Debat

Professor: Statsejerskab af digital infrastruktur mindsker ikke sikkerhedsrisici

Det er problematisk at antage, at mere statskontrol og –ejerskab af digital infrastruktur øger cybersikkerheden. Det er ikke tilfældet, skriver Andrej Savin.

Autentificering ved hjælp af MitID vil for eksempel blive udført af en række ’brokers’, der giver serviceudbydere adgang til MitID-løsningen. Disse er ikke kontrolleret eller ejet af den danske stat, skriver Andrej Savin.  
Autentificering ved hjælp af MitID vil for eksempel blive udført af en række ’brokers’, der giver serviceudbydere adgang til MitID-løsningen. Disse er ikke kontrolleret eller ejet af den danske stat, skriver Andrej Savin.   Foto: Liselotte Sabroe/Ritzau Scanpix
Andrej Savin
Dette indlæg er alene udtryk for skribentens egen holdning. Alle indlæg hos Altinget skal overholde de presseetiske regler.

Ideen om, at stater skal blive ansvarlige for kritisk digital infrastruktur antyder, at vi er mere sikre, hvis stater – og ikke private virksomheder – ejer og/eller kontrollerer kritisk digital infrastruktur.  

Denne idé er problematisk af flere grunde. 

For det første har private aktører effektivt overvåget betydelig infrastruktur i årtier. Der kan ikke findes et bedre eksempel end Internet-backbone (Tier 1- og 2) udbydere, hvoraf de fleste er private.  

At foreslå, at dette skulle stoppe, ville kræve bevis for, at private aktører er blevet dårligere til deres opgave, eller at de er mere udsatte for cybersikkerhedsmæssige risici end de offentlige. 

For det andet er der få overbevisende grunde til at tro, at stater er mindre risikable, mere effektive eller bedre stillet til jobbet. Det modsatte er ofte tilfældet, da manglende finansiering betyder, at dårligere løsninger implementeres, eller at der spares. 

Temadebat

Bør staten være ansvarlig for vores digitale infrastruktur?

Nets' udmelding om, at de vil sælge deres driftskontrakt for både NemID og MitID, fik en sikkerhedsekspert til at påtale en mulig sikkerhedsrisiko ved en overdragelse af driftsansvaret. 

Derfor har Altinget inviteret politikere, aktører og eksperter til at debattere, om staten generelt bør eje, drive, udvikle og finansiere mere digital infrastruktur, og om der tages tilstrækkelig højde for risikovurderinger i outsourcing af digitale løsninger.

Om Altingets temadebatter:

Alle indlæg er alene udtryk for skribenternes egen holdning.

Altinget bringer kun debatindlæg, som udelukkende er skrevet til Altinget.

Har du lyst til at bidrage til debatten, er du velkommen til at sende det til debatansvarlig Emma Brink på brink@altinget.dk eller til Altingets debatredaktion på debat@altinget.dk.

For det tredje antyder ideen, om at stater bør eje eller kontrollere kritisk infrastruktur, at ejerskab eller kontrol er løsningerne på cybersikkerhedsproblemer.  

Efter denne logik reducerer det at eje eller drive MitID på statsniveau forskellige risici (definerede eller ikke-definerede) på samme måde, som det at eje motorveje eller jernbanespor gør. Dette er ikke tilfældet.  

Statsejerskab reducerer ikke cybersikkerhedsrisici 

Moderne cybersikkerhedsrisici er mere forskelligartede, og stater selv er ofte mål for vedvarende og effektive angreb. Desuden ville nylige cyberangreb mod energiinfrastruktur i EU ikke have været mindre skadelige, hvis stater havde drevet denne infrastruktur. 

Der er ingen permanent opskrift på den rigtige kontrolmekanisme. Finans Danmark og Digitaliseringsstyrelsen indgik et samarbejde om i fællesskab at udtænke og finansiere MitID. Opsætningen var altid en midlertidig løsning, og salget er ikke uventet. Danske stater bør sikre, at nationale og EU-regler overholdes. 

Det foreslåede NIS2-direktiv, som snart skal færdiggøres, er et vigtigt nyt EU-cybersikkerhedsinstrument. Det nye direktiv udvider omfanget af forpligtelser og forpligter flere enheder og sektorer til at træffe cybersikkerhedsforanstaltninger.  

Det kan være, at dele af regelsættet skal justeres for at sikre bedre overblik over kritisk infrastruktur, uanset den underliggende ejerstruktur. Men hvis dette er tilfældet, er det det, der bør gøres – i stedet for at antage, at statskontrol er løsningen. 

Andrej Savin, professor og leder, CBS Law

Det er afgørende, at dette direktiv retter sig mod væsentlig infrastruktur (vand, telekommunikation, elektricitet, offentlige tjenester osv.), uanset om disse strukturer er private eller i den offentlige sektor.  

Hovedkriteriet er deres status og betydning, ikke ejerskab eller kontrol. Dette viser, at cybersikkerhed i det mindste i EU-lovgiveres øjne ikke er tæt forbundet med spørgsmålene om ejerskab eller kontrol. 

Salg af kritisk infrastruktur skal i forvejen godkendes af staten 

EU-retten indfører fælles regler på en række områder, blandt andet finansiel regulering og cybersikkerhed. 

Ifølge disse kan kun enheder, der opfylder relativt strenge kriterier, deltage i certificering eller udbyder banktjenester. Andre EU-regler, såsom GDPR, giver yderligere beskyttelse. 

Læs også

Mere relevant er måske noget andet. MitID-sikkerhed afhænger af mange komponenter. Autentificering ved hjælp af MitID vil for eksempel blive udført af en række ’brokers’, der giver serviceudbydere adgang til MitID-løsningen. Disse er ikke kontrolleret eller ejet af den danske stat.  

Med andre ord har statskontrol eller ejerskab – selv om det implementeres korrekt – kun en begrænset rækkevidde. 

Men at sige, at stater ikke bør overtage kritisk infrastruktur, er ikke det samme som at sige, at stater ikke har en interesse, eller at de ikke skal have nogen kontrol over løsningen.  

Et salg af en kritisk tjeneste som f.eks. NemID til en udenlandsk ejet eller udenlandsk kontrolleret enhed, især hvis en sådan enhed kommer fra et fjendtligt land, skaber alvorlige sikkerhedsrisici.  

Staten har flere kontrolinstrumenter. Til at begynde med skal overførslen bekræftes af staten. Endvidere vil den nye ejer være underlagt samme kontraktlige forpligtelser som Nets, herunder forpligtelsen til fysisk placering i Danmark.  

Det kan være, at dele af regelsættet skal justeres for at sikre bedre overblik over kritisk infrastruktur, uanset den underliggende ejerstruktur. Men hvis dette er tilfældet, er det det, der bør gøres – i stedet for at antage, at statskontrol er løsningen. 

Politik har aldrig været vigtigere

Få GRATIS nyheder fra Danmarks største politiske redaktion

Omtalte personer

Andrej Savin

Professor MSO, leder, CBS Law