IT-Branchen: Cyberkrigen truer den kritiske infrastruktur

DEBAT: Både EU og regeringen har indført nye krav, der skal øge cybersikkerheden i den kritiske digitale infrastruktur. Desværre er der huller i de ellers gode hensigter og initiativer fra både EU og regeringen, skriver Christian Wernberg-Tougaard. 

Af Christian Wernberg-Tougaard
Direktør for offentlig sektor cybersikkerhed hos Deloitte og formand for IT-Branchens it-sikkerhedsudvalg

Hackere og virus, der lammer alt fra ukrainske elselskaber, engelske hospitaler til drikkevandsforsyninger og internationale teleselskaber, er blevet hyppigt beskrevet det seneste år i medierne.

Vi er under angreb, og cyberkrigen er for alvor rykket ind og truer vores kritiske digitale infrastruktur. Det er et trusselsbillede, vi skal tage seriøst, da sådanne angreb om noget kan bringe et moderne digitalt land som Danmark i knæ.

Fælles front mod cybertruslen
Med Net- og Informationsikkerhedsdirektivet (NIS) har EU da også for alvor taget teten og er gået forrest for at sikre, at cybersikkerheden hos operatører indenfor drikkevandsforsyning, energi (el, olie og gas), transport, bankvæsen, sundhed samt finansiel og digital infrastruktur er god nok.

Som en del af NIS skal regeringer i EU også udvikle nationale strategier for cyber- og informationssikkerhed. Man har derfor gennemført en lovgivning i Folketinget, som vil styrke cyberindsatsen inden for de samfundskritiske sektorer.

Initiativerne er i sin essens gode for Danmark, da der dermed kommer nogle rammekrav for sikkerheden i vores kritiske infrastruktur, og i IT-branchen støtter vi helhjertet op om både strategi som NIS.

Vi er enige i, at der skal stilles krav for at sikre, at de relevante kritiske infrastrukturvirksomheder træffer passende tekniske og organisatoriske foranstaltninger for at imødegå cybertruslen.

Så langt så godt.

Hullerne i de gode intentioner
Desværre er der huller i de ellers gode hensigter og initiativer fra både EU og regeringen.

EU har først og fremmest valgt at indføre rammerne som et direktiv i stedet for en forordning, hvilket betyder, at det er op til de enkelte lande selv at bestemme, hvordan de vil fortolke det.

Al erfaring viser, at det betyder forskellige krav, implementeringshastighed og prioriteringer i hvert land, hvilket gør det svært at koordinere cyberindsatser og forsvar effektivt på tværs af lande.

I regeringens cyberstrategi lægges der også op til, at hver sektor i Danmark skal levere deres egen strategi – og at det er forskellige ministerier, der får ansvaret for hver sin sektor.

Det er lidt ironisk, at man stort set sekundet efter lanceringen af en ”fælles” national cyberstrategi, deler den op i politiske siloer. For også her viser historien, at det kan blive umådeligt svært at koordinere indsatsen på tværs.

Vi afventer med spænding resultaterne af de første tværgående møder ultimo juni mellem de statslige sektoransvarlige tilsynsmyndigheder.

Indsatsen skal også fungere i virkeligheden
Havde hackerne nøjedes med at tænke i de selv samme siloer eller begrænse deres angreb til ét land ad gangen, så havde indsatserne måske være fine nok. Desværre forholder virkeligheden sig ikke sådan.

Sidste sommer så vi blandt andet, hvordan et cyberangreb oprindeligt rettet mod Ukraine endte med at gå ud over store dele af den danske maritime sektor. For når hackerne går i gang, så har de intet imod at ramme flere lande eller at infiltrere den kritiske infrastruktur på tværs af sektorer. Tværtimod.

Kan de bruge samme værktøjer til at ramme mange forskellige typer virksomheder, så gør de bestemt det. Derfor er der i den grad brug for, at vi hele tiden informerer og koordinerer med hinanden. At vi bruger vores ressourcer klogt og i fællesskab, så vi ikke en dag vågner op til manglende elektricitet, hackede hospitaler, forurenet drikkevand og lukkede telenetværk.  

Vi håber det bedste, og i IT-branchen er vi klar til at tage arbejdstøjet på og hjælpe med at skabe et mere digitalt og sikkert Danmark.

Forrige artikel Dithmer: Vi skal op i gear for at kunne følge med den digitale omstilling Dithmer: Vi skal op i gear for at kunne følge med den digitale omstilling Næste artikel 3F og Prosa: Større medieinteresse for initiativer på det digitale arbejdsmarked efterlyses 3F og Prosa: Større medieinteresse for initiativer på det digitale arbejdsmarked efterlyses
  • Anmeld

    John Foley

    Ja, der savnes et koordinerende og tværgående offentligt-privat samarbejdsforum - som etableret i andre lande.

    EU's NIS direktiv og den nationale strategi for cyber- og informationssikkerhed er skridt i den rigtige retning, men der er desværre lang vej endnu.
    Det står f.eks ikke klart, hvor Danmark skal være efter strategiens udløb. Og selv om det kaldes en national strategi, er det desværre ikke en strategi for hele samfundet.
    Endvidere savnes konkrete mål for, hvornår de forskellige initiativer skal sættes i gang, hvornår de er fuldt implementerede, og hvornår der kan måles på effekten af dem.
    Hverken NIS-direktivet eller strategien oplyser om, hvem der er tovholder på på tværs af samtlige ministerier, og hvordan vi kan se planen udfolde sig. Der er mange gode ord og hensigter, men der skydes med spredehagl i stedet for at skabe handlekraft, f.eks.i form af et Offentligt-Privat Foum. Et forum, der ligesom i andre lande vi normalt sammenligner os med, kan tilsikre, at der kommer handling bag ordene og at det manglende tværgående samarbejde kan blive en realitet..

Uenighed om magtforhold: Bliver Vestager i praksis EU's tech-dronning?

Uenighed om magtforhold: Bliver Vestager i praksis EU's tech-dronning?

HIERARKI: Vestager er blevet udråbt som den helt store digitale chef i EU-regi, men flere peger på, at det i virkeligheden er Sylvie Goulard, der sidder på tech-tronen. EU-ekspert mener, magtfordelingen først vil vise sig, når kommissærerne tager arbejdshandskerne på.