Kritisk: Vandværker-systemet afviser it-sikkerhed som irrelevant

Den danske it-sikkerhed står over for en næsten ufattelig situation. Per Gravesen, som står bag systemet ProcessGuard, har udviklet kritisk infrastruktur til mindst 70 danske vandværker – og han afviser systematisk advarsler om åbenlyse sikkerhedsbrister. Ifølge Version2 råder han tværtimod sine kunder til at ignorere it-sikkerhedseksperters bekymringer helt og holdent.

Det mest alarmerende element er ikke blot systemets alder og sårbarheder. Det er Gravesens tilsyneladende ligegyldighed over for problemerne. Han latter henover de dokumenterede sikkerhuller og ser ikke noget problem i, at servere med 20 års alderen kører eksponeret mod internettet uden beskyttelse.

Åbenbare huller i kritisk infrastruktur

ProcessGuard styrer vandforsyningen til millioner af danske borgere, men systemet bærer præg af at være udviklet i en anden epoke – uden moderne sikkerhedsstandarter. Når eksperter peger på konkrete sårbarheder, og systemet ligger åbent på internettet, handler det ikke længere om teoretiske risici. Det handler om reel fare.

Gravesens udtalelse om, at han griner lidt af det, når han bliver hacket, afslører en farlig kulturel blind spot inden for dansk kritisk infrastruktur. Det indikerer ikke kun mangel på respekt for cybertrusler – det signalerer et fundamentalt misforhold mellem systemets vigtighed og dets beskyttelse.

Et systemisk problem

Sagen illustrerer et større dansk problem: udviklet til digitale løsninger til infrastruktur, der påberåber sig høj sikkerhed, men uden den tilsvarende faglige rygsæk eller ansvarlighed. Når udvikleren selv afviser eksperternes advarsler, bliver spørgsmålet ikke længere, hvornår systemet bliver hacket – men hvad der sker, når det sker.