Dataetisk Råd: Det bedste forsvar mod cyberangreb er at behandle så få data som muligt
Vi kan ikke undgå cyberangreb i fremtiden, men vi kan mindske konsekvenserne, hvis vi ikke opbevarer mere data end strengt nødvendigt, skriver Johan Busse.
Johan Busse
formand, Dataetisk RådDet danske samfund er et af de mest digitaliserede i verden. Det er til stor gavn for vores vækst, konkurrenceevne, velfærd og velstand. Men det gør os samtidig sårbare over for cyberangreb.
”Vores virksomheder, myndigheder og borgere er dagligt udsat for cyberangreb fra kriminelle, stater og organisationer. Spionage, infiltrering af vores digitale netværk og mulige fjendtlige angreb er daglige trusler.”
Sådan lød vurderingen fra de partier, der den 24. juni nåede til enighed om udmøntning af cyberreserven.
For 500 millioner kroner skal der blandt andet oprettes et cyber-indsatshold, som skal rykke ud, når samfundsvigtige virksomheder og myndigheder angribes, samt et cyber-hjemmeværn bestående af borgere med ”særlige evner” inden for it.
Siden aftalen blev indgået den 24. juni, er indholdet blevet kritiseret fra flere fronter. Christian Wernberg-Tougaard, direktør og chef for KPMG’s cyberpraksis i Danmark, frygter således, at vi kommer til at se ’opgavetyveri’ på cybersikkerhedsområdet.
Altinget spørger: Hvordan skal vi håndtere cybertruslen?
Her er panelet
- Rikke Zeberg, branchedirektør, DI Digital
- Annette Lind, cybersikkerhedsordfører, Socialdemokratiet
- Philip Sandahl Johansen, cyberkonsulent, Ernst & Young
- Niels Bertelsen, formand, Prosa
- Thomas Kristmar, medlem af fagrådet for informationssikkerhed, Dansk IT
- Johan Busse, formand, Dataetisk Råd
- Janus Sandsgaard, digitaliseringspolitisk chef, Dansk Erhverv
- Tobias Liebetrau, cybersikkerhedsforsker, DIIS
- Cecilia Bonefeld-Dahl, generaldirektør, Digitaleurope
- Jørn Guldberg, it-sikkerhedsekspert, IDA
Det stiller krav om, at vi i Danmark har et cybersikkerhedsniveau, der matcher digitaliseringsgraden.
Fælles opgave
For at vi også i fremtiden kan opnå de mange fordele, som den teknologiske udvikling og digitalisering af samfundet giver, står vi derfor over for en fælles opgave med at styrke cybersikkerheden i Danmark.
Det er helt afgørende for samfundets tillid til nye, digitale løsninger og håndtering af data, at offentlige myndigheder og virksomheder er tilstrækkeligt rustet til at håndtere de stigende og mere avancerede cybertrusler.
Og det er lige så vigtigt, at landets borgere er uddannet til at have en sikker, digital adfærd.
Derfor handler cybersikkerhed også om dataetik. Hvordan beskytter vi os? Og hvornår har vi gjort nok for at beskytte os?
Den grad af sikkerhed, der kræves, afhænger af den konkrete situation. Det afhænger af hvilke data, der er i spil, og hvilke risici eller konsekvenser, der er forbundet med databehandlingen. Og uanset hvor meget vi beskytter os mod cyberangreb, vil der med opbevaring af data altid være risiko for nye og mere avancerede former for angreb.
På samme måde vil der altid være en risiko for, at menneskelige fejl kan betyde, at data utilsigtet bliver tilgængelige for uvedkommende personer. Faktisk skyldes svagheder i sikkerheden altid menneskelige fejl, for sikkerhedssystemer og algoritmer bygger jo ikke sig selv (heldigvis).
Enhver indsamling eller behandling af data kræver en risikovurdering: Står nytteeffekten mål med risikoen? Det skal vi blive bedre til, for vi er for ofte tilbøjelige til at fokusere på nytteeffekten alene.
Johan Busse
Formand, Dataetisk Råd
Det taler for et højt uddannelsesniveau for alle, som beskæftiger sig med data, hvad enten det er beslutningstageren, systemudvikleren eller sagsbehandleren ude i kommunen.
Nytteeffekt vs risiko
Det bedste forsvar mod cyberangreb er at behandle så få data som muligt. Vi er derfor hjulpet godt på vej med først at overveje, om de enkelte data er nødvendige for at opnå de formål, som vi ønsker med databehandlingen, eller om vi kan opnå samme resultat uden for eksempel at behandle persondata.
Enhver indsamling eller behandling af data kræver med andre ord en risikovurdering: Står nytteeffekten mål med risikoen? Det skal vi blive bedre til, for vi er for ofte tilbøjelige til at fokusere på nytteeffekten alene.
Vi kan ikke undgå cyberangreb i fremtiden, og vi skal ikke slukke for strømmen (som ellers ville være det mest effektive forsvar), men vi kan mindske konsekvenserne, hvis vi ikke opbevarer mere data end strengt nødvendigt og i øvrigt iagttager databeskyttelsesreglernes krav til formålsbegrænsnings, tidsbegrænsning og dataminimering.
Datatilsynet hjælper os med det sidste, men det starter alt sammen ude i virksomhederne, hos de offentlige myndigheder og i Folketinget.
'%3e%3cpath%20d='M174.5%205.49985C138.877%20-19.5379%20106.875%2013.5814%2091.8511%2029.6115C65.0748%2058.1778%2099.1498%2080.3465%20117.152%2037.3094C135.153%20-5.72759%2022.8866%200.0578454%2015.1662%2097.217'%20stroke='%23EA1718'%20stroke-width='3'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M3.65346%2080.8587L15.109%2097.3301L29.6131%2086.6665'%20stroke='%23EA1718'%20stroke-width='3'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_627_569'%3e%3crect%20width='163.796'%20height='107.816'%20fill='white'%20transform='matrix(-0.999973%20-0.00733143%20-0.00733143%200.999973%20164.582%201.24609)'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
