Og så kom cyberstrategien: Erhvervslivet siger ja tak, mens eksperterne langtfra er imponerede

Der er ingen entydig fortælling om tilfredsheden med regeringens cyberstrategi.

Nogle hylder den for at tage et nødvendigt favntag med de digitale udfordringer, som truer det danske samfund efter et år med talrige hackerangreb.

Andre dadler strategien for at være letbenet og ikke give fyldestgørende svar på tidens presserende spørgsmål.

Altinget har samlet en række reaktioner på tirsdagens strategi for cyber- og informationssikkerhed. En strategi, som med et års forsinkelse har fået en lang række aktører til tasterne og mobiltelefonerne. Og som det derfor ikke er muligt at komme hele vejen omkring.

Regeringen lægger op til, at virksomheder, skoleelever og offentligt ansatte alle skal oplæres til en bedre forståelse af it. Men de glemmer en gruppe: Og det er de politikere, som skal træffe beslutningerne på vegne af os alle sammen. Vi har desværre set mange eksempler på, at vores politikere har haft et halvt år til at sætte sig ind i superkomplekse emner. Og det er ikke holdbart.

Leif Jensen
Nordisk direktør, Kaspersky Lab

Dansk Industri
Vi begynder hos Dansk Industri. Her kunne tidligere afdelingschef i Finansministeriet Lars Frelle-Petersen i januar 2018 besmykke sig med titlen som digital direktør. Og det var en glad direktør, der kunne konstatere, at regeringen tirsdag opfyldte et længerevarende ønske fra dansk erhvervsliv.

"Cybertruslen er en kæmpe udfordring for erhvervslivet. Det gælder ikke mindst for de små og mellemstore virksomheder. Derfor er det rigtig vigtigt, at regeringen nu spiller ud med en central strategi for, hvordan Danmark fremover bedre kan gardere sig mod spionage og angreb fra kriminelle via internettet," siger han.

Buketten med roser er stor: Han roser idéen med strategier for de enkelte sektorer i samfundet og decentrale cybersikkerhedsenheder. Men også strategiens fokus på digital dømmekraft og på digitale kompetencer på uddannelserne og på ny sikkerhedsteknologi i forskningen. Og endelig initiativet med jævnligt at tage temperaturen på it-sikkerheden herhjemme.

"Strategien er udtryk for en politisk vilje til at tage ansvar for bedre it-sikkerhed. Og det er godt, for det er vigtigt, at vi som samfund tager truslen alvorligt, og at vi påtager os en digital ansvarlighed, der matcher vores samfunds digitaliseringsgrad," siger Lars Frelle-Petersen.

Finans Danmark
Glæden spejles hos bankerne og realkreditinstitutternes brancheorganisation Finans Danmark.

"Der er ingen tvivl om, at med den øgede digitalisering rykker kriminaliteten også med. Derfor skal vi have et større fokus og et bedre forsvar mod cyberkriminalitet. Udspillet indeholder en række initiativer, som kan bidrage til at holde it-kriminelle ude af vores systemer," siger administrerende direktør Ulrik Nødgaard.

Han er også begejstret for regeringens sektorielle tilgang.

"Det er afgørende, at de enkelte samfundskritiske sektorer har en forpligtelse til at forbedre deres robusthed. I finanssektoren har vi allerede gennemført flere tiltag i forhold til forsvaret mod organiserede it-kriminelle og avancerede hackergrupper," siger han.

Bankerne i Norden har således skabt et Nordic Financial CERT. Her kan den finansielle sektor i hele Norden dele oplysninger om cyberangreb. Erfaringer, som han håber, at man kan dele ud af i det nye partnerskab for øget cybersikkerhed og ansvarlig datahåndtering i dansk erhvervsliv.

"Finanssektoren bruger mange ressourcer på at bekæmpe cyberangreb og håndtere data forsvarligt. Og vi udgør en vigtig kerne i den kritiske digitale infrastruktur. Så vi er glade for at kunne bidrage med vores viden og input i et nyt erhvervspartnerskab," siger Ulrik Nødgaard.

Dansk Energi
I strategien udpeger regeringen seks sektorer, som man ønsker at holde et særligt øje med: energi, transport, tele, finans, sundhed og søfart.

Hos Dansk Energi er forsknings- og udviklingsdirektør Jørgen S. Christensen begejstret for regeringens opmærksomhed.

"Vi ser meget positivt på strategien og takker for invitationen til at indgå i samarbejde med myndighederne om en decentral cybersikkerhedsenhed. Samarbejdet mellem Center for Cybersikkerhed, som står for den nationale it-sikkerhed, og den decentrale cybersikkerhedsenhed, der kender til sektorerne i dybden, ser vi som et væsentligt element i strategien," siger han.

Han forklarer, at energiselskaberne i dag bruger i omegnen af 100 millioner kroner årligt på cybersikkerhed.

"Energibranchen er samfundskritisk infrastruktur og tager cybersikkerhed dybt alvorligt. Vi leverer strøm i kontakten 99,99 procent af tiden, og vi passer på vores kunder. Men man kan aldrig gardere sig helt mod hackere, og derfor er det vigtigt med et stærkt beredskab i de enkelte sektorer kombineret med løbende politisk fokus på sagen," siger Jørgen S. Christensen.

Kaspersky Lab
Efter at have orienteret sig hos en række hjemlige erhvervsorganisationer kan man passende spørge en global it-sikkerhedsmastodont som Kaspersky Lab, hvad de mon tænker om værktøjerne i regeringens cyberstrategi.

Her åbner nordisk direktør Leif Jensen lidt overraskende med en disclaimer.

"Jeg vil ikke være ham, der brokker sig over sådan et udspil. Jeg har selv kritiseret regeringen for ikke at tage cybersikkerhed alvorligt nok. Jeg er glad for, at mange af de punkter, som jeg selv og andre i branchen har pointeret, er kommet med i udspillet," siger han.

Leif Jensen er især glad for, at Center for Cybersikkerhed fremover får en mere åben profil over for offentligheden.

"En af de vigtigste ting har været kritikken af, at Center for Cybersikkerhed lever en isoleret tilværelse og ikke påtager sig at informere offentligt, når der sker hændelser som sidste års hackerangreb mod Mærsk. Og hvor det ender med at være private aktører som mig selv, der skal forklare offentligheden, hvad der sker. Naturligvis var det fedt for mig at være på tv, men jeg havde hellere set, at myndighederne havde taget sig af opgaven," siger han.

Faktisk kan han kun finde et enkelt sted at sætte en kritisk finger.

"Regeringen lægger op til, at virksomheder, skoleelever og offentligt ansatte alle skal oplæres til en bedre forståelse af it. Men de glemmer en gruppe: Og det er de politikere, som skal træffe beslutningerne på vegne af os alle sammen. Vi har desværre set mange eksempler på, at vores politikere har haft et halvt år til at sætte sig ind i superkomplekse emner. Og det er ikke holdbart," siger han.

IT-Branchen
Nu tager kritikken imidlertid til i omfang. Hos IT-Branchen forklarer formand for it-sikkerhedsudvalget, Christian Wernberg-Tougaard, at strategien har en række huller, der gør det svært at sikre danskerne og danske virksomheder.

"Cybersikkerhed er et mangehovedet monster, så selv om regeringen forsøger at tage den ved hornene enkelte steder, så er der også flere steder, hvor sikkerheden ikke bliver styrket godt nok med den nye strategi," siger han.

Det bliver hurtigt et spørgsmål om penge. Når et enkelt cyberangreb koster Mærsk 1,9 milliarder kroner, så blegner de 1,5 milliarder, som regeringen afsætter over fire år, i sammenligning.

I cybersikkerhedsstrategien kan man da også læse, at der endelig skal laves en kortlægning af den kritiske infrastruktur, og det bifalder IT-Branchen. Og så bekymrer det IT-Branchen, at cyberstrategien ikke sætter større krav til at koordinere på tværs af det offentlige og sammen med erhvervslivet.

"Når der ikke sættes større krav til at dele informationer og planer på tværs af det offentlige og i samarbejde med erhvervslivet, risikerer vi, at alle bygger deres egen lille sikkerheds-ø i stedet for at bruge ressourcerne på at bygge en fælles effektiv sikkerhedsmur rundt om vores samfund," siger Christian Wernberg-Tougaard.

John Foley
Vi slutter rundturen hos John Foley, der ud over at være indehaver af rådgivningsfirmaet Copits har mere end 30 års erfaring med it-sikkerhed. Og han er langtfra begejstret.

"Bedre sent end aldrig, men strategien tager ikke i tilstrækkelig grad hensyn til befolkningens og den enkelte borger behov. Strategien forekommer at være et værk, der har til hensigt at sikre statens og de store virksomheders interesser og behov," siger han og mener, at det store antal små og mellemstore virksomheder overses.

"Lidt kynisk kan det siges, at strategien er en omvendt Robin Hood. Der gives til dem, der har i forvejen, og de svageste og fattige må klare sig selv."

Han kritiserer i lighed med andre fraværet af overordnet styring og koordination.

"Misforstå mig ikke. Der er mange gode og tiltrængte initiativer og handlinger beskrevet i strategien, men der er ingen egentlig overordnet styring eller koordination. Det overlades i stor stil til de enkelte sektorer og virksomheder til selv at gøre en indsats," siger John Foley.

Han vurderer, at der er inspiration at hente ved at skæve til Holland, der har etableret et it- og cybersikkerhedsråd bestående af repræsentanter fra det offentlige og private samt forskningsverdenen.

"Det gør Danmark desværre ikke. Og derfor vil kampen mod cybertruslerne også fremover foregå sporadisk og usammenhængende."