Gør som i Frankrig og Norge: Lav et nationalt cybersikkerhedsråd

Af John Foley

Samfundet af i dag er dybt afhængigt af den digitaliserede verden. Der påhviler derfor mange aktører et stort fælles ansvar med at sikre samfundsvigtig infrastruktur og befolkningen mod de mange daglige og alvorlige angreb, der i værste fald kan destabilisere vores samfund med uanede konsekvenser til følge. 

Omfanget af cybertrusler og angreb stiger konstant og fortsat i og mod den vestlige verden og dermed også mod Danmark. Samtidig gør den teknologiske udvikling, at truslerne er i konstant forandring, hvilket stiller store krav til vedholdende sikkerhedsforanstaltninger og beredskab.

Vi må på nuværende tidspunkt i digitaliseringen af vores hverdag komme til den erkendelse, at den digitale teknologi har alvorlige sårbarheder.

At skabe resiliens overfor denne kritiske sårbarhed kræver ikke kun teknologiske løsninger. Det kræver også ledelse og overordnet koordination. 

John Foley
Stifter af COPITS

Selvom digitalisering har muliggjort en helt ny dimension i vores tilværelse og har betydning for den måde, vi kommunikerer med hinanden på, så synes teknologien også at indebære store fordele for antinormativ adfærd, svindel, bedrageri, spionage og krigsførelse.

At skabe resiliens overfor denne kritiske sårbarhed kræver ikke kun teknologiske løsninger. Det kræver også ledelse og overordnet koordination. 

Der er dem, der spionerer imod os for at finde de svagheder, der måtte være i vores samfundskritiske infrastruktur. Det er sådan set efterretningstjenesternes raison d’être at finde svagheder i systemerne for i en given situation at sætte ind, hvis nogen vil gennemføre en form for samfundsomstyrtende eller destabiliserende virksomhed. 

Så er der statslige og ikkestatslige aktører, som har interesse i at hive informationer ud af forskellige virksomheder som for eksempel Novo Nordisk, der har brugt milliarder af kroner på at forske inden for sit felt. Hvis man med meget få midler kan gå ind og hive de informationer ud, har man sprunget et væsentligt led over og kan hurtigt profitere på det.

Endelig er der folk, som bare synes, det er sjovt at gå ind og chikanere og gøre livet lidt vanskeligere for os alle sammen ved for eksempel at kryptere vores filer og kræve betaling for, at vi kan få adgang til dem igen. 

Problemet er, som jeg ser det, at de almindelige statslige styringsredskaber som lovgivning, militæroprustning og økonomiske forhold er utilstrækkelige over for cybertruslen.

Hvis nogen finder frem til det svage led i vores samfundskritiske infrastruktur, har de en indgangsdør til at gøre samfundet ustabilt.

I Estland var der i 2007 eksempelvis et stort angreb mod deres finanssektor og andre sektorer, og i Georgien og Ukraine har nogen benyttet cyberangreb til at destabilisere samfundene. Et scenarie, der er skræmmende, er, at vi i Danmark skulle være uden strøm i bare et døgn. Hvad det kan have af konsekvenser, er det kun fantasien, der sætter grænser for.

Der bliver registreret oplysninger, fra før vi bliver født og hele livet igennem - og også efter vi er døde. Det er alt lige fra, hvad jeg siger til lægen under en konsultation, til hvad man finder ud af på hospitalerne, for eksempel i forbindelse med en operation. Skrækscenariet er, at nogen ændrer i en journal eller sætter en operationsstues apparatur, hjælperedskaber og værktøjer ud af kraft, når tingene er mest alvorlige.

I maj måned lancerede innovationsministeren, forsvarsministeren og erhvervsministeren en ny national strategi, som investerer 1,5 milliarder kroner i dansk cyber- og informationssikkerhed.

Det er udmærket, at man nu får en national strategi. Danmark var et af de sidste lande, der kom med på den vogn, stærkt tilskyndet af EU og andre.

Problemet er, at den nationale strategi med sine 25 initiativer lyder rigtig godt, men ud af de 1,5 milliarder går 1,4 milliarder kroner forventeligt til forsvarspolitiske bindinger. Det betyder, at der kun er afsat 100 millioner kroner til strategiens øvrige områder over fire til fem år.

Et nyt EU-direktiv varsler, at alle EU-lande for det første skal identificere, hvad der forstås ved samfundskritisk infrastruktur, og for det andet skal de foretage tiltag til, at samfundet er bedre sikret.

Der er imidlertid ikke sat en eneste krone af til disse foranstaltninger. Dem skal hver enkelt sektor finde hver for sig i deres eget budget, og det betyder, at pengene kun kan tages et sted fra. Derfor synes jeg også, der skal gås helt anderledes struktureret til værks for at sikre befolkningen og den enkelte borger i cyberspace.

Min påstand er, at der er brug for et overordnet og strategisk nationalt cybersikkerhedsråd, der gives beføjelser og muskler til at samordne bestræbelserne i det offentlige, det private samt forskningsverdenen.
Digitalisering og den tilhørende teknologi er under hastig udvikling, og samfundet ville ikke kunne fungere foruden.

Men ofte glemmes, at it- og cybersikkerhed er forudsætningen for en succesfuld digitalisering. Danmark er udnævnt som verdens mest digitaliserede land, men paradoksalt nok placeret på en 34. plads, når det kommer til at sikre sin befolkning i cyberspace.

I Danmark forvaltes digitaliseringsprocesser i en søjlestruktur med mange forskellige spillere og interesser. Det skulle så være cybersikkerhedsrådets primære formål at fungere som tværligger og med fokus på ledelse af digitaliseringen med borgerens sikkerhed og tryghed i fokus og som udgangspunkt. Målsætningen er at skabe resiliens i digitale processer og mindske brugernes sårbarhed overfor teknologiske og forvaltningsmæssige udfordringer.

Anvendelsen af digital teknologi indebærer et nyt sæt udfordringer og risici, der kræver en samlet koordineret indsats. Rådets rolle skal være som krumtap i denne indsats og bør derfor placeres under Statsministeriet i en erkendelse af, at det overordnede ansvar for ledelse af kampen mod angreb via cyberspace og en fortsat digitaliseringsproces er placeret centralt i den statslige forvaltning.  

På baggrund af en række alvorlige angreb via cyberspace og på samfundsvigtig kritisk infrastruktur samt talrige eksempler på offentligt og privat svigt har en række lande, vi normalt sammenligner os med, fundet det nødvendigt og hensigtsmæssigt at oprette nationale og uafhængige cybersikkerhedsråd på strategisk niveau. Blandt andet Frankrig, Storbritannien, Norge og Holland har knyttet deres råd centralt til statslederens departementet i stedet for hos en fagminister.

Årsagen til dette er emnets vitale og tværsektorielle natur. Alle sektorer i det offentlige og det private erhvervsliv samt den enkelte borger er dybt afhængige af samfundets digitalisering, som udvikler sig i hæsblæsende fart. 

Resultatet er, at den danske befolkning, samfundet og virksomhederne ikke får den nødvendige orientering, varsel eller proaktive tilgang til bekæmpelse af de kræfter, der vil os det ondt.