CFCS: Meget høj cybertrussel mod it-systemer bag biler, fly og tog

Illustration: René Strandbygaard
Cyberkriminalitet kan i værste fald påvirke drift og sikkerhed i transportsektoren og svække kundernes tillid, anfører CFCS.

Truslen fra cyberkriminalitet mod it-systemer bag biler, fly og tog er meget høj. Og hackere kan i værste fald lamme vores transport eller kompromittere sikkerheden.

Det fremgår af en ny trusselsvurdering (PDF) for transportsektoren fra Center for Cybersikkerhed.

CFCS anfører, at der særligt er en trussel fra cyberkriminalitet, der sigter mod at afpresse penge fra virksomheder og myndigheder.

Men cyberkriminalitet kan i værste fald påvirke drift og sikkerhed i transportsektoren og svække kundernes tillid, anfører CFCS.

CFCS uddyber med, at baggrunden for trusselsniveauet er, at der er opstået nye angrebspunkter for transportsektoren, fordi den er blevet mere afhængig af teknologiske løsninger.

»Biler, fly og tog er i stigende grad forbundet til eller styret af it-systemer, hvilket hackere i værste fald kan udnytte til at påvirke tilgængeligheden af eller sikkerheden omkring land- og lufttransport,« skriver CFCS.

Angreb kan f.eks. være med ransomware, og der er flere eksempler på, at transportsektoren allerede har være ramt af sådanne angreb.

  • I 2016 blev San Francisco Municipal Transportation Agency i USA ramt af ransomwareangreb, hvilket gik ud over bl.a. billetsystemer, så passagerer over tre dage kunne køre gratis med tog.

  • Et ransomwareangreb mod Colorado Department of Transportation i 2018 krypterede tusinder af myndighedens arbejdsstationer.

  • Og i september 2018 blev San Diegos havn ramt af et ransomwareangreb, der medførte nedbrud i systemer og tjenester, men havnen kunne opretholde håndteringen af skibe. Angrebet skete kort tid efter, at Barcelonas havn var blevet ramt af et cyberangreb, der havde lignende effekt.

  • Det globale angreb med WannaCry-ransomware i 2017 ramte også transportsektoren, bl.a. Deutsche Bahn og FedEx.

DDoS-angreb florerer også

Der har også været eksempler på DDoS-angreb, anfører CFCS.

DSB’s billetsalg brød kortvarigt ned i maj 2018 efter et sådant angreb.

DSB og rejseplanen blev udsat for flere DDoS-angreb i 2013, der medførte, at DSB’s og rejseplanens hjemmesider kortvarigt var utilgængelige.

I 2017 medførte et DDoS-angreb på Trafikverket i Sverige nedbrud i bl.a. web-baseret kommunikation mellem trafikstyringen og lokomotivførere, hvilket i sidste ende førte til togforsinkelser.

I Polen forårsagede et DDoS-angreb mod Warszawa Chopin Lufthavn i 2015 flyforsinkelser, da systemer i lufthavnen gik ned.

Og it-nedbrud hos eksempelvis flyselskaber og lufthavne i udlandet, der ikke er relateret til cyberangreb, viser, hvor afhængige dele af transportsektoren allerede er af systemer, som kan rammes af cyberangreb.

Høj trussel om cyberspionage

Udover cyberkriminalitet vurderer CFCS, at truslen fra cyberspionage mod transportsektoren er høj. Ved at stjæle informationer i forbindelse med store investeringer i transportsektoren kan fremmede stater give deres virksomheder fordele på det internationale marked, lyder det.

Spionagen kan bl.a. skaffe viden, der kan bruges til at komme i besiddelse af nye teknologier til at styrke og udvikle egen transportsektor

Trusselsvurderingen tager udgangspunkt i Forsvarets Efterretningstjenestes Center for Cybersikkerheds (CFCS’) generelle viden om cybertrusler og eksempler på cyberangreb mod transportsektoren.

CFCS har endnu et relativt begrænset indblik i sektorspecifikke forhold i transportsektoren sammenlignet med andre samfundsvigtige sektorer, lyder det.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
René Nielsen

Igen ser vi at vor efterretningstjenestes hovedkonklusion at truslen fra terror ikke er til stede, men at det derimod er cyberkriminelle og cyberspionage som er hovedproblemet.

Jeg fristes til at lave sjov og opliste justitsministeriets latterlige forslag om øget ANPG, øget logning og de andre tiltag som er notorisk uden effekt på det trusselbillede som CFCS opregner.

Jeg ved godt at det er naivt, men jeg synes jo, at justitsministeriet burde være mere orienteret imod det aktuelle trusselbillede end imod at please overvågningsliderlige partier.

Danmark har ingen råstoffer eller naturrigdomme, så det vi lever af, er vor viden og teknologi. Dette må og skal beskyttes imod spionage/sabotage hvis vi også på lang sigt, skal have råd til et velfærdssamfund.

Vi må og skal også beskytte vigtige samfundssystemer. Det nytter ikke noget at en hacker med kendskab til zero-days exploits kan sabotere vigtige samfundssystemer eller få fly til at falde ned, fordi flyets motor bliver slukket eller bliver fordret med falske data der har samme effekt.

På mange måder minder hacking om en bakteriel infektion. Man er nødt til at bekæmpe alle som har infektionen for ellers blusser infektionen op igen.

Og nu er vi ved sagens kerne, alle i Danmark er nødt til at højne sikkerheden. Danmark kan ikke tillade ”legale bagdøre” fordi de i praksis vil udgøre en standard gateway for hackere.

Danmark og CFCS er nødt til at udfærdige retningslinjer for hvordan vi alle beskytter os. Og det indbefatter ubrydelig end-to-end kryptering for alle.

For alm. borgere vil dette formentligt blive pålagt ISP’erne, men vi er nødt til at indføre end-to-end-kryptering overalt, for vi ved ikke hvornår eller hvor den næste store fremskridt sker. Måske sidder der allerede en opfinder i kælder og opfinder morgendagens teknologi. Det er vi som samfund nød til at beskytte.

Det vi ved, er at NSA’s budget til industrispionage er ca. 10 gange højere end det NSA bruger på terrorbekæmpelse og dette understøttes af, at terrortruslen i CFCS’s rapport – er på sidstepladsen over trusler.

Christian Nobel

Endnu en "trusselvurdering" fra center for cyber Usikkerhed.

Ulven kommer, ulven kommer (men vi ved faktisk ikke rigtig hvad en ulv er, og hvordan den ser ud), så I må sende os nogle flere penge.

De penge skulle så nok nærmere gå til et danskkursus:

"Biler, fly og toge...."

Cyberkriminalitet kan i værste fald påvirke drift og sikkerhed i transportsektoren og svække kundernes tillid

Det klarer DSB og Movia da fint selv uden cyberkriminelles hjælp.

Michael Christensen

Selvom det ikke er sket, så kan det ske. Det er faktisk derfor efterretningstjenester findes, og det er deres opgave at give bud på, hvad der kan ske, og hvad kan skade samfundet.

Det er næppe tilfældigheder, at man kigger efter sårbarheder hos "naboens" systemer, og naboen kan faktisk være os. Hvis du ser på historien i Ukraine, så har der været hændelser, der har involveret el-nettet. Angreb på mobility er ligeså interessante, da de har potentiale til at skabe kaos, og det er et område, hvor sikkerhed er ofte lidt løst implementeret.

Efterretningstjenesterne har så ydermere den ulempe, at de ikke altid kan sige, hvorfra informationerne kommer, og der dumper de hos de, der vil vide alt.

Svend Skipper Andersen

De penge skulle så nok nærmere gå til et danskkursus:

"Biler, fly og toge...."

Jeg er rigtig ked af, at jeg ikke kan give dig ret. Man må desværre gerne sige toge.
Jeg fatter ikke, hvad vi skal med Dansk Sprognævn!
Flertalsformen var, indtil den nye retskrivningsordbog udkom i 1986, tog, men den har fået følgeskab af den ligeledes korrekte form toge.
https://sproget.dk/raad-og-regler/artikler-mv/sprogbrevet-dr/sprogbrevet...

https://ordnet.dk/ddo/ordbog?query=tog

Bjarne Nielsen

Det er faktisk derfor efterretningstjenester findes, og det er deres opgave at give bud på, hvad der kan ske, og hvad kan skade samfundet.

Faktisk er en efterretningstjenestes opgave at indhente efterretninger. Vi har så valgt at give dem flere kasketter, også selvom det kan internalisere nogle ellers helt naturlige interessemodsætninger. Det er der både fordele og ulemper ved.

Efterretningstjenesterne har så ydermere den ulempe, at de ikke altid kan sige, hvorfra informationerne kommer, og der dumper de hos de, der vil vide alt.

Hvis du her tænker på, at informationer kan komme indirekte, så er de trænet i at vurdere informationers og kilders troværdighed. Hvis du tænker på, at de ikke kan fortælle alt, så er det vigtigt, at der ikke er for mange interessemodsætninger. Hvis der gives anledning til, at vi begynder at tænke "ka' det nu også passe, eller prøver de at snyde os?", så er det et problem.

Men for lige at vende tilbage til topic, så er jeg meget enig i, at vi er i fuld galop imod meget skrøbelige systemer og infrastruktur, og at der er langt mere brug for at arbejde på at få det hærdet. Personligt vil jeg mene, at man skal arbejde på at undgå at gøre det skrøbeligt i første omgang fremfor at prøve på at lappe det bagefter.

Christian Nobel

Men for lige at vende tilbage til topic, så er jeg meget enig i, at vi er i fuld galop imod meget skrøbelige systemer og infrastruktur, og at der er langt mere brug for at arbejde på at få det hærdet. Personligt vil jeg mene, at man skal arbejde på at undgå at gøre det skrøbeligt i første omgang fremfor at prøve på at lappe det bagefter.

Meget enig - men opgaven skal ikke ligge under krigsministeriet.

Der er tale om noget der er langt vigtigere end som så, så sikkerheden skal tænkes ind, før man overhovedet går i gang, og politikerne skal lære at vi ikke bare bevidstløst skal digitalisere ukritisk.

Jesper Frimann

Der er tale om noget der er langt vigtigere end som så, så sikkerheden skal tænkes ind, før man overhovedet går i gang, og politikerne skal lære at vi ikke bare bevidstløst skal digitalisere ukritisk.


Jup, og om ting/processer m.m. overhovedet skal digitaliseres. F.eks. kørekort.

Et glimrende eksempel på, at det både kan være dyrere, mere besværligt at digitaliserer er IMHO rejsekortet.

Hvor det total tragiske er jo, at man nu fra rejsekortets side promoverer 'det grønne' pendler kort, hvor der normalt ikke chekes ind og ud, altså du har ingen fra og til rejsedata til afregning m.m. Sagt med andre ord standerne, optanknings steder m.m. bruges ikke.

Altså du er tilbage til et kort, der ville være nemmere og billigere at have som et traditionelt månedskort.

// Jesper

Log ind eller Opret konto for at kommentere