Chefanalytiker: Det er uklart, hvem der har ansvaret for offentlig cybersikkerhed

DEBAT: At det ikke er knivskarpt, hvem der har ansvaret for den nye cyberstrategi, gør mig oprigtigt bekymret for, hvordan vi lykkedes med de målsætninger, der er stillet op i strategien, skriver Jens Christian Høy Monrad.

Af Jens Christian Høy Monrad
Chefanalytiker, Mandiant

Hvem ejer cybersikkerhed i det offentlige?

Dette spørgsmål rejste jeg på Twitter for noget tid siden.

Jeg synes, spørgsmålet er relevant at stille igen, på baggrund af regeringens igangsættelse af en ny National strategi for cyber- og informationssikkerhed fra 2021.

Der er ingen tvivl om at cybersikkerhed fylder mere i alles bevidsthed i dag, end den gjorde for blot nogle få år siden.

Indrømmet, er jeg selvfølgelig stærkt farvet, grundet mit erhverv, men når vi sammenholder det trusselslandskab vi ser i cyberspace med vores ambitioner indenfor digitalisering, er det ganske berettiget med denne opmærksomhed, og i min optik fylder det faktisk ikke nok.

Ansvaret er ikke fast tilknyttet nogen
Når vi kigger på trusselsbilledet i cyberspace, hvor både cyberkriminelle og stats-sponsorerede cyberspioangeangreb er en vedvarende trussel mod både danske virksomheder og myndigheder, så er det vigtigt at forstå, at dette også er skabt på baggrund af vores ambitioner omkring digitalisering.

Når vi skaber en større digital flade, udvides fladen for cyberangreb også.

Grunden til, jeg synes, mit spørgsmål er relevant at stille i dette indlæg, er at det ikke står knivskarpt, hvem der har det overordnede ansvar, og dette gør mig oprigtigt bekymret i forhold til, hvordan vi lykkedes med de målsætninger der er stillet op i strategien.

Så vidt jeg kan læse mig til, så er strategien skabt på tværs af forskellige ministerier og myndigheder.

Jeg synes overordnet, at man kommer godt omkring de forskellige ressourcer, der måtte have et begrundet input, men når det kommer til selve ejerskabet, altså tovholderen der skal sørge for vi kommer i mål, så står svaret lidt og blæser, ubesvaret, i vinden.

Jeg synes faktisk, at det også forgrener sig ind i Folketinget.

Vi har i dag it-ordfører fra de fleste partier (med undtagelse af Liberal Alliance og Nye Borgerlige), men synligheden i det politiske billede, debatten om digitalisering og eventuel indflydelse på digitalisering står ligesom svaret på ejerskab af strategien hen i det uvisse.

Dette gør, at jeg stiller spørgsmål til, hvordan man politisk vil drive strategien til en succes.

Man kan med rette stille sig selv det spørgsmål, om man rent faktisk kan nævne de otte it-ordførere der p.t. er i folketinget, og hvor stor succes de har haft med at drive en debat om digitalisering og måske endnu vigtigere cybersikkerhed.

Udpeg en politisk uafhængig ansvarlig
I over to årtier, har jeg beskæftiget mig med cybersikkerhed, hvoraf de sidste 10 år har været med et målrettet fokus på organiseret cyberkriminalitet og stats-sponsoreret cyberspionage.

Min erfaring er at, når ingen ejer processerne, har ansvaret for strategien eller er bannerfører på de forskellige tekniske og ikke-tekniske krav bliver implementeret, så står man rigtig dårligt, når man bliver kompromitteret.

Dette gælder for alle cyberangreb, uanset hvad motivationen er, og derfor er det vigtigt, at der er udpeget en person, et ministerie eller en myndighed, der har ansvaret og ejer strategien.

Sammenlign det med en privat virksomhed. Der er mange forskellige komponenter, ekspertiser og ressourcer. I sidste ende er det dog direktøren, der tegner billedet af virksomheden og har det overordnede ansvar.

Sådan bør det også være på et så vigtigt område som cybersikkerhed i det offentlige. 

Jeg synes, at området er af så vigtig karakter, at man bør overveje at udpege en stats-CIO, en embedsmand af funktion, der er politisk uafhængig og har ansvaret for at styre det vigtige arbejde, der ligger for, og sikrer vi kommer i mål med strategien.

Dette skylder vi hele samfundet, for der er intet der tyder på, at hastigheden og udbredelsen af hverken cyberkriminalitet eller digitalisering bliver mindre i de kommende år.

Faktisk man kan sige, at de går hånd-i-hånd.

Forrige artikel Styrelsesdirektør: Arbejdsgivere skal sikre medarbejderne mod seksuel chikane Styrelsesdirektør: Arbejdsgivere skal sikre medarbejderne mod seksuel chikane Næste artikel Lektor: Disse præmisser er afgørende, hvis nærhedsreformen skal virke Lektor: Disse præmisser er afgørende, hvis nærhedsreformen skal virke