En formiddag i starten af marts går alarmen hos DFDS.

Små alarmer tikker dagligt ind om såkaldte phishingmails, hvor modtagerne forsøges lokket til at åbne links, men denne alarm er anderledes. Den betyder, at der er tale om et større anslag.

”Vi kan se, at nogen forsøger at komme ind. Det kan vi se ved, at der pludselig er mange forfejlede forsøg på et af vores eksterne API'er (en form for teknisk grænseflade, red.),” fortæller Rune Keldsen, teknologidirektør hos DFDS, om angrebet.

Fra det øjeblik, alarmen går, er tid en afgørende faktor, forklarer han.

"Ingen er forskånet": Ny serie ser på hackerangreb og cybersikkerhed inden for transport og infrastruktur

”Der er ikke nogen, der blinker i sådan en situation. Folk er på med det samme, for det er altafgørende, at vi reagerer hurtigt,” siger DFDS-direktøren og fortsætter:

”Vi sætter en task force op til at monitorere angrebet og holde styr på, at der ikke er noget, der kommer igennem. I løbet af dagen kan vi se, at forsøgene på at komme ind fordeler sig ud til nogle af vores andre systemer. Det kører 12-14 timer efterfulgt af en pause, så et forsøg mere, og så var det slut.”

Opret et gratis prøveabonnement på MobilityWatch her

Rederiet lykkes med at afvise hackernes forsøg på en såkaldt ”SQL injection”, der er en forholdsvis almindelig form for hacking, hvor en kode bliver ”sprøjtet” ind i en database og derefter ødelægger den.

”Det nåede heldigvis ikke igennem nogen steder, men det var nok til at give mig sved på panden,” siger Rune Keldsen.

Der er ingen tvivl om, at trusselsniveau er ekstremt højt. Betydningen af at blive ramt kan blive rigtig, rigtig stor.

”Ekstremt højt” trusselsniveau

Med daglige forsøg på at komme ind i DFDS’ systemer og jævnlige, større angreb som det i marts er vurderingen af trusselsbilledet ganske klar hos Rune Keldsen.

”Der er ingen tvivl om, at trusselsniveau er ekstremt højt. Betydningen af at blive ramt kan blive rigtig, rigtig stor,” siger han.

Rune Keldsen, som også sidder med i Cybersikkerhedsrådet, som skal rådgive regeringen om, hvordan den digitale sikkerhed styrkes, mener, at netop transport- og shippingsektoren er særligt sensitiv over for angreb som det, DFDS oplevede i marts.

”I transport- og shippingsektoren kan det være ekstra problematisk at blive ramt, fordi især vores operationelle systemer på terminaler og skibe er afgørende for både sikkerheden og skibene,” siger han og tilføjer:

”Tidligere har den type infrastruktur været meget sin egen, men efterhånden som IoT (internet of things, red.) og vores digitalisering kommer fremad, bliver de også forbundet til internettet. Det skaber en risiko, som vi er ekstremt opmærksomme på og bruger meget energi på.”

Stigende udgifter

Der er ingen tvivl om, at udgifterne til it-sikkerhed vokser hos DFDS og vil blive ved med det, fastslår Rune Keldsen.

I januar 2018 fortalte daværende topchef Niels Smedegaard til Børsen, at rederiet brugte et ”tocifret millionbeløb under 50 mio. kr.” på it-sikkerhed, og at udgifterne til det stiger markant hvert år.

DFDS vil ikke ud med, hvorvidt udgifterne til it-sikkerhed i dag overstiger 50 mio. kr., men Rune Keldsen fortæller, at udgifterne dertil bliver større og større.

”Det er ikke sådan, at jeg har en post i mit budget, der hedder cybersikkerhed, men hvis vi samler de indsatser, vi laver på tværs af områderne, så stiger vores investering i cybersikkerhed år efter år,” siger Rune Keldsen.

Sikkerhed kræver konstant overvågning

Selvom DFDS indtil videre har formået at lukke af, når hackere eller andre it-mørkemænd har banket på, så stopper arbejdet med at udvikle værn og forsvarsmuligheder ikke.

Dels opruster rederigiganten løbende med flere medarbejdere, og dels skal der fremover investeres i ny teknologi, lyder det.

”Vi kommer til at investere forholdsvis signifikant i netværkssegmentering fremadrettet. Jo mindre klumper vi kan dele vores netværk op i, desto bedre kan vi begrænse spredning af et angreb. Men det koster både ressourcer og penge at bygge det op.”

Hvad er ”forholdsvis signifikante investeringer”?

”Det er svært at gøre præcist op. Vi har et kerneteam, der arbejder med at sikre procedurer og risiko, men når vi eksempelvis arbejder med netværk, er det hele min it operations-organisation, der ruller det ud,” siger Rune Keldsen.

Sidste år brugte DFDS en stor del ressourcer på at få implementeret et system, som kan sikre automatisk isolation af den enkelte computer, hvis den bliver infiltreret. Det arbejde vil fortsætte i indeværende år, hvor der også skal fokuseres på netværkssegmentering, som kan begrænse spredningen af et eventuelt angreb.

Når man sidder midt i et angreb, er det ikke særligt sjovt.

Det vigtige er at fortsætte med udviklingen, slår Rune Keldsen fast.

”På det her område kan du ikke bare lægge en investering og sige ’nu har vi cybersikkerhed’. Det kræver konstant monitorering af potentielle sårbarheder i de systemer, vi bruger fra andre leverandører, og dagligt arbejde med at lukke huller i vores systemer,” siger han.

Digitale brandøvelser

DFDS kører løbende uddannelser af it-medarbejderne, mens man også laver en form for digitale brandøvelser, hvor der bliver simuleret et angreb, som så skal forhindres. Den slags kommer også til at få større fokus hos rederiet.

”Vi kommer til at have større fokus på træning i den kommende tid, hvor vi vil lave simulerede angreb på os selv. Ting, der er svære, skal man gøre rigtig tit for at sikre, at man er god til det. Derfor gør vi en del ud af digitale brandøvelser,” fortæller Rune Keldsen.

I dag ser direktøren tilbage på angrebet i marts med stolthed, selvom det ikke var synderligt fornøjeligt, da han var midt i orkanens øje.

”Når man sidder midt i et angreb, er det ikke særligt sjovt. Men når man kigger tilbage på det og kan se, at nogle af de ting, vi har arbejdet med de sidste par år, at folk melder ind og er klar på telefonen og laver de ting, de skal, selvom det går stærkt, så giver det en form for tryghed,” siger Rune Keldsen.