IT-infrastrukturens sårbarhed

Transkript

1 IT-infrastrukturens sårbarhed Rapport og anbefalinger fra en arbejdsgruppe under Teknologirådet Teknologirådets rapporter 2004/4

2 IT-infrastrukturens sårbarhed Rapport og anbefalinger fra en arbejdsgruppe under Teknologirådet Projektledelse i Teknologirådets sekretariat: Gy Larsen Projektmedarbejder: Anders Jacobi Projektsekretærer: Jette Christensen Ulla Spangsberg Ipsen Omslag: Bysted HQ Tryk: Vesterkopi ISBN: ISSN: Rapporten bestilles hos: Teknologirådet Antonigade København K Telefon Fax tekno@tekno.dk Rapporten findes også på Teknologirådets hjemmeside Teknologirådets rapporter 2004/4

3 Indholdsfortegnelse Indholdsfortegnelse... 1 Forord Indledning Rapporten Projektets baggrund og problemstilling Resume Arbejdsgruppens opgaver og projektforløbet Workshoppen Metode og forløb Forslag fra workshoppen Oplæg til deltagerne på workshoppen Arbejdsgruppens konklusioner og anbefalinger Konklusioner Anbefalinger Erfaringer fra Holland Figur Figur Baggrundsnotat om IT infrastrukturens sårbarhed Indledning Truslen fra cyberspace baggrund og konsekvenser IT sikkerhed på udvalgte samfundsområder Flere holdninger og initiativer på IT sikkerhedsområdet Kilder til notatet

4 Forord Danmark er i dag afhængig af en velfungerende IT infrastruktur. I takt med at denne afhængighed øges, vokser erkendelsen af IT infrastrukturens sårbarheder. Samtidig er konsekvenserne af systemnedbrud store og komplekse. Fejl, mangler og skadelige angreb er ikke kun begrænset til en enkelt virksomhed eller institution, det er også et samfundsmæssigt problem. Det er denne problemstilling, som danner grundlag for Teknologirådets projekt om IT infrastrukturens sårbarhed. Til projektet har der gennem hele projektperioden været tilknyttet en arbejdsgruppe: Preben Andersen, DK-CERT Peter Christensen, Catpipe Systems Sten Christophersen, Hovedstadens Sygehusfællesskab Freddie Drewsen, Forsvarets Forskningstjeneste Knud Mose, TDC Erhverv Arbejdsgruppen har bistået Teknologirådet med faglig viden, strukturering af projektet, planlægning af projektets workshop samt udarbejdelse af denne rapport, som danner afslutning på projektet. Som led i projektet blev der afholdt en workshop i oktober 2003 i samarbejde med Forsvarets Forskningstjeneste på Svanemøllens kaserne. På workshoppen deltog en række IT sikkerhedsansvarlige fra institutioner og virksomheder offentlige såvel som private som bidrog med viden om sårbarhed, trusler og indbyrdes afhængighed af IT. Som oplæg til workshoppen blev der produceret et notat om IT infrastrukturens sårbarhed. Notatet er baseret på en række interviews med IT sikkerhedspersoner fra udvalgte sektorer og er skrevet af journalist Jakob Vedelsby. Notatet er en del af denne rapport. Projektansvarlige i Teknologirådet er projektleder Gy Larsen og projektmedarbejder Anders Jacobi. Lise Damkjær, Learning 4life, var proceskonsulent på workshoppen. Rapporten findes på Teknologirådets hjemmeside Teknologirådet maj 2004 Gy Larsen projektleder 2

5 1. Indledning 1.1. Rapporten Denne rapport sammenfatter hovedtemaerne og resultaterne fra Teknologirådets projekt om IT infrastrukturens sårbarhed. Emnet er blevet behandlet af en arbejdsgruppe nedsat af Teknologirådet, og arbejdsgruppen har endvidere assisteret Teknologirådet i planlægningen af en workshop om IT infrastrukturens sårbarhed. Formålet med workshoppen var at få repræsentanter fra private og offentlige institutioner og virksomheder med kendskab til IT infrastrukturen til at indgå i en erfaringsudveksling. Rapporten indeholder en beskrivelse af metode og projektforløb. Konklusioner og anbefalinger fra henholdsvis workshoppen og projektets arbejdsgruppe er beskrevet. Derudover indeholder rapporten en skitsering af hollandske erfaringer med at kortlægge den samfundsmæssige infrastrukturs sårbarheder og trusler mod denne. Som optakt til projektets workshop blev der udarbejdet et baggrundsnotat som inspiration til deltagerne. Dette materiale bygger på en række interviews med IT sikkerhedsansvarlige fra det offentlige og private område. Desuden har projektets arbejdsgruppe bidraget til materialets udformning. Baggrundsnotatet er en del af denne rapport. Formålet med rapporten er at formidle projektets resultater om den komplekse problemstilling om IT infrastrukturen, samfundsmæssige sårbarheder og behovet for øget IT sikkerhed. Rapporten henvender sig til politikere og institutioner, som er en del af den kritiske IT infrastruktur, herunder offentlige og private virksomheder. Det er håbet, at rapporten kan bidrage til at belyse et område, hvor der er stor usikkerhed omkring den reelle sårbarhed og lægge op til den vigtige brede samfundsmæssige debat om emnet Projektets baggrund og problemstilling IT spiller en stadig større rolle overalt i samfundet. Dermed bliver IT også et vigtigt element i forhold til samfundets kritiske infrastruktur det vil sige de områder, som er afgørende for, at nationen kan fungere på alle niveauer. Samfundets kritiske infrastruktur omfatter mange forskellige områder fra energi- og vandforsyning og kommunikation til sygehusvæsen, finanssektoren og centraladministrationen. IT infrastrukturen indgår i samfundets kritiske infrastruktur. Den udgør en voksende del af teleområdet, netværk (fra det åbne Internet til mere lukkede netværk) og tilhørende IT systemer. IT infrastrukturen går på tværs af de traditionelle sektorer. Internettet og andre IT baserede redskaber har mange anvendelsesmuligheder, rationaliserings- og effektiviseringspotentialer og har store fordele, men disse teknologiers udbredelse gør også samfundet mere sårbart og stiller nye sikkerhedskrav til planlægning, opbygning og administration af IT infrastrukturen. Samtidig er vi koblet sammen interconnected globalt i langt højere grad end nogensinde før. Dette har uvurderlige fordele, men det gør os også mere sårbare. Der er i dag mere end 600 millioner Internet brugere, som har direkte adgang til Danmark via Internettet. Det danske samfund mangler overblik over den samfundsmæssige sårbarhed for at kunne stille krav til den sikkerhed, som kan mindske sårbarheden. Det manglende overblik indebærer en for ringe erkendelse 3

6 af problemstillingens kompleksitet, den voksende indbyrdes afhængighed mellem virksomheder og institutioner og trusselsbillederne. I de seneste 4-5 år er der registeret fortsat vækst i antallet af anmeldelser af hacking. Risikoen stiger, og nye trusler opstår i takt med realiseringen af visionen om Det Digitale Danmark, hvor information og viden kan flyde frit. Den offentlige sektor vil servicere borgerne elektronisk, Internet banker vinder frem, kommunikationssøgning, nyhedsformidling og kontakt mellem mennesker sker i stigende grad via Internettet, men samtidig kan man bekymres ved mulighederne for øget uautoriseret indtrængen af vira, orme eller hackere til personfølsomme og andre kritiske data. Projektet har på et overordnet plan forsøgt at vurdere den danske IT infrastrukturs sårbarhed nu og i nær fremtid for på den baggrund at komme med nogle anbefalinger i forhold til, hvilken indsats, der er nødvendig for at sikre den danske IT infrastruktur. Dette er i sig selv en umulig opgave. Dels findes der ingen samlet opfattelse af, hvor meget den danske IT infrastruktur omfatter, og dels er området dynamisk, komplekst og interconnected. Dertil kommer at en sårbarhedsanalyse inden for IT i forvejen er vanskelig. Alligevel har arbejdsgruppen på baggrund af projektets workshop og det øvrige projektforløb ønsket at give en række anbefalinger i forhold til et videre arbejde med denne afdækning Resume I dag findes der intet samlet overblik over Danmarks IT relaterede sårbarhed. Medierne fokuserer hyppigt på hackere og virusangreb. Stort set alle har hørt om de såkaldte orme senest bl.a. Slammer og Blaster, men truslen mod IT infrastrukturen er ikke begrænset til disse mediehistorier. Der er en lang række mere eller mindre kendte trusler : Hvordan forholder det sig med cyberterrorister - findes de? Kan telefontrafikken lammes? Kan den offentlige sektor eller finanssektoren blive lammet af et angreb via Internettet? Inden for det seneste år har IT nedbrud i blandt andet den finansielle sektor herhjemme aktualiseret en problemstilling, der både koster samfundet dyrt og på anden vis skabe problemer for borgerne for eksempel hvis nedbrud sker i hospitalsvæsenet. På Teknologirådets workshop om IT infrastrukturens sårbarhed berettede Eric Luiijf fra det hollandske TNO, som blandt andet arbejder med anvendelse af forskning, om initiativer på området. Første trin i det hollandske projekt var at identificere vitale samfundsområder og afdække deres kritiske processer og afhængigheder for eksempel at nedbrud af strømforsyningen vil have konsekvenser på en lang række andre samfundsområder. Hollænderne har fundet i alt 11 kritiske sektorer, herunder energi, drikkevand, den finansielle sektor, sygehusvæsenet og transport. Hvert område er derudover opdelt i underområder for eksempel er transport opdelt i transport på henholdsvis vej, jernbane, luft og vand samt transport i rørlinier. Også Internettet defineres som en vital og kritisk infrastruktur og afhængighederne på IT området vurderes at være særdeles komplekse og involvere mange aktører. Andet og tredje trin i det hollandske projekt, som endnu ikke er afsluttet, går ud på at stimulere til et samarbejde mellem den offentlige sektor og private virksomheder om at forbedre infrastrukturens sikkerhed. I trin tre gennemføres en trussels- og sårbarhedsanalyse, som skal afdække manglende sikkerhedsforanstaltninger. I en foreløbig konklusion hedder det blandt andet, at truslerne mod infrastrukturen hele tiden ændrer sig. Et samfund skal kunne reagere hurtigt på nye trusler, der skal forebygges via et tæt samarbejde mellem offentlige og private aktører, vurderer TNO i Holland. 4

7 På Teknologirådets workshop i oktober 2003 på Svanemøllen kaserne diskuterede IT sikkerhedsansvarlige fra en række offentlige og private institutioner og virksomheder forskellige aspekter af problemstillingen om IT infrastrukturens sårbarhed. Afslutningsvis fremkom deltagerne med individuelle forslag til initiativer, som de mente ville kunne mindske sårbarhederne. Nogle deltagere foreslog, at enhver virksomhed bør indføre løbende overvågning med og egenkontrol af sårbarheder og sikkerhedsniveau. Andre fokuserede på, at der bør indføres nødprocedurer og et lokalt beredskab i tilfælde af strømsvigt. For at sikre, at alle virus- og hackerangreb bliver indberettet, skal man kunne gøre dette anonymt, lød et tredje forslag på workshoppen. Flere af deltagerne mente, at samfundet overordnet set bør vedtage fælles IT standarder, fælles IT terminologi og en fælles praksis for IT sikkerhedsregnskaber. Andre fremførte, at der bør vedtages en lovgivning, som fastsætter minimumskrav til IT sikkerhed i offentlige og private virksomheder. Overordnet set demonstrerede workshoppen en fælles erkendelse af, at kompleksiteten i IT infrastrukturen hele tiden bliver øget. Det giver problemer med teknisk gennemskuelighed og placering af ansvar i virksomhederne. Den indbyrdes afhængighed på tværs af offentlige og private sektorer vokser og dermed øges sårbarheden over for uønskede hændelser. IT-kontrolmulighederne svækkes af outsourcing, globalisering og hurtig udvikling af digital forvaltning. Der var stor enighed om, at der er behov for flere lignende møder på tværs af sektorer for at afdække den indbyrdes afhængighed og sårbarhederne. Deltagerne udtrykte ønske om at kunne indgå i et sådant konkret arbejde for at finde løsninger til fælles bedste. Det er vigtigt ikke kun at fokusere på centralt dirigerede løsningsforslag på IT-infrastrukturens sårbarhed, lød det på workshoppen. Workshoppen demonstrerede, at der er behov for at involvere interessenterne aktivt i en proces, der kan afdække sårbarheder i forhold til den samfundsmæssig kritiske IT infrastruktur, identificere indbyrdes afhængigheder mellem institutioner og virksomheder og finde løsningsforslag. Workshoppens form et såkaldt caféseminar viste i miniformat en proces til at håndtere dette behov, som deltagerne vurderede meget positivt. Der blev på workshoppen skabt et rum for en åben erfaringsudveksling om ømtålelige problemstillinger og vist en stor vilje til dialog og lyst til at arbejde med løsningsmodeller. Arbejdsgruppen for projektet om IT infrastrukturens sårbarhed mener på baggrund af deres deltagelse i Teknologirådets projekt, at der er behov for en grundig og bredt favnende undersøgelse, som involverer både politiet, forsvaret og civile offentlige og private institutioner og virksomheder. Arbejdsgruppen lægger vægt på, at også selve gennemførelsen af en sådan undersøgelse er vigtig: Undersøgelsen vil betyde, at der bliver skabt opmærksomhed om problemstillingerne i alle dele af samfundet og dét er der et akut behov for. Opgaven er stor på grund af IT infrastrukturens kompleksitet. Det er en vanskelig opgave at løse fra centralt hold, da den kritiske IT infrastruktur inkluderer en lang række private virksomheder, såvel som offentlige institutioner. En definition og afdækning af den kritiske IT infrastruktur og den indbyrdes afhængighed mellem sektorer, institutioner og virksomheder kræver derfor, at de relevante aktører inddrages i processen. I arbejdet med at definere og afdække den kritiske IT infrastruktur er udviklingen af en fælles terminologi og en fælles referenceramme vigtig. Manglen på fælles terminologi og referenceramme har hidtil været en af forhindringerne for en dybdegående analyse af området, så et sted at starte vil være med udviklingen af et sådant fælles sprog. Indenfor den offentlige sektor er det vigtigt at være opmærksom på, at sårbarheden øges i takt med, at det offentlige åbner sig mere og mere mod borgerne. Det er en glidende udvikling, og politikerne er tilsyneladende ikke opmærksomme på de risici, udviklingen medfører. 5

8 I forhold til IT sikkerhed generelt kan arbejdsgruppen konkludere, at den menneskelige faktor er væsentlig i forhold til IT sårbarhed og sikkerhed, samt at sikkerheden i det svageste led udgør sikkerheden på et givet område. Derfor skal vi arbejde for en øget awareness om IT sårbarhed både på brugerniveau og på ledelsesniveau. Et af de største problemer for sikkerheden er den manglende forståelse for, hvor vigtigt denne sikkerhed er. Sikkerhed opfattes ofte som en (økonomisk) byrde, men er der først opmærksomhed på problemet, vil der også blive gjort noget ved det. Danmark skal desuden have et større uddannelsesmæssigt fokus på IT sårbarhed og sikkerhed. Det kan endvidere konkluderes, at IT sikkerheds deklarationer på flere niveauer bør etableres, og at der bør være differentierede krav til de forskellige sektorer alt efter deres placering i den samfundsmæssig kritiske infrastruktur, således at de sikkerhedsmæssige krav til de mest kritiske sektorer er størst. En måde at indføre sikkerhedsmæssige krav, er at indføre standarder. Her skal man dog være opmærksom på, at standarder alene ikke kan løse problemerne. Standarder kan være svære at forstå, og der er behov for at udarbejde vejledninger i forbindelse med standarder, så disse bliver lettere at implementere: Dette gælder især de mange virksomheder og institutioner, som ikke har egne store IT afdelinger. Teknologirådets arbejdsgruppe har på baggrund af egne diskussioner på en række arbejdsmøder i perioden maj 2003 til januar 2004, samt via resultaterne fra den afholdte workshop i oktober 2003 formuleret en række anbefalinger for den fremtidige danske indsats i forhold til IT infrastrukturens sårbarhed: Der bør iværksættes en tværfaglig og bredt favnende undersøgelse af IT infrastrukturens sårbarhed i Danmark. Undersøgelsen skal dels skærpe danskernes opmærksomhed i forhold til, hvor usikre IT forholdene faktisk er i dag, dels resultere i løsningsmodeller, der begrænser Danmarks IT relaterede sårbarhed mest muligt. Undersøgelsen forudsætter viden indsamling, et indgående analysearbejde og en prioriteret forskningsindsats inden for de forskellige sektorer I arbejdet med at afdække IT infrastrukturens sårbarhed bør Danmark være opmærksom på udenlandske erfaringer. Holland er et af de lande, som har været en lignende proces igennem, hvorfor det vil være fornuftigt blandt andet at trække på erfaringerne herfra Som resultat af den danske undersøgelse bør der iværksættes initiativer, som skaber opmærksomhed og viden i samfundet om IT sårbarhed og IT sikkerhed. Arbejdsgruppen lægger her særlig vægt på, at der bliver skabt opmærksomhed om den menneskelige faktors afgørende betydning i den forbindelse Arbejdsgruppen finder det vigtigt, at der bliver skabt en fundamental viden i samfundet om IT sikkerhed og IT sårbarhed. Dette bør blandt andet ske ved at sikre, at der bliver sat større fokus på disse emner i regi af såvel grunduddannelserne som de videregående uddannelser Med henblik på fremover at opnå en situation med størst mulig IT sikkerhed overalt i samfundet, anbefales det, at der i forlængelse af undersøgelsen opstilles forskellige IT sikkerhedsmæssige krav til forskellige sektorer alt efter hvor betydningsfulde for samfundet de er. 6

9 2. Arbejdsgruppens opgaver og projektforløbet Projektforløbet blev indledt med nedsættelse af en arbejdsgruppe med 5 eksterne eksperter, som diskuterede og afgrænsede problemstillingen og de områder, som er væsentlige at omfatte i forhold til en kritisk IT infrastruktur, hvor sårbarheden og konsekvenserne ved sammenbrud er store for samfundet. Arbejdsgruppen bestod af: Freddie Drewsen, Forsvarets Forskningstjeneste Knud Mose, TDC Peter Christensen, Catpipe Systems Preben Andersen, Cert UNI-C Sten Christophersen, Hovedstadens Sygehusfællesskab Arbejdsgruppen har bistået Teknologirådet gennem projektforløbet med faglig viden og strukturering af projektet, planlægning af projektets workshop samt udarbejdelse af rapporten, som afrunder projektarbejdet. Arbejdsgruppens opgaver i første fase var at vurdere IT infrastrukturens sårbarhed - problemets karakter og omfang. Dernæst assisterede arbejdsgruppen Teknologirådet i planlægningen af en workshop, ligesom de deltog i udarbejdelsen af det baggrundsnotat, som var oplæg til deltagerne i workshoppen. Arbejdsgruppens har som afsluttende opgave formuleret projektets konklusioner og anbefalinger i forhold til IT infrastrukturens sårbarhed. Disse er inspireret af workshoppen, men er ikke bundet af resultaterne fra denne. Arbejdsgruppens konklusioner og anbefalinger er udarbejdet på baggrund af det samlede projektforløb og arbejdsgruppens viden om området. Projektarbejdet har forløbet i perioden maj 2003 til marts Der har været afholdt 9 møder i henholdsvis Teknologirådet og i Forsvarets Forskningstjeneste. 7

10 3. Workshoppen Projektet har fra starten inkluderet afholdelse af et debatarrangement om IT infrastrukturens sårbarhed. På baggrund af en vurdering af emnets karakter, besluttede Teknologirådets arbejdsgruppe, at emnet skulle behandles på en workshop i form af afholdelse af et cafeseminar. Det blev vurderet, at det væsentlige ikke var, hvilke virksomheder og institutioner workshoppens deltagere repræsenterede. Derimod var deltagernes erfaringer, viden og aktive deltagelse i arbejdet med at beskrive problemstillingen og give bud på indsatsen i forhold til at mindske IT infrastrukturens sårbarhed et væsentligt element i workshoppen. Cafeseminar-metoden gav deltagerne mulighed for at diskutere problemstillingen i et mere uformelt forum med fokus på erfaringsudveksling og forslag til indsatsmodeller. Cafeseminaret blev afholdt i samarbejde med Forsvarets Forskningstjeneste d. 7. oktober 2003 på Svanemøllen kaserne Metode og forløb Cafeseminar-metodens formål var at skabe dialog mellem repræsentanter fra de centrale institutioner indenfor de udvalgte områder omkring IT infrastrukturens sårbarhed, så alle deltagere gennem erfaringsudveksling kunne blive klogere, både på egne sårbarheder, andres sårbarheder og på den indbyrdes afhængighed. Deltagerne var personer, som er i konkret berøring med og har ansvar for IT sikkerhed, og som derfor kunne pege på de konkrete funktioner, truslerne mod funktionerne og beskyttelsen af vigtige funktioner. Deltagerne repræsenterede væsentlige dele af den samfundsmæssige kritiske infrastruktur: Sundheds-, finans-, telekommunikations-, transport-, energiforsynings- og mediesektoren samt forsvaret, politiet og den offentlige administration. Deltagerne arbejdede i grupper på 5-6 personer ved mindre borde i samme lokale, og diskussionen blev styret via processpørgsmål stillet af en cafevært. Undervejs vekslede deltagerne mellem bordene, så man kunne drage nytte af de andre gruppers erfaringer. Cafeseminaret startede med et inspirerende oplæg fra hollandske Eric Luiijf fra TNO om, hvordan de har forsøgt at kortlægge den nationale sårbarhed på IT området i Holland. Han indledte med at spørge: Kender du din nabo? Altså ved virksomhederne og institutionerne nok om deres kunder, klienter og modtagere af ydelser - i forhold til IT sikkerhedsafhængigheden imellem dem. Eric Luiijf vurderede, at der en meget større indbyrdes afhængighed af hinandens IT systemer, end vi er vidende om. Og at det øger IT sårbarheden! Man bør afdække disse afhængighedsnetværk og forstå dem for at kunne arbejde fornuftigt med IT sikkerhedstiltag. Stadig flere offentlige institutioner privatiseres, og det mindsker det offentliges mulighed for at have viden om og kunne regulere i forhold til fejl, mangler, uheld og egentlige angreb på vitale områder af den samfundsmæssige infrastruktur. Derfor er der brug for mere samarbejde mellem det offentlige og private i forhold til fælles ansvar for IT sårbarhed, trusler og sikkerhed, sluttede Eric Luiijf sit indlæg Forslag fra workshoppen På Teknologirådets workshop om IT infrastrukturens sårbarhed diskuterede deltagerne forskellige aspekter af emnet. Afslutningsvis fremkom deltagerne med individuelle forslag til initiativer, som de mente ville kunne mindske sårbarhederne. Nogle deltagere foreslog, at enhver virksomhed bør indføre løbende 8

11 overvågning med og egenkontrol af sårbarheder og sikkerhedsniveau. Virksomheder bør også indføre nød procedurer og et lokalt beredskab i tilfælde af strømsvigt. For at sikre, at alle virus- og hackerangreb bliver indberettet, skal man kunne gøre dette anonymt, lød et tredje forslag på workshoppen. Flere af deltagerne mente, at samfundet overordnet set bør vedtage fælles IT standarder, fælles IT terminologi og en fælles praksis for IT sikkerhedsregnskaber. Andre fremførte, at der bør vedtages en lovgivning, som fastsætter minimumskrav til IT sikkerhed i offentlige og private virksomheder. Overordnet set demonstrerede workshoppen en fælles erkendelse af, at kompleksiteten i IT infrastrukturen hele tiden bliver øget. Det giver problemer med teknisk gennemskuelighed og placering af ansvar i virksomhederne. Den indbyrdes afhængighed på tværs af offentlige og private sektorer vokser og dermed øges sårbarheden over for hændelser. IT kontrolmulighederne svækkes af outsourcing, globalisering og hurtig udvikling af digital forvaltning. Der er behov for flere møder på tværs af sektorer for at afdække indbyrdes afhængighed og sårbarheder og for at arbejde for løsninger til fælles bedste. Det er vigtigt ikke kun at fokusere på centralt dirigerede løsningsforslag på IT infrastrukturens sårbarhed, lød det på workshoppen. Workshoppen blev en minidemonstration af, hvilken proces der kunne bidrage til at opfylde dette behov for en tættere dialog mellem de mange forskellige private og offentlige aktører, som må inddrages i arbejdet med at afdække IT infrastrukturens sårbarheder, identificere indbyrdes afhængigheder og tage del i løsningsforslagene. 9

12 4. Oplæg til deltagerne på workshoppen Som oplæg til deltagerne i projektets workshop på Svanemøllens kaserne i oktober 2003 blev der produceret et baggrundsnotat. Projektets arbejdsgruppe planlagde notatet, og journalist Jakob Vedelsby udfærdigede dette på baggrund af en række interviews af IT sikkerhedsansvarlige i offentlige og private institutioner og virksomheder. Målet var at skabe en fælles begrebsramme hos deltagerne inden selve workshoppen og videregive nogle aktuelle vurderinger af IT infrastrukturens sårbarhed i Danmark. Det fulde notat er gengivet som afsluttende del af denne rapport, men i det følgende er der en kort gengivelse af en række vurderinger fra disse personer af IT sikkerhedsområdet. De peger på en række aktuelle problemer og behov i forhold til IT infrastrukturens sårbarhed: i betragtning af, hvor mange samfundsaktører, der er afhængige af en sikker og stabil IT infrastruktur kan det bekymre, at der endnu ikke er iværksat en koordineret indsats for at styrke den Internet relaterede IT sikkerhed på landsplan opgaven bør være en totalforsvarsopgave på linie med beskyttelse af for eksempel el- og varmeforsyningen der er behov for, at samfundet formulerer regler for driften af og adgangen til samfundskritiske IT systemer. Ensartede regler og sikkerhedsniveauerne vil reducere sårbarheden markant der bør etableres en koordinerende instans, som overvåger IT infrastrukturen og et IT sikkerhedsberedskab på alle vitale samfundsområder der er behov for en formuleret officiel dansk strategi for IT sikkerhed, som opstiller en række mindstekrav, som skal være opfyldt i offentlige virksomheder digitaliseringen af den offentlige sektor stiller store krav til IT infrastrukturen i Danmark. Jo større samfundsbetydning og -integration Internettet får, jo større bliver behovet for en koordineret indsats, som kan optimere sikkerheden der skal gennemføres en risiko-konsekvens analyse i forhold til IT sikkerheden i Danmark. Kun på den baggrund kan man sikre, at samfundet og virksomhederne ikke spilder ressourcer på de forkerte områder i relation til IT manglende ledelsesmæssigt fokus på problemstillingen og vanskeligheder ved ansvarsplacering tiden er inde til at udvikle konkrete sikkerhedsstandarder, som alle IT leverandører skal basere deres systemer på. Det skal sikre, at alle systemer spiller i samme toneart rent sikkerhedsmæssigt 10

13 5. Arbejdsgruppens konklusioner og anbefalinger Arbejdsgruppen bag projektet har på baggrund af projektarbejdet og resultaterne fra projektets workshop draget nogle konklusioner, som fører til en række anbefalinger Konklusioner På baggrund af det samlede projektarbejde med problemstillingen omkring IT infrastrukturens sårbarhed kan arbejdsgruppen konkludere, at den kritiske IT infrastruktur mangler at blive defineret, men at det er en stor opgave på grund af IT infrastrukturens kompleksitet. Det er en vanskelig opgave at løse fra centralt hold, da den kritiske infrastruktur på IT området inkluderer en lang række private virksomheder, såvel som offentlige institutioner. En definition og afdækning af den kritiske IT infrastruktur og den indbyrdes afhængighed mellem sektorer, institutioner og virksomheder kræver derfor, at alle relevante aktører inddrages i processen. Der bør iværksættes flere analyser og mere forskning i forhold til at afdække de samfundsmæssige problemer med IT infrastrukturens sårbarhed, og vi bør være opmærksomme på de udenlandske erfaringer på området. Projektarbejdet har vist at de hollandske erfaringer med at afdække IT infrastrukturens sårbarhed kan give nogle nyttige bidrag. I stedet for at starte fra bunden vil det være en god ide at undersøge og bygge på de eksisterende erfaringer fra Holland, hvor man allerede har brugt mange ressourcer på den vanskelige opgave. Men en række lande har også erfaringer med dette arbejde. Arbejdsgruppen konkluderer desuden, at en vigtig del af arbejdet med at definere og afdække den kritiske IT infrastruktur er udviklingen af en fælles terminologi og en fælles referenceramme. Manglen på fælles terminologi og referenceramme har hidtil været en af forhindringerne for en dybdegående analyse af området, så et sted at starte vil være med udviklingen af et sådant fælles sprog. Indenfor den offentlige sektor er det vigtigt at være opmærksom på, at sårbarheden øges i takt med, at det offentlige åbner sig mere og mere mod borgerne. Det er en glidende udvikling, og politikerne er tilsyneladende ikke nok opmærksomme på de risici, udviklingen medfører. I forhold til IT sikkerhed generelt kan arbejdsgruppen konkludere, at den menneskelige faktor er væsentlig i forhold til IT sårbarhed og sikkerhed, samt at sikkerheden i det svageste led udgør sikkerheden i et område. Derfor skal vi arbejde for en øget awareness om IT sårbarhed både på brugerniveau og på ledelsesniveau. Et af de største problemer for sikkerheden er den manglende forståelse af, hvor vigtigt det er. Sikkerhed opfattes ofte som en byrde blandt i økonomisk henseende. Danmark skal vi desuden have et større uddannelsesmæssigt fokus på IT sårbarhed og sikkerhed, fx kunne IT sikkerhed inddrages i lederuddannelser. Det kan endvidere konkluderes, at IT sikkerheds deklarationer på flere niveauer bør etableres, og at der bør være differentierede krav til de forskellige sektorer alt efter deres placering i den samfundsmæssig kritiske infrastruktur, således at de sikkerhedsmæssige krav til de mest kritiske sektorer er størst. En måde at indføre sikkerhedsmæssige krav på, er at indføre standarder. Her skal man dog være opmærksom på, at standarder alene ikke kan løse problemerne. Standarder kan være svære at forstå, og man bør udarbejde vejledninger i forbindelse med standarder, så disse blev lettere at implementere især i mindre institutioner og virksomheder uden store IT afdelinger. 11

14 5.2. Anbefalinger Teknologirådets arbejdsgruppe kan på baggrund af egne diskussioner, arbejdet med oplæg til workshop ( Notat om IT infrastrukturens sårbarhed ) og resultaterne fra workshoppen, præsentere følgende fem anbefalinger: Arbejdsgruppen anbefaler, at der iværksættes en bredt favnende undersøgelse af IT infrastrukturens sårbarhed i Danmark. Undersøgelsen skal dels skærpe danskernes opmærksomhed i forhold til, hvor usikre IT forholdene faktisk er i dag, dels resultere i løsningsmodeller, der begrænser Danmarks IT relaterede sårbarhed mest muligt. Undersøgelsen forudsætter viden indsamling, et indgående analysearbejde og en prioriteret forskningsindsats inden for de forskellige sektorer. I arbejdet med at afdække IT infrastrukturens sårbarhed bør Danmark være opmærksom på udenlandske erfaringer. Holland er et af de lande, som har været en lignende proces igennem, hvorfor det vil være fornuftigt blandt andet at trække på erfaringerne herfra. Som resultat af den danske undersøgelse bør der iværksættes initiativer, som skaber opmærksomhed og viden i samfundet om IT sårbarhed og IT sikkerhed. Arbejdsgruppen lægger her særlig vægt på, at der bliver skabt opmærksomhed om den menneskelige faktors afgørende betydning i den forbindelse. Arbejdsgruppen finder det endvidere vigtigt, at der bliver skabt en fundamental viden i samfundet om IT sikkerhed og IT sårbarhed. Dette bør blandt andet ske ved at sikre, at der bliver sat større fokus på disse emner i regi af såvel grunduddannelserne som de videregående uddannelser. Med henblik på fremover at opnå en situation med størst mulig IT sikkerhed overalt i samfundet, anbefaler arbejdsgruppen endelig, at der i forlængelse af undersøgelsen opstilles forskellige IT sikkerhedsmæssige krav til forskellige sektorer alt efter hvor samfundskritiske de er. 12

15 6. Erfaringer fra Holland I en række lande bl.a. USA, Australien, Canada, Tyskland, Norge, Sverige, Schweiz og Holland - har man i de seneste år igangsat initiativer med henblik på at kortlægge sårbarheden overfor trusler mod den samfundsmæssige infrastruktur herunder IT infrastrukturen. Informationsteknologien er ofte en forudsætning for styringen af processerne omkring logistik, produktion mv. Manglende tilgængelighed til systemer og data og manglende kvalitet i disse vil kunne medføre afbrydelse af energiforsyningen, vareproduktionen, offentlige tjenester, distribution, nyhedsformidling m.m. Men hvordan afdækkes og iværksættes beskyttelse af denne komplekse sammenhæng? Hvordan håndteres afhængigheden mellem de institutioner og virksomheder, som udgør et samfunds vitale og dermed sårbare funktioner? Opgaven med at kortlægge den kritiske infrastruktur og vurdere sårbarheden gribes an på forskellig vis i forskellige lande. Teknologirådets workshop om IT infrastrukturens sårbarhed, som blev afholdt i oktober 2003 på Svanemøllen kaserne, fortalte Eric Luiijf fra TNO, Physics and Electronics Laboratory, ( - en organisation der arbejder med anvendelse af forskning - om erfaringer fra Holland. Den hollandske regering gennemførte i årene et projekt, som undersøgte konsekvenserne af samfundets voksende afhængighed af IT. Som en følge af denne diskussion igangsatte det hollandske Ministry of Transport, Public Works and Water Management en udredning, som undersøgte sårbarheden i det hollandske Internet. I 2001 besluttede den hollandske regering på baggrund af projektets anbefalinger bl.a. at etablere et Computer Emergency Response Team for den hollandske statsadministration en informations og virus-alarm service primært rettet mod de små og mellemstore virksomheder samt offentligheden et sæt evalueringsparametre for de hollandske ISPére herunder evalueringskriterier for sikkerheden Indsatsen for at højne sikkerheden omkring Internettet er dog kun en lille del af de tiltag, som er nødvendige for at sikre den samlede infrastruktur. TNO blev i 2001 bedt om at iværksætte et projekt, som på baggrund af en grundig analyse skal udvikle mål for, hvordan den hollandske offentlige og private kritiske infrastruktur herunder IT infrastrukturen - kan beskyttes. Første fase i projektplanen var en analyse, som omfattede identifikation af de kritiske sektorer, produkter og tjenesteydelser identifikation af de underliggende kritiske processer identifikation af de gensidige afhængigheder mellem disse kendetegn ved fejl- og genetableringsforløb kvalitetsstyringssystemer, lovgivning og regulering 13

16 I 2002 blev de indledende resultater i form af en første udpegning af, hvad kritisk infrastruktur er, fremlagt på en konference med deltagelse af nøglerepræsentanter fra både den offentlige og den private sektor. Bearbejdning af det indsamlede materiale viste store afvigelser mellem, hvordan institutioner og virksomheder opfattede andres afhængighed i forhold til, hvordan disse selv vurderede afhængigheden! Det blev også erkendt, at den private og offentlige sektor er så integreret, at det ikke er muligt at sikre hverken den generelle eller IT infrastrukturen uden et samarbejde mellem de offentlige og private virksomheder. For at arbejde videre ud fra denne erkendelse, øge opmærksomheden og sikre større accept af resultaterne blev repræsentanter for industrien/virksomhederne konkret inddraget i arbejdet. Efter en indledende konference afholdt TNO herefter hele 17 workshops om emnet med deltagere fra både offentlige og private organisationer og virksomheder. Over 130 organisationer, virksomheder, ministerier og styrelser mv. deltog i disse workshops. Dette resulterede i en identificering af det hollandske samfunds kritiske infrastruktur opdelt i 11 vitale sektorer med 31 produkter og tjenesteydelser Figur 1 14

17 Parallelt med afholdelse af disse mange workshops arbejdede en række eksperter med at vurdere forskellige potentielle skadevirkninger, som i tilfælde af kritiske hændelser kan blive konsekvensen af manglende tilgængelighed til vitale produkter og ydelser for mennesker dyr økonomi miljø I arbejdet med at identificere den kritiske infrastruktur tog man i Holland udgangspunkt i År2000 listen over kritiske sektorer. Denne beskriver over 40 potentielt vitale produkter og tjenesteydelser og den blev senere udvidet med 10 andre. For hvert af disse områder blev der foretaget en 1. kort beskrivelse af produktet/ydelsen 2. beskrivelse af evt. lovkrav, som aktuelt regulerer produktet/ydelsen 3. opdeling i en række underliggende processer 4. angivelse af graden af afhængighed af ethvert andet produkt og enhver anden ydelse 5. karakteristik af fejl og udbedringsforløb 6. vurdering af væsentlighed/konsekvens 7. vurdering af andre produkters og ydelsers afhængighed Anden fase skal opfordre til og støtte en proces med partnerskab/samarbejde mellem den offentlige sektor og private aktører/interessenter omkring sikring af infrastrukturen. Denne fase planlægges i erkendelse af, at TNO har erfaret, at alle kunder, leverandører, offentlige og private virksomheder er dybt afhængige af hinanden og derfor er nødt til at samarbejde, hvis der skal etableres et velfungerende beredskab overfor trusler mod den samfundsmæssige infrastruktur. Tredje fase vil være en trussels- og sårbarhedsanalyse og en analyse, som skal afdække manglende sikkerhedsforanstaltninger. TNO afleverede i foråret 2003 en rapport til regeringen om de resultater, projektet på det tidspunkt kunne afrapportere. TNO kan på den baggrund opstille en række erfaringer fra arbejdet med at analysere og identificere vitale samfundsfunktioner og infrastrukturens sårbarhed herunder IT infrastrukturens sårbarhed: Generelt er der ingen international definition på, hvad kritisk infrastruktur er. Hvornår er et produkt eller en tjenesteydelse kritisk og vital, og hvornår er den blot vigtig? TNO vurderer, at det i sidste instans er politikerne, der må tage de endelige vurderinger af dette. Men videnskabsfolk og andre skal sikre en solid baggrund for, at der kan tages politiske beslutninger om den kritiske samfundsmæssige infrastruktur. Mere konkret kan følgende erfaringer fremhæves det er nemt at identificere egne kritiske aktiver det er muligt at identificere egne kritiske processer det er sværere at identificere afhængighederne af andre kendskab til kundernes/ samarbejdspartnernes kritiske processer er reelt ikke til stede der er begrænset engagement/involvering fra industrien/virksomhedernes side 15

18 analysen af afhængighederne på IT området er særdeles kompleks og involverer mange aktører opgaven kan ikke løses uden samarbejde mellem de offentlige og de private aktører truslerne mod infrastrukturen er dynamisk, udviklingen går hurtigt, og samfundene er nødt til at kunne reagere hurtigt på nye trusler Det følgende diagram illustrerer tydeligt kompleksiteten i arbejdet med at definere afhængighederne. 6.2 Figur 2 16

19 7. Baggrundsnotat om IT infrastrukturens sårbarhed Det følgende baggrundsnotat blev brugt som oplæg til den workshop Teknologirådet holdt i samarbejde med Forsvarets Forskningstjeneste på Svanemøllen Kaserne i oktober Notatet bygger på interviews og research foretaget af journalist Jakob Vedelsby, samt på arbejdsgruppens viden og erfaringer. 7.1.Indledning IT infrastrukturen udgør en større og større del af samfundets kritiske infrastruktur. Det gælder i Danmark såvel som i den øvrige verden. Den kritiske infrastruktur er her defineret som den bærende struktur, der er afgørende for, at en nation kan fungere effektivt på alle niveauer. Infrastrukturen omfatter vidt forskellige sektorer, som fx energi og anden forsyning, telekommunikation, sundhedssektoren, finanssektoren, transportområdet og udrykning/beredskab. IT infrastrukturen er en selvstændig sektor med telekommunikation som et element. Men telekommunikation støtter en række andre sektorer. Og vi er alle afhængige af de grundlæggende IT protokoller, der sørger for at bringe information gennem teleselskabernes kommunikationslinier. Det gælder både traditionelle telefonsamtaler og datakommunikation som fx Internet trafik. Samtidig er vi koblet sammen interconnected globalt i langt højere grad end nogensinde før. Dette har uvurderlige fordele, men det gør os også mere sårbare. Der er i dag mere end 600 millioner Internet brugere, som har direkte adgang til Danmark via Internettet. Medierne fokuserer hyppigt på hackere og virusangreb. Stort set alle har hørt om de såkaldte orme senest bl.a. Slammer og Blaster. Men truslen mod IT infrastrukturen er ikke begrænset til disse top historier. Hvordan forholder det sig med cyberterrorister - findes de? Kan telefontrafikken lammes? Kan fx den offentlige sektor eller finanssektoren blive lammet af et angreb via Internettet? IT indgår i ethvert moderne samfund. E-dagen den 1. september 2003, som var skæringsdatoen for, hvornår offentlige myndigheder skulle kunne kommunikere via , er blot et af eksemplerne på udviklingen af det digitale samfund. Derfor er det spørgsmålet, om vi kan mindske eller måske blot forudsige sårbarheder i IT infrastrukturen. Både som situationen er i dagens Danmark, men også i forhold til morgendagens IT infrastruktur, når nye teknologier og nye anvendelser sniger sig ind på områder, vi ikke har gennemtænkt fx trådløs teknologi, kontrol og styring via Internettet, telefoni over IP (Internet Protokol) m.v. IT infrastrukturen er en lille, om end voksende del af samfundets kritiske infrastruktur. Der er mange, der beskæftiger sig med sårbarheden i hele den kritiske infrastruktur det der i USA går under navnet Homeland Security og i Danmark Totalforsvaret. Dette notat er afgrænset til IT infrastrukturen. Notatet er udarbejdet af journalist Jakob Vedelsby i samarbejde med Teknologirådets arbejdsgruppe på området. Det er bl.a. baseret på en række interview, hvor enkeltpersoner fra udvalgte sektorer giver deres syn på IT sikkerheden og synspunkterne er mange. Formålet med notatet er at fungere som øjenåbner og igangsætter for en debat af sårbarhederne i morgendagens IT infrastruktur. 17

20 7.2. Truslen fra cyberspace baggrund og konsekvenser Samfundets digitale nervesystem er sårbart Det danske samfund er på linie med den øvrige verden på rekordtid blevet invaderet af computere, mobiltelefoner, netværk og tusinder af produkter med indbygget IT og udviklingen fortsætter. I denne virkelighed er Internettet og samfundets informationsteknologiske infrastruktur et digitale nervesystem, der muliggør, at information og viden kan flyde frit. Dataudveksling i Internettet foregår ved hjælp af Internet protokoller et fælles sprog og regelsæt, som sikrer, at alle tilsluttede computere kan kommunikere med hinanden. Internet Service Providere (ISP ere eller Internetudbydere ) sørger via deres netværk for, at kommunikationen kan finde sted ind og ud af private og offentlige virksomheder, institutioner og private hjem. ISP ernes netværk er endvidere forbundet med hinanden og med udenlandske netværk i såkaldte knudepunkter, der typisk er beliggende hos de store ISP er. Flertallet af de danske ISP er er forbundet i det danske Internet Exchange kundepunkt kaldet DIX (Danish Internet exchange). Formålet med DIX en, der drives af UNI-C, er at lette udvekslingen af datatrafik mellem danske Internetudbydere, således at indlandstrafik ikke skal sendes via dyre udlandsforbindelser, men kan sendes via DIX en. Denne koncentration gør til gengæld DIX en til et sårbart knudepunkt. Internettet er opbygget af datanetværk, som er forbundet med hinanden på tværs af landsdele, lande og verdensdele. Selvom Internettet betragtes som anarkistisk, finder der alligevel en overordnet styring sted. I Danmark foregår al administration vedrørende det danske topdomæne (.dk) således hos virksomheden DK Hostmaster A/S. Teknisk set vedligeholdes domæneinformationerne i DNS (Domain Name System), der kan sammenlignes med en telefonbog. DNS har vist sig at indeholde flere sårbarheder og Internettets domæneservere har tidligere været udsat for alvorlige angreb. Dertil kommer, at ISP erne, som er en vigtig faktor i al Internetkommunikation, ikke er underlagt nogen retningslinier for fx IT sikkerhed og angreb på domæneservere kan få alvorlige konsekvenser for muligheden for at kommunikere via Internettet. Et andet eksempel på Internettets sårbarhed kan iagttages i forhold til de enheder, der forbinder datanetværk med hinanden. Al datakommunikation, som passerer fra et netværk til et andet, er reguleret af en eller af flere routere. Disse foranlediger, at de enkelte enheder i datatrafikken (datapakkerne) bliver sendt videre til de rigtige modtagere. Et koordineret angreb rettet mod routernes evne til at route korrekt, vil have en betydelig effekt på Internettets funktionalitet som helhed. Internettets udbredelse og integration med IT systemer overalt i samfundet har i det hele taget åbnet for nye former for sårbarhed på en lang række vitale samfundsområder. Jo flere samfundsaktiviteter, der bliver afhængige af en velfungerende, Internetbaseret IT infrastruktur, des alvorligere bliver konsekvenserne, hvis systemerne bryder sammen fx som følge af målrettede angreb via Internettet eller fysiske angreb. En norsk rapport fra 2002 afdækker, at fysisk sabotage mod 3-7 centrale Internetknudepunkter kan stoppe al trafik i Norge på Internettet. Der er mange faktorer, som kan påvirke IT infrastrukturens sårbarhed. Udover at virksomheder og vitale samfundsområder kan rammes via fysisk sabotage og computervira eller hackere, er driftsstabiliteten i IT infrastrukturen også truet af tekniske svigt som følge af fejl i soft- eller hardware, eller fx ved at kommunikationskabler ødelægges i forbindelse med entreprenørarbejde. Private virksomheder og offentlige systemer er dybt afhængige af, at IT og elektroniske netværk fungerer. Sikkerheden i den elektroniske kommunikation er derfor alfa og omega for aktiviteterne på stadig flere samfundsområder. De enkelte institutioner og virksomheder beskytter sig så godt de kan mod angreb via 18