Dette er en kronikk av Glenn Rasmussen, sikkerhetsrådgiver i Check Point Software i Norge. Innlegget gir uttrykk for skribentenes holdninger.

Teknologier som tingenes internett (IoT), kunstig intelligens (KI) og 5G er nødvendige elementer i mange fremtidsrettede bytjenester, blant annet trafikkstyring, vann- og energidistribusjon, helse/omsorg og beredskap. Men sammen med alle fordelene, trekker de med seg økende sårbarhet og risiko for cyberangrep. Trusler som kan forårsake alvorlige hendelser og forstyrrelser som rammer på både individ-, organisasjons- og samfunnsnivå.

Satsingen på smarte byer øker verden over, og iflg Frost & Sullivan forventes globale investeringer i smartbyteknologi å nå 327 milliarder dollar innen 2025. Vi minnes ofte på at teknologi åpner små og store forbedringsmuligheter. Men sjelden hvordan det økende omfanget av teknologier som kobles opp mot infrastrukturen i byene, representerer en voksende angrepsflate for både nettkriminelle, hacktivister og rivaliserende nasjonalstater. Og hva som må til for å møte truslene.

Smarte byer er avhengige av sammen-, og ofte nett- og skyoppkoblede systemer som behandler og utveksler data. Koblingene gjør dem til enklere og mer attraktive mål for cyberangrep, og gjør at angrep på ett system potensielt kan spre seg til andre og påvirke flere kritiske tjenester.

Aktuelle cybertrusler

Utpressingsangrep mot ulike offentlige tjenester er et økende problem globalt, og mange offentlige etater har opplevd at hackere har trengt inn i systemer og stjålet eller kryptert kritiske og sensitive data. Angriperne krever gjerne betydelige beløp for å dekryptere dem, og søker å tvinge lokale myndigheter til å betale løsepenger for å unngå langsiktige tjenesteavbrudd. I tillegg til kostnader i form av løsepenger, kan slike angrep få alvorlige konsekvenser for personvern, materielle verdier, miljø, liv og helse.

Glenn Rasmussen. Foto: Check Point

Nødvarslings-, videoovervåkings- og deteksjonssystemer er viktige for offentlig sikkerhet i mange byer, men kan også være mål for nettangrep. I en undersøkelse fra 2021 av sikkerhetseksperter ved UC Berkeley Center for Long-Term Cybersecurity, ble nødvarslingssystemer, ironisk nok, rangert som den mest sårbare smartbyteknologien. Brudd i slike systemer kan blant annet føre til manglende eller forsinket respons på alvorlige nødssituasjoner.

Smarte byer behandler også enorme datamengder om innbyggerne, og økende bruk av smarte sensorer, kameraer og IoT-enheter skaper økende risiko for datainnbrudd. Angrep på en bys datainfrastruktur kan føre til eksponering av sensitive persondata, identitetstyveri, svindel og tap av tillit til offentlige institusjoner.

I 2021 forsøkte hackere å forgifte vannforsyningen i Oldsmar, Florida ved å manipulere kjemiske nivåer i behandlingsprosessen. Angrepet ble stoppet, men understreket farene ved nettangrep mot kritisk infrastruktur. Truslene kan også gjelde smarte vannmålere og systemer for lekkasjedeteksjon, og potensielt føre til forstyrrelser i vanntilgang og -kvalitet. Det er også lett å forestille seg alvorlige scenarioer ved angrep på systemer for energidistribusjon og annen kritisk infrastruktur.

Etterhvert som stadig mer kobles opp, vokser også risikoen utover by- og landegrenser. Et vellykket angrep på en bys systemer kan få vidtrekkende konsekvenser og påvirke naboregioner og internasjonale tjenester.

Eksempelvis kan et cyberangrep på en bys energinett forstyrre strømmen og påvirke driften ved sykehus, skoler og virksomheter i et større geografisk område. Og et brudd i en storbys transportnett kan forsinke internasjonal transport og forsyningskjeder og påvirke global handel.

De økonomiske implikasjonene er også store. Ifølge en rapport fra Accenture forventes kostnadene for nettkriminalitet å nå 10,5 billioner dollar årlig innen 2025. I tillegg kommer kostnadene ved at tap av tillit til digital infrastruktur kan bremse innføring av ny teknologi for mer effektiv og bærekraftig samfunns- og byutvikling.

Hvordan møte byenes cybertrusler?

Bymyndigheter må sikre at cybersikkerhet er en integrert del av utviklingen og distribusjonen av smartbyteknologi fra start. Dette inkluderer grundige risikovurderinger og innlemming av kryptering, multifaktorautentisering og regelmessig programvareoppdatering.

Å beskytte smarte byer krever også tett offentlig-privat samarbeid. Etater, teknologileverandører og cybersikkerhetsfirmaer må jobbe sammen for å utvikle og implementere helhetlige rammeverk for sikkerhet, utveksle oppdatert trusseletterretning og etablere tydelige protokoller for håndtering av hendelser. Det må utvikles robuste hendelsesresponsplaner for håndtering, og rask normalisering etter, cyberangrep. Planene bør inkludere prosedyrer for isolering av berørte systemer, kommunikasjon med publikum og koordinering av rettshåndhevere og cybersikkerhetseksperter.

Økende etterspørsel etter cybersikkerhetsekspertise krever vilje og evne til å investere i ansettelse og videreutdanning av kompetente folk. Utdanningsinstitusjoner og bedrifter bør samarbeide om opplæringsprogrammer for cybersikkerhet for byens teknologiske infrastruktur. Innbyggerne spiller også en viktig rolle, ved å praktisere god cyberhygiene. Bevisstgjøringskampanjer og informasjon fra lokale myndigheter kan lære enkeltpersoner om sikring av personlige enheter, nye angrepsmetoder og rapportering av mistenkelig aktivitet.

Utvikling av smarte byer kan ha store og nødvendige innvirkninger på lokal, regional og global økonomi, bærekraft og livskvalitet. Men uten en integrert, helhetlig adressering av de medførende cybersikkerhetstruslene, kan risikoen raskt overskygge fordelene.