Debat

Direktør: Regeringens cyberudspil skal tilbage til tegnebrættet

Regeringens idé om et cyberhjemmeværn baseret på frivillige kræfter skal gentænkes, og der skal mere turbo på at understøtte skabelsen af én af fremtidens milliardindustrier: cyber- og informationssikkerhed, skriver Christian Wernberg-Tougaard.

24. juni indgik regeringen og en række partier et forlig om udmøntning af cyberreserven.
24. juni indgik regeringen og en række partier et forlig om udmøntning af cyberreserven.Foto: Nikolai Linares/Ritzau Scanpix
Christian Wernberg-Tougaard
Dette indlæg er alene udtryk for skribentens egen holdning. Alle indlæg hos Altinget skal overholde de presseetiske regler.

Længe interesserede cybersikkerhed ikke rigtig andre end os, der beskæftiger sig med netop cybersikkerhed. Emnet var i mange år fraværende på dagsordenen hos både erhvervslivets topledelse og politiske beslutningstagere.

Sådan er det ikke længere.

Senest har den danske regering og en række af Folketingets partier indgået forlig om udmøntning af cyberreserven for at få et styrket dansk cyberforsvar. Det er positivt, om end man alvorligt bør overveje at justere nøgleelementer i oplægget; det vender jeg tilbage til.

Kan købe sig til angreb
Men først lidt om den alvorlige baggrund. Gennem de seneste år er et stort antal internationale virksomheder blevet lagt ned af cyberangreb –Maersk og Garmin er blot to af de kendte eksempler.

Fremfor ’opgavetyveri’ hvor offentlig cyberassistance ender i direkte konkurrence med it-sikkerhedsvirksomheder, er det vigtigt, at vi har gennemtænkt og operationaliseret hvem gør hvad, hvornår, hvorfor og hvordan, inden katastrofen indtræffer.

Christian Wernberg-Tougaard
Direktør og chef for KPMG’s cyberpraksis i Danmark

Dele af nationers kritiske infrastruktur er blevet lammet, og særligt energi- og sundhedssektoren har stået for skud; senest har angreb ramt amerikanske Colonial Pipeline Company og det irske sundhedsvæsen.

Og under COVID-19 har it-kriminelle i vidt omfang udnyttet de mange nye angrebsflader, som hjemmearbejdet har skabt, hvilket har udfordret både små og store organisationer i hidtil uset grad.

Særligt er angreb med ransom- eller kryptoware blevet populære.

It-kriminelle har endda sat handlen med komplette pakker i system, så alle i dag kan købe sig til angreb, som distribueres bredt og låser hele systemer ned hos dem, der rammes.

Tilsvarende er det blevet nemmere at gennemføre målrettede og sofistikerede angreb på udvalgte mål. Her sniger kriminelle sig ind i systemerne og bruger månedsvis på at identificere og kopiere de mest værdifulde data. Siden låses system, data og backup ned og frigives kun mod løsesum.

Stadig oftere sætter de kriminelle endda trumf på ved at true med at offentliggøre følsomme data, hvilket kan give ofrene problemer med kunder, partnere og myndigheder. Det er en ekstremt indbringende forretning, der ydermere kan gennemføres med minimal risiko for de kriminelle.

Styrket cyberforsvar
Det stadig mere kritiske trusselsbillede har været afgørende for, at cyberkriminalitet nu tages alvorligt på både nationalt og internationalt niveau. Ja, det var endda et emne, som i juni blev taget op under det første russisk-amerikanske topmøde siden indsættelsen af præsident Biden.

Herhjemme blev indsatsen for alvor skudt i gang med oprettelsen af Center for Cybersikkerhed i 2012, og senest har regeringen som nævnt indgået forlig om anvendelse af 500 millioner kroner til et styrket dansk cyberforsvar.

Er det ambitionen at nationalisere én af fremtidens milliardindustrier fremfor langt mere offentligt-privat samarbejde?

Christian Wernberg-Tougaard
Direktør og chef for KPMG’s cyberpraksis i Danmark

Den overordnede intention i forliget spiller fint sammen med EU's såkaldte NIS 1- og NIS 2-direktiver (Directive on Security of Network and Information Systems).

Særligt er der perspektiver i blandt andet målet om at gøre forsøget med cyberværnepligt permanent samtidig med, at fordele og ulemper ved at lade en del af Center for Cybersikkerhed overgå til det civile område skal undersøges nærmere.

Tilbage til tegnebrættet
Men der er elementer i regeringens udkast, som skal tilbage til tegnebrættet. Først og fremmest skal den ellers velmente idé om et cyberhjemmeværn baseret på frivillige kræfter gentænkes. Og så skal der endnu mere turbo på at understøtte skabelsen af én af fremtidens milliardindustrier: cyber- og informationssikkerhed.

For det første vil det blive svært at sikre en fornuftig balance mellem de faktiske behov og de kompetencer, man faktisk har til rådighed den dag, et omfattende angreb rammer samfundskritisk infrastruktur.

Især taget i betragtning at selv internationale it-virksomheder med store lønbudgetter længe har haft svært ved at skaffe netop it-medarbejdere med tunge sikkerhedskompetencer.

For det andet er tanken om et såkaldt cyberindsatshold, som kan rykke ud og rådgive ramte virksomheder og myndigheder, umiddelbart sympatisk. En slags brandvæsen for cyber- og informationssikkerhed.

Men der er mange problemer med tanken: Hvis der er brand, finansieres indsatsen (delvist) af en obligatorisk brandforsikring, men hvilken finansieringsmodel ligger bag indsatsholdet? Og hvornår aktiveres cyberindsatsholdet? Når bagermester Harrepus har haft besøg af ræven eller…?

Og mange har i dag beredskabsaftaler med private virksomheder, når ulykken indtræffer – så er det ambitionen at nationalisere én af fremtidens milliardindustrier fremfor langt mere offentligt-privat samarbejde?

Mange ubesvarede spørgsmål
Blandt de store spørgsmål, der savnes svar på, er: Skal staten og det offentlige opbygge store cyberafdelinger? Er det en offentlig kernekompetence at have hære af cybersikkerhedseksperter, som skal kunne rykke ud? Til hvad? Hvornår?

Vi skal have et nationalt cyberberedskab, som skal være forankret i en ”cyberkatastrofelov” (som epidemiloven), som muliggør national koordination mellem det offentlige og private virksomheder.

Christian Wernberg-Tougaard
Direktør og chef for KPMG’s cyberpraksis i Danmark

Hvad er en fornuftig arbejdsdeling mellem det offentlige og det private? Hvad gør vi som land, når den store cyberkatastrofe rammer os – hvem får det digitale Danmark op at køre igen?

Mine forslag er, at fremfor et cyberhjemmeværn skal vi have et korps af cybereksperter, som med borgerligt ombud skal stille op, den dag cyberkatastrofen indtræffer. De er de fremmeste mænd og kvinder, de er sikkerhedsgodkendt, og de modtager løbende træning og uddannelse inden for cyber- og informationssikkerhed.

For lægger man ud med at definere præcis, hvilke ressourcer og kompetencer der kan blive behov for i en sådan katastrofesituation, kan man indlede en dialog med de myndigheder og virksomheder, der har de rette medarbejdere. Så kan man samle et hold, der vil kunne træde til og løse opgaven, den dag det virkelig brænder på.

Helt uden skelnen til om de pågældende er offentligt eller privat ansatte – og uden hensyn til, om de er konkurrenter eller ej.

Når sygehusene går i sort
Samtidig skal vi have et nationalt cyberberedskab, som skal være forankret i en ”cyberkatastrofelov” (som epidemiloven), som muliggør national koordination mellem det offentlige og private virksomheder.

Denne stab skal have mandat til at udkommandere cybereksperterne – vel at mærke uden økonomisk og/eller retslige konsekvenser for de virksomheder og myndigheder, som stiller sit personale til rådighed under krisen.

Så fremfor ’opgavetyveri’ hvor offentlig cyberassistance ender i direkte konkurrence med it-sikkerhedsvirksomheder, er det vigtigt, at vi har gennemtænkt og operationaliseret hvem gør hvad, hvornår, hvorfor og hvordan, inden katastrofen indtræffer.

For når først der ikke er strøm i stikket, når sygehusene går i sort, eller en storbys vandforsyning er stoppet af de cyberkriminelle, er der ikke tid til at ringe rundt og finde de rette folk til opgaven.

Så skal man have et hold, der kan kaldes ind med kort varsel – og som faktisk er klædt på til at løse opgaven.

Læs også

Politik har aldrig været vigtigere

Få GRATIS nyheder fra Danmarks største politiske redaktion


0:000:00