Ny cyberstrategi efterlader kommunerne alene i den digitale jungle

CYBERSIKKERHED: Regeringens cyberstrategi er tiltrængt, men efterlader to store huller: Den sætter ikke et bundniveau for sikkerheden. Og så lader den kommunerne sejle deres egen sø, vurderer tidligere chef i Center for Cybersikkerhed Thomas Kristmar.

Foto: Martin Sylvest/Ritzau Scanpix
Klaus Ulrik Mortensen

En ny national strategi for cyber- og informationssikkerhed er bedre end ingen strategi.

Det siger sig selv. Og så langt er Dansk IT's ekspert i informationssikkerhed Thomas Kristmar også enig.

Men efter at have orienteret sig i regeringens 25 initiativer lange cyberstrategi, som blev præsenteret på et pressemøde tirsdag formiddag i Finansministeriet, står han alligevel tilbage med en følelse af skuffelse.

"En stor del af strategen bliver først til virkelighed, når den kommer ud i sektorerne. Her har man lagt op til, at man skal lave sektorstrategier. Det er fint nok, men djævlen ligger i detaljen," siger han og fortsætter:

Fakta
Her de centrale aktører på cyber- og informationsikkerhedsområdet:

  • Center for Cybersikkerhed: CFCS er national it-sikkerhedsmyndighed og varetager en række opgaver af forebyggende og afhjælpende karakter, herunder bl.a. rådgivning. CFCS’ netsikkerhedstjeneste kan bidrage til at opdage og varsle om avancerede cyberangreb hos tilsluttede myndigheder og virksomheder. CFCS varsler relevante myndigheder og virksomheder om konkrete cybertrusler, ligesom centeret udarbejder nationale og sektorspecifikke situationsbilleder og trusselsvurderinger.
  • Politiet: Politiet har til opgave at forebygge og efterforske it-relateret kriminalitet og bringe kriminalitet til ophør. Politiet har desuden det koordinerende ansvar ved større, tværgående hændelser.
  • Politiets Efterretningstjeneste: PET er national sikkerhedsmyndighed og kan i den forbindelse bl.a. yde rådgivning og bistand til offentlige myndigheder og private i sikkerhedsspørgsmål, herunder for så vidt angår den menneskelige faktor i informationssikkerhed tillige med fysiske sikring.
  • Digitaliseringsstyrelsen: Digitaliseringsstyrelsen understøtter informationssikkerheden i den offentlige sektor og varetager en række borgerrettede informationsopgaver samt har ansvaret for at koordinere implementeringen af strategien i samarbejde med FMN.
  • Erhvervsstyrelsen: Erhvervsstyrelsen udarbejder information, vejledning og værktøjer til at styrke det brede erhvervslivs arbejde med it-sikkerhed og ansvarlig datahåndtering.

Kilde: Regeringen

"Jeg savner en indikator for, hvornår et sikkerhedsniveau er godt nok. En strategi styrker ikke i sig selv sikkerhedsniveauet. Og der mangler et bundniveau for sikkerheden i Danmark."

Angreb på Mærsk forsinkede strategi et år
Thomas Kristmar er tidligere chef i Center for Cybersikkerhed under Forsvarets Efterretningstjeneste og arbejder i dag som Senior Manager for Cyber Security Advisory i KPMG.

Jeg savner en indikator for, hvornår et sikkerhedsniveau er godt nok. En strategi styrker ikke i sig selv sikkerhedsniveauet. Og der mangler et bundniveau for sikkerheden i Danmark.

Thomas Kristmar
Ekspert i informationssikkerhed, Dansk IT

Gennem de seneste år har han fulgt regeringens arbejde med en ny cyberstrategi intenst fra sidelinjen. Et arbejde, som egentlig skulle have været afsluttet sidste forår. Men som på grund af en række store cyberangreb på blandt andet Mærsk fik regeringen til at vurdere indsatsen i et nyt lys.

Resultatet af regeringens arbejde er dels et forsvarsforlig for årene 2018-2023, som afsætter 1,5 milliarder kroner til en styrket beskyttelse af Danmark mod cyber­trusler. Dels en strategi med 25 initiativer og 6 målrettede strategier for de mest kritiske sektorers arbejde med cyber-­ og informationssikkerhed:

Målet er at øge den tekniske robusthed i den digitale infrastruktur. Øge viden og kompe­tencer hos borgere, virksomheder og myndigheder. Og styrke den nationale koordinering og samarbejdet på områ­det.

På tværs af 13 ministerier
Hele 13 ministerier har været med til at udvikle strategien, der både byder på ny lovgivning, efteruddannelse af samtlige statsansatte og undervisning om sikkerhedsrisici til børn og unge.

Man opretter et døgnbemandet cybersituationscenter og udpeger seks samfundskritiske sektorer, som skal forkæles med særlig opmærksomhed: Energi, transport, tele, finans, sundhed og søfart.

Og der er bestemt fornuftige ting at sige om strategien, forklarer Thomas Kristmar.

"Det er en god strategi. Ingen tvivl om det. Vi er især begejstrede for tiltagene på uddannelsessiden. Dels ønsket om at styrke oplysningsindsatsen over for borgere og virksomheder. Dels ønsket om at forbedre den digitale dømmekraft hos børn og unge som et led i uddannelsessystemet."

Hvem skal hjælpe kommunerne?
Problemet er bare, at strategien kun leverer halvdelen af løsningen, vurderer han.

"Der er en række væsentlige knaster. Når man udpeger fem kritiske sektorer, herunder sundhedssektoren, har man dækket staten og regionerne, men hvor er kommunerne? Borgerne er ligeglad med, hvem der håndterer deres data. Og derfor er det kritisabelt, at kommunerne med strategien for lov at sejle deres egen sø," siger Thomas Kristmar.

Og det fører ham frem til den anden kritiske pointe. Nemlig at strategien ikke fastlægger et bundniveau for cybersikkerheden på tværs af de udpegede sektorer.

"Det er ikke nødvendigvis den rigtige strategi at lade sektorerne passe sig selv. Måske er det på tide at løsne lidt op på sektoransvaret og etablere en fælles tilsynsmyndighed, som går ind og vurderer, hvornår sikkerheden er god nok," siger han.

Læs mere om strategiens konkrete initiativer her.

Politik har aldrig været vigtigere

Få GRATIS nyheder fra Danmarks største politiske redaktion


0:000:00