Debat

Dansk IT om ny CFCS-lov: Fælder for ansatte forbedrer ikke it-sikkerheden

DEBAT: Det er en kortsigtet løsning på udfordringerne med it-sikkerhed, når sårbarhederne forebygges ved at lokke medarbejdere i en fælde. Vi får først bedre it-sikkerhed, når vi går i gang med en opkvalificering af borgernes digitale kompetencer, mener Dansk IT.

CFCS vil inden for lovens begrænsninger lokke kodeord ud af ansatte gennem mails. "Vi vil bruge de teknikker, som en hacker vil bruge," siger CFCS-chef Thomas Lund-Sørensen
CFCS vil inden for lovens begrænsninger lokke kodeord ud af ansatte gennem mails. "Vi vil bruge de teknikker, som en hacker vil bruge," siger CFCS-chef Thomas Lund-SørensenFoto: Niels Ahlmann Olesen/Ritzau Scanpix
Dette indlæg er alene udtryk for skribentens egen holdning. Alle indlæg hos Altinget skal overholde de presseetiske regler.

Af Rikke Hvilshøj og Klaus Kvorning Hansen
Hhv. direktør, Dansk IT, og formand, Udvalget for digitale kompetencer, Dansk IT 

It-sikkerhed er i de senere år for alvor kommet på agendaen

Det er med god grund, for i takt med den øgede digitalisering er de potentielle trusler mod den digitale infrastruktur, it-systemerne og alle vores data også steget markant.

Tidligere på måneden vedtog et flertal i Folketinget derfor også en opdatering af loven om Center for Cybersikkerhed (CFCS).

Fakta
Dette indlæg er alene udtryk for skribentens egen holdning. Alle indlæg hos Altinget skal overholde de presseetiske regler.

Debatindlæg kan sendes til [email protected]

Med den nye lov kan centeret efter anmodning fra en myndighed eller virksomhed "iværksætte forebyggelsesaktiviteter rettet mod udvalgte medarbejdere eller enheder i myndigheden eller virksomheden."

Medarbejdere skal lokkes i fælder
Målet med disse aktiviteter er at afdække eventuelle sårbarheder hos en virksomhed eller myndighed.

Det er ganske enkelt en for kortsigtet strategi.

Rikke Hvilshøj og Klaus Kvorning Hansen
Hhv. direktør og formand, Udvalget for digitale kompetencer, Dansk IT 

Det vil konkret ske ved, at man for eksempel sender en falsk e-mail til en medarbejder for på den måde at undersøge, om han eller hun hopper i fælden og udleverer fortrolige oplysninger eller klikker på links, som han eller hun ikke burde klikke på.

For at gøre mailen troværdig og testen ekstra effektiv kan Center for Cybersikkerhed søge vigtige og relevante informationer via for eksempel medarbejderens facebookprofil.

Bør være undtagelsen, ikke reglen
Dansk IT er en uafhængig forening, der repræsenterer omkring 9.700 it-professionelle fra både det offentlige og private.

Vi kender derfor også alt til fremgangsmåden, der lægges op til med loven. Den benyttes i vid udstrækning, når private sikkerhedsvirksomheder hyres til at teste sikkerheden i en given virksomhed.

Det er i den forbindelse i øvrigt et selvstændigt spørgsmål, hvor sofistikerede metoder Center for Cybersikkerhed skal anvende eller ligefrem udvikle for at holde trit med de it-kriminelle.

Vi anerkender, at det i særligt kritiske tilfælde kan give mening at forsøge at påpege sårbarheder ved hjælp af den i loven angivne metode.

Det bør dog kun være i ekstreme tilfælde. Det skal være undtagelsen, ikke reglen.

Tvivler på en forbedring af sikkerheden
Samtidig finder vi det problematisk, hvis man fra politisk side antager, at vi styrker it-sikkerheden i Danmark på denne måde.

Det er ganske enkelt en for kortsigtet strategi. Det svarer vel nærmest til at ville forbedre trafiksikkerheden ved at lokke bilister til at køre for stærkt eller til at skifte retning uden at vise af.

Vi får langt mere ud af at sikre, at medarbejderne – og alle danskere i det hele taget – har de nødvendige kompetencer til at kunne forstå, hvad it-sikkerhed handler om, og hvorfor det er vigtigt, at man tager det seriøst.

Metoden med at forsøge at lokke medarbejderne i en fælde bunder i, at det ofte er på denne måde, at de it-kriminelle angriber.

Så langt giver det mening, og i Dansk IT betvivler vi heller ikke, at intentionen med loven er at påpege de sikkerhedsbrister, der er hos virksomheder og myndigheder.

Vi tvivler til gengæld stærkt på, at det i det lange løb er med til at forbedre it-sikkerheden i Danmark.

I stedet burde politikerne fokusere på at være med til at fremme, at vi får løftet danskernes digitale kompetencer.

Mangler pædagogisk sigte
Det fremgår af loven, at Center for Cybersikkerhed kun må videregive oplysninger om virksomhedens medarbejdere, hvis det sker i anonymiseret form.

Derfor er det heller ikke den enkelte medarbejders ansættelsesforhold, som vi er bekymrede for i Dansk IT.

Vores bekymring bunder derimod i metodens manglende pædagogiske sigte og i den kortsigtede effekt, som den i bedste fald kan have.

Målet skal i stedet være, at danskerne i langt højere grad bliver i stand til at gennemskue de sikkerhedsmæssige udfordringer, der er forbundet med digitaliseringen, og at vi bliver bedre til at navigere i en stadig mere kompleks digital dagligdag, hvor de it-kriminelle slår til med udspekulerede angrebsmetoder.

Det er et langt, sejt træk at sikre den kompetencemæssige opkvalificering, og det kan forekomme som et langt mere uoverskueligt arbejde end blot at forsøge at spotte de uopmærksomme medarbejdere i en given organisation.

Det er ikke desto mindre det, der er behov for.

Politik har aldrig været vigtigere

Få GRATIS nyheder fra Danmarks største politiske redaktion

Omtalte personer

Rikke Hvilshøj

Public affairs-rådgiver, Grace Public Affairs, fhv. integrationsminister (V), bestyrelsesmedlem, Energinet, Crossbridge Energy
cand.polit. (Københavns Uni. 1997)

0:000:00