksætte overbelastningsangreb mod bl.a. banksektoren i vores naboland og Nato-allierede, Norge – vistnok pga. den norske udenrigsministers nylige besøg i Kyiv. Også Litauen har været ramt. Dette som følge af blokaden af varer til Kaliningrad. Altså cyberaktivisme, der bl.a. er defineret ved at være politisk motiveret og kunne opstå med kort varsel.

Alt andet lige øger det sandsynligheden for tilsvarende angreb mod mål i Danmark.

Kritik af trusselsvurderinger

Der rejses jævnligt kritik af Center for Cybersikkerhed for trusselsvurderingerne. Fx blev det påpeget ifm. Ruslands invasion af Ukraine, at trusselsniveauet måtte da være hævet, når man måtte forvente en øget form for cyberkriminel eller cyberaktivistisk aktivitet under krigen – måske ligefrem ødelæggende cyberangreb mod infrastrukturen. Men når trusselsniveauet er på højeste niveau fsa. kriminalitet, så kan det jo ikke hæves yderligere.

Efter min opfattelse er kritikken ikke berettiget. Vurderingerne baserer sig på de kilder, som centeret har, og grundige analyser. Men man kan med god ret hævde, at der ikke er meget nyhedsværdi og dermed opmærksomhed fra det udenforstående miljø, når truslerne fastholdes på de samme niveauer år ud og år ind.

Det svarer til altid at råbe ’ulven kommer’. Konsekvensen af dette kender vi alt for godt. Det, som CFCS i realiteten siger, er, at der er stor sandsynlighed for at ulven kommer – MEGET HØJ betyder, at den allerede er her -  og derfor skal man tage sin forholdsregler. Hold fårene inde om natten, byg en ulvesikker fold og uddan hyrden i faresignaler og understreg, at han/hun kun må alarmere, når ulven rent faktisk angriber fårene.

Stiger niveauet af aktivisme til HØJ?

Men når der så er ændringer i trusselsniveauer, som vi har set fsa. cyberaktivisme, så giver det i højere grad mening at studere trusselsvurderingerne mere grundigt. For så forstår man nuancerne i det samlede trusselsbillede, motiverne og ræsonnementerne fra cyberaktivisterne og de overvejelser, der er gjort i CFCS.

Så min opfordring er: Læs vurderingen af truslerne mod telesektoren (og bagefter mod de andre sektorer) også selv om du ikke er en del af de sektorer. Så forstår du måske bedre vurderingen af truslerne mod din egen.

Mit bud er i øvrigt, at niveauet for cyberaktivisme stiger til HØJ inden for det næste år. Dette som en følge af krigen Ukraine, for angrebene rykker tættere på - og uanset hvordan krigen ender, vil det være et våben, som vil true os i lang tid fremover.

Links:

https://www.cfcs.dk/da/nyheder/2022/cfcs-haver-trusselsniveauet-for-cyberaktivisme-mod-danmark/

https://www.cfcs.dk/da/cybertruslen/trusselsvurderinger/tele/

https://www.cfcs.dk/da/cybertruslen/trusselsvurderinger/

 

Henrik Larsen, chef for DKCERT

Henrik Larsen skriver med jævne mellemrum en klumme om aktuelle spørgsmål om informationssikkerhed.