Debat

IDA: Manglende definition af kritisk digital infrastruktur vanskeliggør handling over for cybertrusler

DEBAT: Uden en klar definition af hvad det er, vi skal sikre os bedre imod, er det vanskeligt at sikre os klogt, skriver Jørn Guldberg.

En
definition af Danmarks kritiske digitale infrastruktur kan tydeliggøre, hvor ledere
skal tage ansvar for at lukke huller og fjerne svagheder, mener Jørn
Guldberg. 
En definition af Danmarks kritiske digitale infrastruktur kan tydeliggøre, hvor ledere skal tage ansvar for at lukke huller og fjerne svagheder, mener Jørn Guldberg. Foto: Mads Claus Rasmussen/Ritzau Scanpix
Dette indlæg er alene udtryk for skribentens egen holdning. Alle indlæg hos Altinget skal overholde de presseetiske regler.

Af Jørn Guldberg
It-sikkerhedsekspert, Ingeniørforeningen, IDA 

Cyber-og informationssikkerhedshændelser sker hele tiden, af forskellige årsager og af forskellige aktører.

En del handler om helt traditionel berigelseskriminalitet.

It-kriminelle kan med relativt små investeringer sikre sig en meget høj profit, og risikoen for at blive arresteret er desværre meget lav.

Fakta
Dette indlæg er alene udtryk for skribentens egen holdning.

Alle indlæg hos Altinget skal overholde de presseetiske regler.

Debatindlæg kan sendes til [email protected].

En anden del handler om angreb, der bliver gennemført, fordi det kan lade sig gøre, og hackere ikke kan lade være.

Og endelig slås vi med en digital udgave af klassisk industri- og statsspionage, som den seneste skandale omkring FE og NSA er et godt eksempel på.

Måske er det på tide, at der sættes mere præcise ord på, hvor problemet er og hvordan løsningerne kan findes teknisk.

Jørn Guldberg
It-sikkerhedsekspert, Ingeniørforeningen, IDA

Digitale angreb er usynlige
De skader, der har ramt Danmark indtil nu, har haft økonomiske, sikkerhedsmæssige og industrielle konsekvenser.

Alvorligt for de ramte, men indtil nu er vi heldigvis sluppet for direkte tab af liv og skader på borgernes helbred, hvilket vi skal gøre meget for at undgå også fremover.

På trods af strategier mangler vi dog stadig at få den digitale usikkerhed helt ind på rygraden. I modsætning til oversvømmelser og storme, der efterlader fysiske spor, er digitale angreb usynlige for de fleste og dermed svære at forholde sig til.

Som det nævnes i kommissoriet til den nye informations- og cybersikkerhedsstrategi, så ”udestår der dog fortsat et arbejde med at få ledelsen i alle statslige myndigheder til at prioritere implementeringen af sikkerhedsstandarden, ligesom arbejdet med risikostyring- og vurderinger kan forankres dybere.”

At få fastlagt en definition af Danmarks kritiske digitale infrastruktur kan være med til at sætte en tydelig finger på, hvor offentlige ledere såvel som virksomhedsledere skal være opmærksomme og tage ansvar for at lukke huller og fjerne svagheder.

Uden en klar definition af hvad det er, vi skal sikre os bedre imod, er det vanskeligt at sikre os klogt – især når dagligdagen er fyldt med alle mulige andre og umiddelbart mere presserende opgaver.

Strategi for infrastrukturen
IDA's Digitaliseringsudvalg har fundet frem til følgende bud på, hvad en strategi for Danmarks kritiske infrastruktur bør indeholde.

Den tekniske infrastruktur, herunder vand, varme, transport og kommunikationsteknologi, er helt essentiel. Det har direkte konsekvenser for vores samfund, hvis disse dele af infrastrukturen udsættes for cyberkriminalitet.

PET tilbyder allerede rådgivning til sektorspecifikke virksomheder indenfor disse områder, men kendskabet til opgaven med at sikre disse områder og forståelsen af, hvad vi skal gøre og ikke gøre, skal tænkes bredere end konkrete eksperter i forsyningsvirksomhederne.

Hvis ikke kommunalbestyrelsen tænker med, så kan der være langt til at få opgaverne prioriteret rigtigt. 

Bedre sikring af offentlige data, der omfatter store mængder personfølsomme data er et vigtigt indsatsområde. Her skal vi kunne stole på, at oplysninger om fysisk og psykisk helbred, en families tilbud om hjælp fra det offentlige eller gymnasieelevernes karakterer bliver sikkert, der hvor de hører til.

Men det handler også om at sikre kommunikationskanalerne, så vi kan stole på de udmeldinger og den information, man som borger får fra det offentlige, og undgå fake news og de påvirkninger, det kan have.

Læs også

Danmarks konkurrenceevne kan svækkes ved for eksempel industrispionage. Det ved de godt i Terma, og der er sikkerhedsniveauet på ingen måde lavt.

Men for mindre virksomheder, der skal agere i et aftagermarked som det kinesiske, hvor first-in-market er langt vigtigere end at få de sidste sikkerhedstests i hus, er hemmeligholdelse af design og tekniske specifikationer afgørende.

Derfor skal it-sikkerhed også ligge helt fremme i bevidstheden hos virksomhedens ledelse og medarbejdere.

Den umiddelbare danske tilgang - ”at tingene nok skal gå” - skal pakkes helt væk og erstattes af et andet mere sikkerhedsorienteret mindset.

Sikring af hjemmenetværk
Endeligt bør en ny strategi også have fokus på de strukturelle ændringer, som coronapandemien har skabt på arbejdsmarkedet. Covid-19 har sendt rigtig mange mennesker på hjemmearbejde og dermed også en utrolig stor mængde arbejdspc’er hjem på de private netværk.

Det er vel at mærke netværk, der ofte er langt mindre sikre end arbejdspladsens og hvor et stigende antal digitale, men ofte sikkerhedsmæssigt primitive enheder bliver koblet på den samme router som skole- og arbejdsnetværk.

Center for Cybersikkerhed har sammen med Digitaliseringsstyrelsen og Erhvervsstyrelsen og en lang række organisationer, herunder IDA, været med til at råbe vagt i gevær og komme med konkrete råd.

Men måske er det på tide, at der sættes mere præcise ord på, hvor problemet er, og hvordan løsningerne kan findes teknisk.

Politik har aldrig været vigtigere

Få GRATIS nyheder fra Danmarks største politiske redaktion

Omtalte personer

Jørn Guldberg

It-sikkerhedsekspert, Ingeniørforeningen, IDA

0:000:00