Denne tekst er skrevet af Jens Myrup Pedersen, professor i cybersikkerhed ved Aalborg Universitet.

Lørdag den 29. oktober blev togdriften i store dele af Danmark sat på pause på grund af et cyberangreb, der ramte en af DSB-underleverandører.

Angrebet betød, at en afgørende app blev sat ud af spillet. DSB havde egentligt en nødplan – app’en burde kunne fungere i offline-mode i tilfælde af nedbrud – men af en eller anden grund fejlede den plan, og lokomotivførerne kunne berette at app’en ikke virkede.

Nu er det altid let at være bagklog, og det er indlysende, at løsningen ikke var tilstrækkelig: En fejl i en app må ikke stoppe togdriften i Danmark - eller andre dele af vores kritiske infrastruktur.

Jeg synes dog, det allervigtigste er, at vi lærer hver gang, der sker et cyberangreb eller andre typer af IT-nedbrud. Og denne hændelse understreger med al tydelighed, hvor vigtigt det er at have et beredskab klar i tilfælde af angreb eller nedbrud på kritiske IT-systemet, og at ens beredskab og genoprettelsesplan er både opdateret og testet.

Det gælder ikke bare for samfundskritiske systemer, men også for virksomheder, hvor det er afgørende, at der tages særligt hånd om de mest forretningskritiske systemer.

I den forbindelse er det også skræmmende (men ikke overraskende) læsning, der kom fra Rigsrevisionen så sent som den 4. november – mindre end en uge efter togdriften blev lagt ned.

Rigsrevisionen har undersøgt IT-beredskabet for 13 udvalgte samfundskritiske IT-systemer, og i ingen af de 13 tilfælde var beredskabet tilfredsstillende. Blandt andet var ingen af reetableringsplanerne testet tilstrækkeligt, og for fem af systemerne var planerne slet ikke testet i perioden 2019-2021. For et af systemerne var der slet ingen plan.

Det amerikanske NIST (National Institute of Standards and Technology) har lavet et cybersikkerheds-rammeværk, som jeg synes er ganske operationelt.

Det består af fem dele, og hvis man som virksomhed arbejder struktureret med alle fem, er det et godt skridt på vejen mod bedre cybersikkerhed.

Første del er at identificere, hvilke systemer man har. Herunder hvilke der er særligt kritiske, og danne sig et overblik over risici.

Anden del er at beskytte sig mod angreb – både tekniske foranstaltninger og eksempelvis træning af ansatte. Men da det er næsten umuligt at sikre sig helt mod angreb, er tredje del også vigtig.

Nemlig detektionen af mistænkelig aktivitet og angreb.

Ofte går der noget tid fra hackere ”er inde” til, de gennemfører det egentlige angreb, så en tidlig detektion og handling er afgørende.

Den fjerde del handler om at have en klar, opdateret og gennemtestet plan for, hvordan man håndterer angreb.

Den sidste del handler om at kunne genoprette sine systemer og komme tilbage i drift. Også her er det vigtigt at planerne er både opdaterede og gennemtestede.

En af Danmark tungeste profiler indenfor cybersikkerhed sagde engang til mig, at cybersikkerhed ikke handler om at skabe frygt, men om at beskytte håb.

Og mit håb er, at både politikerne og beslutningstagerne rundt omkring i de danske virksomheder lærer af det, der skete for DSB, så vi fremover vil se flere, bedre og gennemtestede planer for håndtering af og genopretning efter cyberangreb.