Data centre-sikkerhed på høring: Skal amerikanske datacentre have status som kritisk infrastruktur?

Kritisk infrastruktur i fokus efter angreb på datacentre

Væksten i amerikanske datacentre og de stigende trusler mod dem har fået kongresmedlemmer til at spørge, om den føderale regering har den rette struktur til at beskytte dem. Under en høring i Repræsentanternes Hus' underudvalg for Cybersikkerhed og Infrastrukturbeskyttelse fremlagde eksperter og repræsentanter fra branchen forslag til, hvordan datacentre kan sikres bedre.

Forslag om selvstændig status som kritisk infrastruktur

En række vidner foreslog, at datacentre bør få en selvstændig status som kritisk infrastruktur, ligesom det britiske system allerede gør. Dette ville give en klarere ramme for beskyttelse mod både cyberangreb og fysiske trusler.

Rep. Andy Ogles, R-Tenn., understregede i sin åbningstale, at et angreb på et større datacenter kan få vidtrækkende konsekvenser:

"Hvis et større datacenter bliver angrebet, forstyrret eller taget offline, kan konsekvenserne række langt ud over én virksomhed eller én sektor. Alligevel giver vores nuværende system ikke et klart, samlet svar på, hvilken føderal myndighed der er ansvarlig for at forstå risiciene, koordinere med branchen eller lede indsatsen, når denne infrastruktur bliver målrettet."

Markedsdominans og globale trusler

Tre udbydere – Amazon Web Services, Microsoft Azure og Google Cloud Platform – kontrollerer i dag 63 % af markedet for datacentre. Samtidig har truslerne mod disse faciliteter øget, blandt andet som følge af geopolitiske spændinger. I den seneste tid er datacentre i USA og Bahrain blevet ramt af angreb med iranske droner som reaktion på amerikanske og israelske bombeangreb på Iran.

Eksperter peger på behovet for koordineret indsats

Robert Mayer, senior vicepræsident for cybersikkerhed og innovation hos brancheorganisationen USTelecom, foreslog oprettelsen af et særligt koordineringsråd for datacentre:

"Givet den nødvendige kontrol med at sikre disse datacentre, ville det være en fordel, hvis de arbejdede sammen i et unikt koordineringsorgan."

Mark Montgomery fra Foundation for Defense of Democracies anbefalede i stedet en bredere tilgang, hvor datacentre og cloud-udbydere blev grupperet i én kritisk infrastruktur-sektor på grund af deres overlap i ejerskab. En revision af den amerikanske præsidents nationale sikkerhedsmemorandum i 2024 skuffede imidlertid nogle eksperter ved ikke at inkludere cloud-computing som kritisk infrastruktur.

Samuel Visner, formand for bestyrelsen i Space Information Sharing and Analysis Center, understregede datacentrenes afgørende rolle i USA's økonomi og militær:

"At finde en måde at betragte dem som en del af vores kritiske infrastruktur og beskytte dem derefter er en nødvendighed."

Modstridende synspunkter om nødvendigheden af ny status

Ikke alle var enige om behovet for en selvstændig status. Scott Algeier, direktør for Information Technology Information Sharing and Analysis Center, påpegede, at datacentre allerede er integreret i diskussionerne om kritisk infrastruktur:

"Datacentrene er allerede en del af de kritiske infrastrukturdiskussioner."

Han tilføjede, at organisationen havde oprettet en særlig interessegruppe for datacentre.

Baggrund: Hvad er kritisk infrastruktur?

Kritisk infrastruktur omfatter systemer og faciliteter, hvis ødelæggelse eller forstyrrelse ville have alvorlige konsekvenser for samfundet, økonomien eller sikkerheden. Eksempler inkluderer elforsyning, vandforsyning, telekommunikation og transport. Datacentre er endnu ikke officielt klassificeret som kritisk infrastruktur i USA, men debatten intensiveres i takt med den digitale udvikling.