DI: En ny cyberstrategi må ikke være løsrevne initiativer

Af Morten Rosted Vang
Fagleder for digital ansvarlighed og cybersikkerhed, DI

En ny national strategi for cyber- og informationssikkerhed er en mulighed for at adressere nogle af de mere grundlæggende udfordringer for cybersikkerheden i Danmark.

Traditionelt taler vi ikke meget om, at de normale opdelinger i offentlig/privat, national/international, militær/civil, myndighed/virksomhed kommer til kort, når vi taler om cyberangreb og cybersikkerhed.

Meget af samfundets digitale infrastruktur er ejet og drevet af virksomheder – ikke af offentlige instanser, og vi bruger offentlige digitale kernekomponenter som NemID og SikkerPost i det private.

Cyberkriminelle kan sidde på den anden side af kloden og angribe dig, og alligevel skal du melde det til dansk politi.

Cyberangreb kan bruges i militæraktioner mellem stater, men det kan sagtens være private virksomheder eller services, der er målet, så vi i princippet kan se politisk handlen fra en regering medføre cyberangreb på dens virksomheder.

Hvis vi skal have en national strategi for cyber- og informationssikkerhed, bør den adressere, hvordan vi håndterer cyberdomænets grænseoverskridende karakter.

Morten Rosted Vang
Fagleder for digital ansvarlighed og cybersikkerhed, DI

Skal du som virksomhed eller borger søge hjælp til it-sikkerhed hos private leverandører eller hos myndigheder – det kan være svært at afgøre, når meget af den samme hjælp i princippet findes begge steder, og hvem har egentlig ansvaret?

Strategi skal ikke være løsrevne initiativer
Det vil kort sagt sige, at hvis vi skal have en national strategi for cyber- og informationssikkerhed, bør den adressere, hvordan vi håndterer cyberdomænets grænseoverskridende karakter og manglen på de traditionelle opdelinger og alligevel får styrket Danmarks cybersikkerhed.

Den nye strategi må for alt i verden ikke være en samling løsrevne initiativer, hvor projektstyring alt efter om initiativets status er i rød, gul eller grøn er målsætningen og succeskriteriet.

Strategien skal tage hul på nogle af de svære spørgsmål, som for eksempel:

• Er den offentlige organisering af cyberområdet optimal for at styrke dansk cybersikkerhed (eller er den blot et udtryk for traditionel ressortfordeling)?
• Skal databeskyttelse og it-sikkerhed ikke tænkes bedre sammen?
• Er det tydeligt, hvad mit ansvar er som borger, medarbejder, virksomhed, organisation eller myndighed for at have den nødvendige cybersikkerhed?
• Hvordan får vi skabt danske styrkepositioner indenfor cybersikkerhed og databeskyttelse?
• Hvor er SMV’erne og kommunerne i den nationale strategi for cyber- og informationssikkerhed?
• Er vi der, hvor man lige så godt kan opgive at få sine penge, data, værdier tilbage, hvis man som borger eller virksomhed er udsat for et cyberangreb?
• Er det løsningerne, der skal være 100% sikre, eller er det mangel på digital dannelse hos brugerne, der er problemet?

Sæt fælles mål
DI bidrager gerne til, at de svære spørgsmål bliver til strategisk retning, og man kan i hvert fald sige, at der er brug for nye typer af samarbejder og rollefordeling, større vidensdeling, tydeligt ansvar, mere security & privacy by design, flere cyberressourcer til politiet, mere hjælp til SMV’erne, samtænkning af it-sikkerhed og databeskyttelse samt en fælles fortælling om hvorfor cybersikkerhed er vigtig.