Digitaliseringen med data i konstant bevægelse gør virksomheder og myndigheder sårbare og faren for digital krigsførelse og hacking har sat cybersikkerhed i fokus. Et nyt EU-direktiv udvider begrebet ’kritisk infrastruktur’ og skærper lovkravene til et stigende antal aktører.
”Truslen bliver i stigende grad taget alvorligt, og den samfundsmæssige debat om destruktive cyberangreb er steget væsentligt inden for bare de seneste fire måneder. Center for Cybersikkerheds trusselsvurdering har slået fast, at dansk kritisk infrastruktur er i fare for fjendtlige statskontrollerede aktører og cyber-kriminelle organisationer,” siger CEO Anton Therkildsen fra den danske virksomhed Zybersafe, der udvikler krypteringshardware og -software.
Anton Therkildsen
CEO
Ud over hel- og halvstatslige offentlige institutioner gælder truslen også i høj grad virksomheder med store udviklings- og forskningsprojekter.
”Udviklingen i trusselsbilledet er også kritisk for forsyningsvirksomheder og produktionsvirksomheder, der i stigende grad bruger fjernstyring af deres produktionsfaciliteter. Det bringer store mængder data i bevægelse og gør dem sårbare,” siger Anton Therkildsen.
Skærpet lovgrundlag for cybersikkerhed
Det kan virke som almindelig sund fornuft at sikre data- og informationssikkerhed, men der er også et lovgrundlag på området – i EU-regi benævnt NIS (Network and Information Systems). Det hidtidige lovgrundlag i NIS 1, der fokuserede på opretholdelse af de allermest kritiske samfundsfunktioner, er nu blevet udvidet med et nyt EU-direktiv.
Lovkravene i NIS 2 vil også omfatte implementering af solide beskyttelsesforanstaltninger i private virksomheder i it-, energi-, transport-, sundheds-, finans- og fødevaresektoren samt den offentlige sektor. Den endelige lovtekst forventes vedtaget i efteråret 2022, hvorefter Danmark og de øvrige medlemsstater har 21 måneder til at indarbejde bestemmelserne i den nationale lovgivning. Kryptering vil her være en solid sikkerhedsforanstaltning.
Beskyttelse der hindrer ’wire-tapping’ og sikrer dataintegritet
”Kryptering har haft en række barrierer og blev opfattet som besværlig og for at gøre forbindelserne langsomme. Derfor har vi udviklet en løsning ’fra bunden’, der har fjernet de barrierer, så det er nemt at implementere og giver fuld sikkerhed og fuldt udbytte af fiberlinjens kapacitet. Løsningen er akkrediteret af Center for Cybersikkerhed og kan ikke angribes. Ved angrebsforsøg selvdestruerer løsningen, da den indeholder en såkaldt Tamper Protection. Derudover kan Zybersafe garantere, at der ikke er nogen ’back-doors’,” siger Anton Therkildsen.
På to punkter sikrer Zybersafes løsning datasikkerheden. Den hindrer ikke aflytning, men med kryptering bliver datatrafikken til ’volapyk’ og dermed ubrugelig. Herudover sikres dataintegritet, så de data, man får, kun kan komme fra ét sted. Det gøres ved at sætte signaturpakker på de data, der sendes, og som så dekrypteres hos modtageren.
”Det beskytter mod ’man-in-the-middle’-angreb, hvor der aflyttes og introduceres falske data som f.eks. at ændre en kommando,” siger Anton Therkildsen.
Data i bevægelse er i fare og bør krypteres
Både helt små virksomheder og organisationer med mere end én lokation, hvor man flytter data mellem – f.eks. ved at have et off-site back-up af deres datacenter – og i en større skala i f.eks. hospitalsvæsenet, der har mange lokationer og en stigende mængde data i bevægelse, er kryptering aktuel.
”Når data rejser, finder de ikke altid den korteste vej, og det kan skabe uventede problemer. Storebæltsforbindelsen blev opmærksom på det, da et nedbrud i Hamborg påvirkede deres helt lokale – troede de – trafik af bl.a. GDPR-følsomme data som f.eks. bilnummerplade-data, der flyder til forskellige myndigheder. Det skyldes, at fiberudbydernes netværk er filtret ind i hinanden, så data rejser ad ukendte veje over landegrænser, hvor der kan forekomme aflytning undervejs. Det problem kan vi afhjælpe,” slutter Anton Therkildsen.
Om Zybersafe ApS
Zybersafe er en dansk virksomhed, der udvikler og producerer krypteringshardware til Ethernetforbindelser. Al udvikling og produktion foregår i Danmark. Zybersafe leverer tre modeller, der krypterer Ethernetforbindelser med henholdsvis 1 Gbps, 10 Gbps og 100 Gbps kapacitet. Zybersafe har bl.a. kunder i sundhedssektoren, i olie- og gassektoren, i industrisektoren og i forsvarssektoren. Center for Cybersikkerhed CFCS har godkendt Zybersafe’s 1 Gbps og 10 Gbps krypteringsmodeller til beskyttelse af informationer klassificeret: ”TIL TJENESTEBRUG”, ”NATO RESTRICTED” og ”EU RESTRICTED”. Virksomheden blev etableret i 2014 og er en del af koncernen Zibra Group.
Af Jesper Henning Pedersen