På DTU Wind er cybersikkerhed blevet en daglig bekymring – ikke kun for at undgå de klassiske hackerangreb, der kan lamme instituttets it-systemer, men også for at forhindre, at teknologi og data ender i hænderne på konkurrenter eller misbruges militært. Sådanne angreb kan få konsekvenser langt ud over DTU Wind og true både national sikkerhed og dansk industris globale konkurrenceevne. Derfor har instituttet sat alle medarbejdere i gang med målrettet træning.
”Træningen er obligatorisk og skal sikre, at alle medarbejdere - ikke kun teknikere - har grundlæggende forståelse for cybersikkerhed,” siger Kenneth Thomsen, divisionschef i Wind Turbine Design, der er en ud af fire divisioner eller afdelinger på DTU Wind. Han har været med til at indføre awareness-træningen for instituttets 450 medarbejdere.
Et oplagt mål for både spionage og misbrug
DTU Wind arbejder tæt sammen med industrien, især inden for vindenergi, og håndterer kritiske og kommercielt følsomme data fra prototypemøller, der bruges til at forbedre design, ydeevne og sikkerhed i fremtidige produkter.
Kenneth Thomsen understreger, at samarbejdet med industrien afhænger af DTU Winds evne til at beskytte disse data:
”Vores kunders data er hjerteblodet i deres udvikling. Hvis disse data kommer i de forkerte hænder, kan det skade kundernes konkurrenceevne og føre til tab af forretningshemmeligheder.”
Det er særligt risikoen for, at teknologi kan misbruges militært eller overføres til konkurrerende virksomheder i udlandet, der vækker bekymring.
”Hvis industrien ikke kan være tryg ved, at vi passer på deres data, forsvinder samarbejdet. Derfor er øget cyber- og informationssikkerhed ikke bare en teknisk nødvendighed – det er en forudsætning for tillid og fortsat samarbejde med industrien,” fastslår Kenneth Thomsen.
Otte ud af ti har fuldført
Træningen foregår via platformen CyberPilot. Op til sommerferien har hver medarbejder skullet gennemføre fire træningsmoduler á ca. fem minutter med spørgsmål om blandt andet trusselslandskabet, hvordan man genkender phishing og sikrer sine adgangskoder.
Som leder har Kenneth Thomsen adgang til et dashboard, hvor han kan se, hvem der har gennemført træningen:
”Status i starten af august er, at ca. 80 procent af medarbejderne har fuldført. Det er ret imponerende, da mange medarbejdere allerede var begyndt at gå på ferie, da programmet blev rullet ud.”
Samtidig er han opmærksom på, at der stadig er 20 procent, der mangler at gennemføre, og han og ledergruppen arbejder på at følge op og motivere dem. Blandt andet ved rose alle dem, der har gennemført træningen på fællesmøder.
”Cybersikkerhed er et fælles ansvar, og selv medarbejdere uden direkte adgang til data kan udgøre en risiko, f.eks. ved at klikke på et farligt link eller bruge svage adgangskoder.”
En del af DTU’s samlede cybersikkerhedsstrategi
Initiativet hos DTU Wind er en del af en bredere indsats på DTU, hvor cybersikkerhed prioriteres højt på tværs af institutter og centrale funktioner. Awareness-programmet hos DTU Wind er udviklet i dialog med DTU’s it-afdeling og afspejler universitetets ambition om at skabe en sikker digital arbejdsplads, hvor alle medarbejdere – uanset rolle – bidrager til at beskytte data og viden.
Anders Fosgerau, sektionsleder for cyber- og informationssikkerhed på DTU, understreger vigtigheden af den fælles indsats:
“Cybersikkerhed er ikke kun et teknisk spørgsmål – det handler om adfærd og kultur. Derfor arbejder vi målrettet med awareness og træning på tværs af hele DTU, og vi ser DTU Winds engagement som et stærkt eksempel på, hvordan institutter kan tage ansvar og gå foran.”
Lukkede datasystemer
DTU Winds andre indsatser, der har til formål at forbedre datasikkerheden, tæller blandt andet de lukkede datasystemer, der helt er frakoblet DTU’s øvrige netværk, og hvor medarbejderne ikke kan trække data ud. Systemerne er udviklet i samarbejde med DTU’s it-afdeling og bruges bl.a. i projekter med Vestas og Siemens Gamesa, hvor datasikkerhed er afgørende.
Instituttet er også i gang med at sikre, at alle processer for adgang, behandling og sletning af data sker i overensstemmelse med de internationale standarder for sikkerhed.
”Det handler om at kunne vise og dokumentere, hvem der har haft adgang til data, hvordan rettigheder er givet, og hvordan vi sikrer, at data ikke deles utilsigtet. Det er en del af vores arbejde med at leve op til ISO 27000-standarderne,” siger Kenneth Thomsen.
Med disse indsatser viser DTU Wind, at instituttet tager sin rolle i beskyttelse af kritiske data og samarbejde med industrien alvorligt, og at sikkerheden er på plads, når verdens førende vindteknologi udvikles og testes på DTU.
