Forsker: Center for Cybersikkerhed bør ikke have alt ansvaret for it-sikkerheden

DEBAT: Cybersikkerhed er en mangeartet opgave, som går på tværs af politiske niveauer, sektorer, myndigheder, virksomheder og borgere. Derfor er det uhensigtsmæssigt at give hele ansvaret til Center for Cybersikkerhed, mener Kristoffer Kjærgaard Christensen.

Af Kristoffer Kjærgaard Christensen
Ph.d.-stipendiat, Institut for Statskundskab, Københavns Universitet

Danmark er et af de mest gennemdigitaliserede lande i verden. Det er gentagne gange blevet slået fast i debatten på disse sider i de forgangne uger.

Digitale teknologier gennemsyrer vores samfund – fra den kritiske infrastruktur til den enkelte borgers dagligdag og interaktion med såvel offentlige myndigheder som private virksomheder. Den teknologiske udbredelse og udvikling er således med til at gøre cybersikkerhed til en kompleks, dynamisk og diffus udfordring.

Det er disse karakteristika, der vanskeliggør traditionel sikkerhedspolitisk styring. Det, vi under ét ofte kalder “cybertruslen” passer simpelthen ikke uden videre ind i de kategorier, vi normalt organiserer vores samfund omkring, men går på tværs af politiske niveauer og rammer bredt på tværs af sektorer, myndigheder, virksomheder og borgere.

Cybersikkerhed er en mangeartet opgave
Cybersikkerhed er altså både en bred samfundsmæssig udfordring og en lang række forskellige, specifikke udfordringer.

Vi er derfor paradoksalt nok nødt til at forholde os til cybersikkerhed som en samlet samfundsmæssig problemstilling ved at sætte fokus på de mangeartede, lokale sikkerhedsudfordringer.

Vi er dårligt stillet, hvis vi behandler alle cybersikkerhedsspørgsmål ens. Med tanke på de allestedsnærværende digitale teknologier siger betegnelsen "cybersikkerhed" i sidste ende ikke ret meget i sig selv om et givent problems omfang og natur. Betegnelsen kan henvise til mange forskellige problemstillinger, som kræver vidt forskellige løsninger.

Center for Cybersikkerhed skal ikke have hele ansvaret
Derfor er det heller ikke hensigtsmæssigt at lægge alt ansvaret over på én myndighed eller samle det under ét politikområde.

Center for Cybersikkerhed spiller en væsentlig rolle i forhold til at imødegå avancerede, (ofte) statsstøttede angreb mod danske samfundsvigtige funktioner, men det er ikke hensigtsmæssigt at samle hele indsatsen for cybersikkerhed der.

Det vil ikke være ønskværdigt for os som samfund at samle det under en efterretningstjeneste med alle de udfordringer, som det medfører i forhold til politisk og demokratisk kontrol og åbenhed; og de vil næppe heller ønske ansvaret for den enkelte myndighed, virksomhed eller borgers sikkerhedsproblemer.

Den enkelte sektor og de aktører, som arbejder med og kender det pågældende område – det være sig myndigheder såvel som private aktører, er også nødt til at tage ansvar for at løfte udfordringen, øge bevågenheden og styrke indsatsen; særligt med tanke på, at sektoransvaret stadig er det bærende princip dansk cybersikkerhedspolitik.

Politisk cyberforum
På den anden side er der også behov for en tværgående koordinering af de lokale, sektorspecifikke indsatser.

Som blandt andet Birgitte Hass, direktør for IT-Branchen, ganske rigtigt har påpeget i et indlæg her på siden, er det spild af tid og dyrebare ressourcer, hvis ikke vi sørger for erfaringsudveksling og vidensdeling mellem de forskellige sektorer, myndigheder, virksomheder og interesseorganisationer.

På sundhedsområdet lægger den nye strategi for digital sundhed op til, at der skal oprettes et "politisk cyberforum", hvor den aktuelle trussel og indsatser på området kan drøftes og koordineres.

Dette tiltag kan med fordel udbredes de resterende sektorer, men også – og ikke mindst – løftes op på et samfundsmæssigt niveau med deltagelse fra såvel de forskellige offentlige myndigheder som det private erhvervsliv, interesseorganisationer og forsknings- og uddannelsesinstitutioner.

På samfundsniveau vil et sådant forum skabe en konkret platform for en løbende koordination, vidensdeling og debat om de strategiske beslutninger og prioriteringer med hensyn til cybersikkerhed (som jeg efterspurgte i min første kronik).

Det vil dermed også bidrage til at styrke sektorernes viden og kompetencer samt sikre en koordineret udmøntning af disse strategiske beslutninger og prioriteringer i konkrete tiltag i de enkelte sektorer.

Ved at skabe strategisk retning og bidrage til en koordineret indsats vil tiltaget også være med til at tydeliggøre ansvaret for håndteringen af de enkelte opgaver relateret til cybersikkerhed, som ellers kan fortabe sig i det komplekse og omskiftelige trusselsbillede.

Med andre ord kan et koordinerende strategisk forum hjælpe os med at navigere i spændingsfeltet mellem "cybertruslen" som bred samfundsmæssig udfordring og de specifikke, lokale problemstillinger, som den udgøres af.

Forrige artikel Henrik Schärfe: Skal selvkørende biler have en indbygget etik? Henrik Schärfe: Skal selvkørende biler have en indbygget etik? Næste artikel Stine Bosse: EU kan og skal lede os mod den digitale tidsalder Stine Bosse: EU kan og skal lede os mod den digitale tidsalder
  • Anmeld

    John Foley

    Spot on!

    Helt enig. På tide med et koordinerende strategisk forum, som allerede oprettet i mange andre lande vi normalt sammenligner os med.
    De nuværende og kommende samarbejdsfora er for fragtmenterede.

  • Anmeld

    søren matz · Kriminolog

    Center for Cybersikkerhed har ikke alt ansvaret for it-sikkerheden - heldigvis

    Sikkerhed eksisterer ikke i cyberspace. Cybersikkerhed er derfor en selvmodsigelse. Digitalisering udfordrer den statiske tilstand indeholdt i definitionen af sikkerhed som produkt af forvaltning, sikkerhedsledelse og risikostyring. De mangfoldige digitale sårbarheder udgør et paradoksalt risikobillede, hvor sikkerhed, som et statisk udtryk for resultatet af processer til at forebygge og forhindre kritiske hændelser, er erstattet af en sikkerhed for, at alle før eller senere vil blive udsat for systemfejl, disruption eller forsætlig manipulation af data. Dette paradoks giver grundlag for den påstand, at den traditionelle tolkning af sikkerhed ikke eksisterer i det digitale domæne.
    Digitalisering har gjort os sårbare. Vi kommer ikke disse sårbarheder til livs hverken i dag eller i morgen. Vi skal lære at blive robuste overfor digitale sårbarheder. Vi skal være modstandsdygtige overfor den hastighed hvormed teknologier udvikles og samfundet digitaliseres. Digitalisering eksisterer og skal forvaltes i et kontinuum, der skabes i en tværfaglig konvergens mellem sikkerhedspolitisk, kriminalpolitisk og samfundsøkonomisk diskurs. Samtidig skal digitalisering forvaltes i krydsfeltet mellem offentlige og private aktører. Den socio-teknologiske tværfaglige kompleksitet i digitalisering udgør et multi-dimensionalt dilemma i tilvejebringelse af dynamiske principper for robusthed i netværkssamfundet. Det er i denne argumentation, at resiliens, som antonym til sårbarhed, bør anvendes som centralt paradigme for dynamisk ledelse og generisk planlægning på tværs af forskellige fagområder og sektorer.
    Digitale sårbarheder disrupter traditionelle sikkerhedspolitiske styringsfunktioner og vedtagne demokratiske processer i så svær en grad, at robusthed i den offentlige forvaltning af demokratiet bør nytænkes fra bunden. Men det kommer først til at ske i morgen. I dag er den primære og altoverskyggende sårbarhed ved omfattende digitalisering, at det er muligt at trække stikket: Godnat og tak for i aften.
    Krumtappen, der gør digitalisering mulig, er en robust infrastruktur. En kritisk betingelse for nationens digitale robusthed tager afsæt i beskyttelse af de indbyrdes afhængige sektorer, som leverer forudsætningen for det digitale domænes eksistens. Det er en sikkerhedspolitisk opgave, men først og fremmest et forsvarspolitisk og militærstrategisk ansvar, der er forankret hos Forsvaret. Ansvaret for robusthed i kritiske infrastrukturer er placeret hos en konstruktion, som desværre benævnes Center for Cybersikkerhed. Det medfører den misopfattelse, at tilvejebringelse af sikkerhed er muligt i cyberspace eller Forsvaret er tildelt et ansvar for imødegåelse af alle digitale sårbarheder.
    Nationens robusthed overfor digitale sårbarheder skal løftes i et samspil mellem militær, politi og civilsamfundet. Målsætningen er ansvarlighed gennem sammenhængskraft på tværs af modsætningsforholdet mellem statsligt hierarki overfor markedsøkonomisk anarki. I det tværsektorielle samspil mangler Christiansborg at definere civilsamfundets ansvar. Den manglende politiske styring er ikke Forsvarets ansvar. Derfor er Center for Cybersikkerhed ikke tildelt 'hele ansvaret', som nævnt i artiklen.