Lektor i cybersikkerhed: Forskning skal være central i cyberstrategien

Af Jens Myrup Pedersen
Lektor i cybersikkerhed, Institut for Elektroniske Systemer, Aalborg Universitet

Det er glædeligt, at regeringen har sat gang i arbejdet med en ny national strategi for cyber- og informationssikkerhed.

De fire fokusområder, der er udvalgt, giver også god mening – særligt er det glædeligt med fokus på ledelsesforankring og kompetenceopbygning:

Cybersikkerhed er i høj grad en risikodisciplin, og det er afgørende, at ledelserne i både små og store danske virksomheder er i stand til at forstå og håndtere risikoen for cyberangreb.

Men jeg synes dog, at det er synd, at forskning og uddannelse fylder så lidt i et kommissorium, der ellers handler meget om kompetenceopbygning og samarbejde.

Søger man i teksten, finder man, at myndigheder er nævnt 17 gange, virksomheder er nævnt 15 gange, mens uddannelse og forskning hver er nævnt en enkelt gang.

Der er i den grad brug for at forskning og undervisning bliver en central del af strategien, så vi kan forsvare os mod morgendagens angreb.

Jens Myrup Pedersen
Lektor i cybersikkerhed, Institut for Elektroniske Systemer, Aalborg Universitet

Argumenter for forskningsfokus
Lad mig give tre gode grunde til i højere grad at gøre forskning og uddannelse til en central del af den nye strategi.

For det første: Dem, der angriber os, er omstillingsparate og dygtige til at tilegne sig nye teknologier.

Derfor er der brug for, at vi ikke alene lærer af ”fortidens angreb”, men også teknologisk er på forkant:

Mange af de metoder, vi i dag bruger til at beskytte os med, er relativt lette at omgå for angriberne, som i stigende grad udnytter både lovlige og ulovlige data til automatiserede angreb – angreb der i fremtiden i endnu højere grad vil basere sig på brug af kunstig intelligens.

Disse udfordringer kalder i den grad på nye teknologiske løsninger, og på at vi er i stand til hele tiden at være foran. Forskning og uddannelse spiller her en central rolle, både hvad angår teknologiudvikling og i forhold til at sikre de rigtige kompetencer.

For det andet: De sidste par år har lært os at være skeptiske overfor teknologi fra andre lande, jævnfør debatterne om for eksempel 5G-leverandører og kinesiske kameraer.

Men hvem kan vi så stole på, når det kommer til programmer og systemer der skal forebygge og detektere cyberangreb?

Vi skal ikke nødvendigvis bygge alting selv, men vi skal have så meget viden og erfaring, at vi er i stand til at undersøge og vurdere de teknologier, der anvendes – og om nødvendigt til at vi kan udvikle egne alternativer.

For det tredje: Cyber- og informationssikkerhed handler ikke kun om at beskytte os mod trusler, men også om at udnytte de markedsmuligheder det giver for danske virksomheder at udvikle og sælge cybersikre produkter.

Som et højt digitaliseret land har vi gode muligheder for at opnå en styrkeposition, men mulighederne udnyttes bedst, hvis vi kan skabe stærke miljøer, hvor forskning, uddannelse og erhvervsliv spiller sammen.