DI: En ny cyberstrategi må ikke være løsrevne initiativer

DEBAT: En ny cyberstrategi skal ikke være løsrevne initiativer, hvor succeskriteriet bliver om initiativets status er rød, gul eller grøn. Den skal adressere cyberangrebs grænseoverskridende natur, skriver Morten Rosted Vang fra DI.

Af Morten Rosted Vang
Fagleder for digital ansvarlighed og cybersikkerhed, DI

En ny national strategi for cyber- og informationssikkerhed er en mulighed for at adressere nogle af de mere grundlæggende udfordringer for cybersikkerheden i Danmark.

Traditionelt taler vi ikke meget om, at de normale opdelinger i offentlig/privat, national/international, militær/civil, myndighed/virksomhed kommer til kort, når vi taler om cyberangreb og cybersikkerhed.

Meget af samfundets digitale infrastruktur er ejet og drevet af virksomheder – ikke af offentlige instanser, og vi bruger offentlige digitale kernekomponenter som NemID og SikkerPost i det private.

Cyberkriminelle kan sidde på den anden side af kloden og angribe dig, og alligevel skal du melde det til dansk politi.

Cyberangreb kan bruges i militæraktioner mellem stater, men det kan sagtens være private virksomheder eller services, der er målet, så vi i princippet kan se politisk handlen fra en regering medføre cyberangreb på dens virksomheder.

Skal du som virksomhed eller borger søge hjælp til it-sikkerhed hos private leverandører eller hos myndigheder – det kan være svært at afgøre, når meget af den samme hjælp i princippet findes begge steder, og hvem har egentlig ansvaret?

Strategi skal ikke være løsrevne initiativer
Det vil kort sagt sige, at hvis vi skal have en national strategi for cyber- og informationssikkerhed, bør den adressere, hvordan vi håndterer cyberdomænets grænseoverskridende karakter og manglen på de traditionelle opdelinger og alligevel får styrket Danmarks cybersikkerhed.

Den nye strategi må for alt i verden ikke være en samling løsrevne initiativer, hvor projektstyring alt efter om initiativets status er i rød, gul eller grøn er målsætningen og succeskriteriet.

Strategien skal tage hul på nogle af de svære spørgsmål, som for eksempel:

  • Er den offentlige organisering af cyberområdet optimal for at styrke dansk cybersikkerhed (eller er den blot et udtryk for traditionel ressortfordeling)?
  • Skal databeskyttelse og it-sikkerhed ikke tænkes bedre sammen?
  • Er det tydeligt, hvad mit ansvar er som borger, medarbejder, virksomhed, organisation eller myndighed for at have den nødvendige cybersikkerhed?
  • Hvordan får vi skabt danske styrkepositioner indenfor cybersikkerhed og databeskyttelse?
  • Hvor er SMV’erne og kommunerne i den nationale strategi for cyber- og informationssikkerhed?
  • Er vi der, hvor man lige så godt kan opgive at få sine penge, data, værdier tilbage, hvis man som borger eller virksomhed er udsat for et cyberangreb?
  • Er det løsningerne, der skal være 100% sikre, eller er det mangel på digital dannelse hos brugerne, der er problemet?

Sæt fælles mål
DI bidrager gerne til, at de svære spørgsmål bliver til strategisk retning, og man kan i hvert fald sige, at der er brug for nye typer af samarbejder og rollefordeling, større vidensdeling, tydeligt ansvar, mere security & privacy by design, flere cyberressourcer til politiet, mere hjælp til SMV’erne, samtænkning af it-sikkerhed og databeskyttelse samt en fælles fortælling om hvorfor cybersikkerhed er vigtig.

Ikke baseret på, hvordan vi plejer at gøre tingene, men på præmissen om at cyberangreb ikke bare nedbryder forsvarsbarrierer, men også nedbryder mange af de kendte måder, som vi er vant til at håndtere nationale problemer på.

Den eksisterende strategi er et fint første skridt, men vi kan ikke være verdensmestre til det hele, så lad os i fællesskab sætte nogle udvalgte målsætninger, der skal være styrende for Danmarks cybersikkerhedsarbejde i de kommende år.

Og så finde nye løsninger, der kan indfri målsætningerne, og de behøver ikke respektere de traditionelle opdelinger, når cyberområdet alligevel heller ikke gør det.

Forrige artikel Prosa: Ny cybersikkerhedsstrategi skal prioritere beskyttelse af privatlivet Prosa: Ny cybersikkerhedsstrategi skal prioritere beskyttelse af privatlivet Næste artikel Forsker: Vi skal tage debatten om rammerne for cyberforsvar Forsker: Vi skal tage debatten om rammerne for cyberforsvar