Vandværker-sikkerhed: Ignorant eller hensynsløs?

Per Gravesen har skabt sig en særlig position i dansk infrastruktur. Hans system ProcessGuard håndterer driften på op mod 70 danske vandværker – altså kritisk infrastruktur, der skal sikre, at dansk drikkevand når frem til millioner af mennesker. Det burde være omgærdet af massive sikkerhedskrav. Det er det ikke.

Ifølge Ingeniøren dokumenterer cybereksperter, at Gravesens system kører på en 20 år gammel server, som er direkte eksponeret mod internettet uden ordentlig beskyttelse. Sikkerhedshullerne er påvist og kendt. Alligevel afviser Gravesen, at der er noget at være bekymret over. Han griner ligefrem lidt af det, når hackere finder deres vej ind.

Eksperter siger nej – Gravesen siger ja tak

Cybereksperter har gentagne gange advaret mod denne tilgang. De har dokumenteret konkrete sårbarheder. Deres råd er klart: opdatér systemet, sikr det rigtigt, beskyt det mod internettet. Gravesens svar til sine kunder er i stedet at ignorere advarslerne helt og aldeles.

Det er ikke en privat fejl, en lille app eller en netbutik, vi taler om. Det er infrastruktur. En kompromitteret vandværksdrift kunne påvirke tusinder af mennesker. En cyberangreb her handler ikke kun om data – det handler om sikker drikkevandsforsyning.

Et fatalisme, der ikke passer på kritisk infrastruktur

Gravesens tilgang til sikkerhed virker præget af en næsten kølig fatalisme. Hvis man bliver hacket, blir man bare hacket. Men sådan fungerer cyberrisikostyring ikke. Især ikke når systemerne påvirker befolkningens dagligdag.

Spørgsmålet bliver derfor akut: Hvordan kan en sådan kritisk del af dansk infrastruktur fortsætte med at køre på en forældelsesbar arkitektur uden grundlæggende sikkerhedsstandarder? Og hvem er egentlig ansvarlig, når det går galt?