Selv om gassen i de sprængte Nordstreamkabler for længst er boblet ud i Østersøen, har attentatet på den vigtige, undersøiske infrastruktur fået de fleste af os til at overveje, hvor udsatte vi er over for angreb fra potentielle fjender. For selv om det endnu ikke er afgjort, hvem der står bag angrebene på de russiske gasledninger, tyder alt på, at det er russerne selv som et led i konflikten med Ukraine. Få dage senere blev store dele af den tyske jernbanetrafik lammet ved et attentat, hvor vigtige kommunikationskabler blev klippet over på samme tid to steder med flere hundrede kilometers afstand, i Berlin og i Nordrhein-Westfalen.
Frygten for fjendtlige angreb på infrastrukturen i Europa er nu så stor, at en uskyldig strømafbrydelse på Bornholm på grund af et defekt relæ i en transformerstation blev topnyhed i de nationale medier mandag morgen.
Vi er omgivet af kritisk infrastruktur: elnet, fjernvarme, internetkabler, mobilmaster, veje, lufthavne, jernbaner - alt det, der er afgørende for, at samfundet fungerer. Alle de steder er vi sårbare for angreb på en måde, vi næppe havde forestillet os for bare et år siden. For selv om vi løbende har gjort meget for at beskytte samfundet mod angreb, er der stor forskel på, hvordan man garderer sig mod forskellige potentielle trusler og modstandere, fortæller sikkerhedsforsker Tobias Liebetrau.
”Efter terrorangrebene 11. september 2001 kom der stort fokus på at sikre flytrafikken med voldsomt øgede sikkerhedstjek i lufthavnene. Nogle år efter skete terrorangrebene i Madrid og London. Så indførte vi øgede sikkerhedsforanstaltninger på hovedbanegårdene. De seneste ti år har vores fokus – i hvert fald i Danmark – især været på at beskytte vores kritiske infrastruktur mod cyberangreb,” forklarer han.
En ny trussel
I de senere år har vi haft fokus på at beskytte os mod kriminelle hackere, der har villet udstille svagheder i IT-systemer og afpresse statslige institutioner eller store virksomheder. Eller mod terrorister, der har haft som mål at skabe skræk og rædsel ved spektakulære angreb med mange tilskadekomne og høj eksponering. Nu er truslen fra fysisk sabotage mod kritisk infrastruktur genopstået i kølvandet på, at krig er tilbage på det europæiske kontinent, og vi klart støtter Ukraines forsvarskamp.
”Det er først for ganske nylig, at truslen fra statsdreven fysisk ødelæggelse er rykket tæt, som følge af krigen mellem Rusland og Ukraine. Det har ændret det trusselsbillede, vi står overfor. I lyset af det, vi har set med Nordstream og de tyske jernbaner, er sandsynligheden for et angreb på dansk infrastruktur blevet større. Det er gået fra at have været en spekulativ trussel til at have manifesteret sig konkret,” siger Tobias Liebetrau.
Hybridkrigens fronter
I modsætning til angreb fra terrororganisationer, er formålet med angreb i en hybridkrig eller ’gråzonekrig’ ikke at dræbe eller såre så mange mennesker som muligt på en spektakulær måde. Her er målet snarere en magtdemonstration, der skal skabe usikkerhed, utilfredshed og mistillid ved f.eks. at demonstrere, at man kan ødelægge et andet lands infrastruktur.
”Man siger: ’Se, vi kan ramme jer. Og vi kan ramme jer værre, end vi gør nu’, for på den måde at påvirke beslutningstagere og befolkningen i et land. Hvis vi antager, at det var Rusland, der angreb, ville målet oplagt være at påvirke vores engagement i Ukraine og få folkestemningen til at vende sig imod støtten til Zelenskyj - på grund af det ubehag og den disruption, det skaber, at infrastrukturen bliver ramt,” forklarer Tobias Liebetrau.
Samtidig kan nogle typer infrastruktur angribes på en måde, så det formentlig ikke vil udløse en direkte krigserklæring, vurderer han. For selv om et attentat på eksempelvis en rørledning mellem en boreplatform og den jyske vestkyst vil have store økonomiske og miljømæssige konsekvenser, er det ikke sikkert, at det ville føre til en politisk beslutning om at erklære krig mod det angribende land.
”Der er ikke en klokkeklar grænse for, hvad der vil udløse en krig. Og det er det, man kan bruge i en hybridkrig eller en gråzonekonflikt. Man forsøger at lægge sig tæt på grænsen, men lige under den, og vil måske endda forsøge at skubbe til den. Men så snart noget koster menneskeliv, vil vi komme tættere på den grænse. Det vil afføde en mere prompte politisk reaktion, hvor situationen eskalerer og man tager andre midler i brug,” siger han.
Stat eller privat
Tobias Liebetrau var tidligere på året medforfatter til en rapport om truslerne mod europæisk datasikkerhed. Her er en af konklusionerne, at sikkerheden halter på grund af manglende samarbejde mellem statslige sikkerhedstjenester og de private virksomheder, der ejer forsyningsnettet.
Sammenblandingen mellem offentlige og private aktører er i høj grad også en udfordring for sikkerheden i Danmark. Med frasalget af tidligere statslige virksomheder som TDC og DONG, som henholdsvis ejer dele af telenettet og energiforsyningen, er det økonomiske ansvar for at sikre infrastrukturen blevet mere uklart og genstand for en løbende politisk debat.
”Man kan tro på, at markedet selv kan styre det. Hvis en virksomhed ejer et telenet og lever af at sælge adgangen til det, er det i virksomhedens egen interesse at sørge for at det er sikkert, ellers mister de deres kunder. Omvendt kan man sige, at der er kerneydelser, som er afgørende for befolkningens sikkerhed. De bør være statens ansvar, fordi det grundlæggende er statens vigtigste opgave at passe på sine borgere. Det stiller os i et dilemma, når infrastrukturerne er privatejede og privatdrevne, fordi vi samtidig gerne vil have et marked, der opererer globalt på frie vilkår,” siger han.
Som eksempel nævner Tobias Liebetrau den kinesiske televirksomhed Huawei, der tidligere har leveret sendeudstyr til både 3G og 4G mobilnetværkerne i Danmark. Da 5G-netværket skulle implementeres i 2020, blev Huawei valgt fra på grund af en kraftig mistanke om, at selskabets udstyr gjorde det muligt for kinesiske myndigheder at overvåge og aflytte samtalerne. I stedet valgte Danmark – som mange andre vestlige lande – at bruge svenske Ericsson som udbyder i stedet, selv om det ikke nødvendigvis var den mest økonomisk rentable løsning.
Sektorer deles om ansvaret
En anden udfordring er, at mængden af kritisk infrastruktur er dynamisk, og det samme er variationen af risikotyper. De varierer på tværs af de forskellige sektorer og virksomheder og hvilken type infrastruktur de leverer. Derfor er det svært fra centralt hold at lave en specifik plan for, hvordan man sikrer samtlige kritiske infrastrukturer, forklarer Tobias Liebetrau.
Sektoransvarsprincippet betyder, at det i Danmark er hvert enkelt ressortministerie, der som udgangspunkt er ansvarlig for opretholdelse, sikkerhed og videreførelse af samfundsvigtige funktioner inden for eget område. Det betyder, at det er ministeriernes ansvar at regulere, rådgive og understøtte de virksomheder, der arbejder på ministeriets områder. Dermed ligger ansvaret for sikkerheden for sundhedsinfrastruktur hos Sundhedsministeriet, sikkerheden for broer, veje og lufthavne hos Transportministeriet, forsyningsnettet hos Klima-, Energi- og Forsyningsministeriet, den finansielle infrastruktur hos Finansministeriet osv.
”I lyset af det ændrede trusselsbillede diskuterer vi lige nu, om sektoransvarlighed fortsat er den rigtige model for beskyttelse, eller om det ville give mere mening at styrke den tværgående sikkerhed ved f.eks. at give bredere beføjelser og øget budget til Beredskabsstyrelsen, så vi får noget, der minder om de store direktorater for samfundssikkerhed, de har i Norge og Sverige. Den beredskabsstyrelse vi har herhjemme, gør det fint, men størrelsen blegner i forhold til de tværgående myndigheder i vores nabolande,” siger Tobias Liebetrau.
Brug for bred indsats
Uanset om ansvaret skal samles hos en myndighed under Forsvarsministeriet eller om det skal fastholdes i de enkelte ministerier, skal der være en bedre og tættere dialog mellem de statslige efterretningstjenester og de offentlige og private aktører, der ejer og driver for forskellige typer infrastruktur.
”Vi skal være bevidste om, at trusselsbilledet har ændret sig, og at truslen er væsentligt tættere på, end den har været før,” siger Tobias Liebetrau.
”Der skal være en fortløbende dialog om, hvordan man kan hjælpe og støtte hinanden med at sikre de kritiske infrastrukturer på tværs af sektorer, myndigheder og virksomheder. Trusselsbilledet udvikler sig fra dag til dag, så der skal hurtigt fødes information ind fra Forsvaret og efterretningstjenesterne til virksomhederne. Samtidig er det vigtigt, at information også flyder den anden vej, så staten ved, hvad virksomhederne ser, gør for at beskytte sig og har sat i værk. Der er brug for en større bevidsthed, en bred indsats og tværgående samarbejde. Det er noget af det vigtigste, vi kan gøre lige nu.”
