Denne artikel er oprindeligt skrevet til vores kunder i den finansielle sektor. Da budskabet har stor relevans – ikke kun for finansverdenen, men for hele samfundet – har vi valgt at offentliggøre den bredt, så flere kan få gavn af perspektiverne.
Indledning
”Den hybride krig er startet. Den kommer til at have mange forskellige ansigter,” udtalte statsminister Mette Frederiksen til DR torsdag aften d. 25. september.
Udtalelsen kommer oven på flere dage, hvor droner over lufthavne, kritisk infrastruktur og militære installationer har sat flytrafikken i stå i timer og trukket overskrifter verden over. Den Nationale Operative Stab (NOST’en) er trådt sammen i beredskabsniveau 2. Op mod 30.000 flypassagerer fik aflyst deres afgange eller blev på anden vis påvirket af episoden i Københavns Lufthavn mandag.
Hybridkrig er en form for krigsførelse, hvor man er i tvivl, om der er krig eller fred. Det omfatter sabotage, afpresning, kriminalitet og trusler om militære handlinger, men på en måde, hvor det kan være svært at afgøre, hvem der står bag handlingerne, og dermed svært at sanktionere eller dæmme op for. Formålet er at skabe utryghed og usikkerhed og fremme aktørens nationale interesser. Hybridkrig er ikke nyt, men er de seneste uger blevet væsentligt mere synligt, og retorikken omkring det fra politisk side og fra myndighederne er skærpet.
For jer, der arbejder med at beskytte finansielle institutioners digitale løsninger og finansiel infrastruktur, vækker de seneste dages hændelser nok en række overvejelser og bekymringer. For hvad betyder denne udvikling for vores it-risikobillede?
I disse dage opdaterer ACI Risk Measure sine baseline-estimater. Det gør vi løbende for at sikre, at vores kunders risikovurderinger til enhver tid er så opdaterede og retvisende som muligt – selv i et foranderligt risikolandskab.
Hvad har ikke ændret sig?
Lad os starte med, hvad der ikke har ændret sig. Det digitale risikobillede dækker over en række trusler, virkemåder og konsekvenser. Meget er som det plejer.
Risikoniveauet i relation til interne fejl og mangler er formentlig uændret. Dog bør man have stort fokus på, at det, som kan ligne interne fejl, kan dække over anslag til bevidste ondsindede handlinger. Her er logning af aktiviteter det stærkeste værktøj til at kunne efterforske og dokumentere hændelserne – herunder attribuere hændelsen til en konkret aktør eller gruppe.
Risikoniveauet i relation til fysiske hændelser er potentielt let øget, idet truslen mod kritisk infrastruktur som strøm- og internetinfrastruktur er øget.
Risikoniveauet i relation til fejl og mangler hos it-tredjeparter eller lukning af it-tredjeparter er ikke væsentligt ændret. Dog skal man, grundet den mere dynamiske geopolitiske situation – herunder relationen mellem EU, USA og Israel – være særligt opmærksom på risikoen for pludselige, væsentlige ændringer i det juridiske grundlag for leverandørforhold, og dermed pludseligt ophør eller forringelse af leverede ydelser.
Endelig er der risikoniveauet for eksterne ondsindede angreb. De dele af billedet, som har ændret sig, behandles nedenfor. Men det nye trusselsbillede betyder ikke, at økonomisk motiverede kriminelle grupper vil stoppe deres aktiviteter. Vi skal således fortsat forvente at se phishingangreb, CEO-fraud og forsøg på ransomwareangreb i samme omfang som hidtil.
Hvad har ændret sig?
Formålet med hybride trusler og hybridkrig er at skabe utryghed og usikkerhed i befolkningen og blandt beslutningstagere. Vi vil formentlig se en udvikling i teknikkerne i den kommende periode. Aktører giver sig ikke nødvendigvis til kende, men har et mål om at forårsage hændelser, som er synlige og kan skabe utryghed og usikkerhed.
I stedet for at tale om aktivistiske, destruktive eller økonomisk motiverede angreb kan det give værdi at tænke over, hvilke former for hændelser der kan blive særligt synlige og give anledning til usikkerhed og utryghed. Og når vi overvejer disse hændelser, skal vi tillægge, at vi har at gøre med en aktør med potentielt store kapabiliteter inden for cyberdomænet, og som vil være i stand til – og motiveret til – ikke blot at angribe en enkelt sårbar virksomhed, men udføre komplekse angreb på fælles infrastruktur og på tværs af mange aktører samtidig. Ikke for økonomisk vinding, ikke for at ødelægge infrastrukturen fuldstændigt, men for at skabe utryghed og usikkerhed og for at bringe vores håndtering af hændelserne ud til offentligt skue. Det er ikke vigtigt, hvad der er gået galt. Det er vigtigt, hvad det ser ud som om, der er gået galt.
Eksempler på angreb:
-
Disruptive angreb, såsom denial-of-service-angreb mod synlige systemer og infrastrukturer – både klassiske DDoS-angreb, men formentlig også mere avancerede og komplekse angrebsformer med samme formål.
-
Leverandør- og sektorfokuserede angreb. Man søger at påvirke den institutionelle tillid. Det er ikke sikkert, at truslen mod det enkelte mindre pengeinstitut er anderledes end i går, men truslen mod sektoren og de tværsektorielle samarbejder er steget. Der bør være øget fokus på at beskytte, detektere, håndtere og kommunikere (internt, i sektoren og eksternt) om de hændelser og trusler, der måtte ramme os.
-
Disinformationskampagner kombineret med ovenstående former for angreb. Når formålet er at skabe utryghed og usikkerhed, kan narrativet være vigtigere end de faktiske effekter på systemer og data. Hvordan kan I sikre, at I kommunikerer entydigt og tryghedsskabende, skulle en hændelse indtræffe?
Hvad kan I gøre allerede nu?
De seneste år har der været stort fokus på fortrolighedsbrud og kompromittering af datatilgængelighed gennem fx ransomwareangreb. Hybridangreb kan potentielt opnå meget stor effekt, hvis de kan kompromittere tilliden til datas rigtighed – integritet. Vær således opmærksomme på, om jeres beredskabsplaner passende afdækker hændelser, hvor dataintegritet kompromitteres, eller hvor sektorleverandørers dataleverancer kompromitteres. Hvis vi ikke længere kan stole på datas rigtighed, rammer det hårdt på tilliden og skaber utryghed og usikkerhed i samfundet.
Test jeres beredskabsplaner. Øv jer i jeres kommunikationsindsats og jeres koordinering med sektoren og myndighederne.
Er du et mindre pengeinstitut med høj afhængighed af leverandører, bør du have dialog med leverandørerne om deres tiltag i lyset af den nye situation. Stil krav, og støt dem i, at dette kræver løbende aktiviteter og samarbejde. Det er ikke løst i morgen og bliver ikke løst af enkelte aktører i isolation.
For sektorleverandører er der et åbenlyst argument for at opruste. Øg dialogen med myndighederne, Nationalbanken, NFCert, Styrelsen for Samfundssikkerhed og politiets cyberenheder. Test jeres beredskabsprocedurer og beredskabsplaner. Inddrag kunderne, og hav fokus på, hvordan kommunikation internt, i sektoren og eksternt kan styres under en alvorlig og synlig hændelse.