Cybersikkerhedsrådgiver: FE bør ikke stå for cybersikkerheden i Danmark

Jens Christian Vedersø
Cybersikkerhedsrådgiver

Når min fireårige søn beskriver sine ønsker til jul, kan jeg godt få fornemmelsen af, at der er mange ønsker, jeg ikke kommer til at indfri, da såvel praktiske som økonomiske forhold sætter visse begrænsninger. Disse begrænsninger bekymrer en fireårig sig lykkeligvis ikke om, og jeg har som forælder en tendens til heller ikke at føle mig forpligtet af, at ønskesedlen i øjeblikket indeholder en gorilla.

Jeg har en fornemmelse af, at de hidtidige strategier for cyber- og informationssikkerhed afspejler samme logik. Det kan jo være fint nok, hvis de hidtidige strategier var ønskesedler, men de har haft karakter af løfter. Løfter, der ikke alle er blevet indfriet.

De løfter, som hidtidige versioner af strategien har indeholdt, bør vi samle op på. Som tidligere embedsmand har jeg været involveret i arbejdet med at formulere og udføre elementer i de hidtidige strategier, først i Energiministeriet og siden i Forsvarsministeriet.

Hemmelighedskræmmeri og manglende præcision
I modsætning til min firårige søn har jeg været pinlig bevidst om de økonomiske og praktiske begrænsninger for arbejdet. Jeg har samtidig haft en fornemmelse af, at de hidtidige strategier i ellevte time er blevet pustet op med luftkasteller og løst formulerede stjernekrigsprojekter.

Når jeg læser de hidtidige strategier, har jeg en fornemmelse af, at noget er usagt, at der er noget meget vigtigt, kompliceret og hemmeligt, som nogle meget dygtige mennesker må tage sig af. Dette hemmelighedskræmmeri og manglende præcision tjener ikke noget formål og er helt uhørt, når der samtidig bevilges anselige offentlige midler til projekterne.

For at opnå det samarbejde, som, jeg tror, kan medvirke til at løse problemet, må centerets opgaver deles i en civil og militær del. Dertil kommer, at der må laves en juridisk definition af samfundskritisk infrastruktur, så virksomheder kan undtages fra konkurrencelovgivningen i det omfang, de handler for at beskytte samfundskritisk infrastruktur.

Jens Christian Vedersø
Cybersikkerhedsrådgiver

Det er på tide, at der formuleres en strategi, der ikke er et luftkastel af vidtløftige ønsker, men nøgternt fokuserer på det altoverskyggende problem, nemlig samarbejdet mellem dem, der skal håndtere cybertruslerne.

Cybersikkerhed kan ikke høre til ét ministerområde
Misforstå mig ikke, de hidtidige strategier har bestemt gjort meget godt for cybersikkerheden. Godt hjulpet af en øget opmærksomhed er arbejdet med at analysere og håndtere cybersikkerheden i virksomheder og myndigheder accelereret.  Bare tænk på hvordan debatten om cybersikkerhed var for fem år siden.

Dengang var cybersikkerhed kun noget, som nørder og efterretningstjenester interesserede sig for. Eftersom efterretningstjenesterne dengang kunne se potentialet i at skaffe informationer og påvirke digitale netværk, bød de sig villigt til, da man skulle organisere samfundets cybersikkerhed.

Forsvarets Efterretningstjeneste fik i Center for Cybersikkerhed en kapacitet, der uden et klart mandat skulle sikre cybersikkerheden i sektorer, der vel at mærke var underlagt andre ministeriers ansvarsområde, jævnfør sektoransvarsprincippet.

Denne organisering er efter min opfattelse uklog og ikke tidssvarende. Cybersikkerhed kan ikke meningsfuldt anses at være et statsligt anliggende eller et anliggende afgrænset til ét ministerområde eller én sektor. Cyberkriminelle og fremmede magter udnytter netop disse uklarheder og ansvarsgrænser til at finde de svage punkter.

Et skridt i den rigtige retning
Samarbejde er det eneste, der virker, både når det kommer til at dele aktuel viden om trusler eller sårbarheder, og når det handler om at vurdere risici og forebygge dem. Lande som USA og Holland er kommet til denne erkendelse og har investeret i at opbygge stærke samarbejder i form at nye myndigheder og netværk mellem virksomheder samt offentlig-private relationer.

Det kan virke som om, at vi i Danmark også er kommet til samme erkendelse. Regeringen har i hvert fald nedsat et cybersikkerhedsråd af ganske kompetente folk, der kan rådgive regeringen på området og medvirke til at forme strategien. Det er helt sikkert et skridt i den rigtige retning, men det er ikke nok.

Altinget har i efteråret bragt en række indlæg, der prøver at give retning til den kommende strategi for cyber- og informationssikkerhed. Dansk IT peger på, at der skal være krav til virksomhedernes it-sikkerhed, IDA beder om en klar definition af kritisk infrastruktur, mens IT-branchen ønsker en mere nuanceret vurdering af trusselsniveauet. Alle sammen pointer, der for mig at se peger på det altoverskyggende problem.

Uklar lovgivning
Indsatsen er ikke organiseret til at fremme samarbejde mellem virksomheder og myndigheder. For hvorfor er der ikke en definition af digital samfundskritisk infrastruktur, så det meningsfuldt kan beskyttes på tværs af myndigheder, som det ellers er blevet bebudet i den hidtidige strategis punkt 1.1 og 1.9?

Og hvor er det nationale situationsbillede, der i sammenhæng med sektorspecifike trusselsvurderinger og en taskforce skulle støtte arbejdet i de enkelte sektorer, som lovet i strategiens punkt 1.1, 3.1 og 3.2? Jeg kan ikke få øje på det, og jeg tror, at det er fordi Center for Cybersikkerhed ikke har en åben og forpligtende dialog med dem, de er sat i verden for at hjælpe.

I modsætning til andre myndigheder er Center for Cybersikkerhed undtaget fra store dele af forvaltningsloven, og centeret har ikke et klart lovgrundlag eller mandat. Selv loven for center for cybersikkerhed er uklar, når formålet med centeret handler om beskyttelse eller støtte til samfundskritiske virksomheder, samfundsvigtige funktioner og kritisk infrastruktur uden at forholde sig det det grundlæggende forhold, at sektoransvarsprincippet tilsiger at den minister, der regulerer en sektor også skal styre indsatsen for at beskytte den mod uheld samt angreb.

Dette skaber unødig mystik og uklarhed, og medfører at virksomhederne har vanskeligt ved at samarbejde når centeret er indblandet.

Hemmelig viden er ubrugelig for civile
Forsvarsministeren, Trine Bramsen (S), har i de indledende drøftelser om strategifornyelsen udtalt, at nu skulle Center for Cybersikkerhed have ro til at arbejde. Vi må forstå, at al den snak, om hvorvidt centeret var placeret rigtigt, må stoppe.

Ministeren har ret - diskussionerne må stoppe - men diskussionerne stopper først, den dag opgaven defineres klart, og Center for Cybersikkerhed eller en anden myndighed forpligtes til at levere på opgaven. For cybersikkerhed er ikke komplekst og mystisk men som mange andre problemstillinger inden for sikkerhed, har det mange facetter. Normalt løser offentlige institutioner sådanne problemstillinger ved aktiv inddragelse af interessenter.

Problemet skyldes ikke, at Center for Cybersikkerhed med Thomas Lund-Sørensen i spidsen ikke gerne vil redde Danmark fra cybertruslen, men den indbyggede ide med en efterretningstjeneste skal først og fremmest undgå at fortælle nogen andre, hvad den ved. For fjenden vil jo så kunne regne ud, hvilke kilder man har, og hvordan man arbejder.

Dette medfører, at den hemmelige viden, som centeret kan have, aldrig kan bruges af andre, for så er den jo ikke længere hemmelig. En efterretningstjeneste kan derfor ikke bidrage til sikkerhed for andre end det militære forsvar. Så det civile samfund har ingen gavn af, at Center for Cybersikkerhed kan hjælpe med hemmelig viden, for det kan ikke lade sig gøre. 

Opdeling mellem civil- og militær cybersikkerhed
For at opnå det samarbejde, som, jeg tror, kan medvirke til at løse problemet, må centerets opgaver deles i en civil og militær del. Dertil kommer, at der må laves en juridisk definition af samfundskritisk infrastruktur, så virksomheder kan undtages fra konkurrencelovgivningen i det omfang, de handler for at beskytte samfundskritisk infrastruktur.

Denne civile del af cyberforsvaret kan i modsætning til efterretningstjenesten forpligtes til at tage deres samarbejdspartnere seriøst og indgå i en forpligtende dialog med alle de sektorer og virksomheder, der arbejder hårdt på at beskytte sig mod cybertrusler fra organiserede kriminelle og fremmede nationer samt alle de farverige kombinationer, for de anvender de samme taktikker og teknikker.

Når min søn nu ønsker sig en gorilla, er det mit ansvar som forælder at få ham til at reflektere over konsekvenserne af at have sådan én bandit boende, at den er en truet dyreart, der nok har det bedre i en jungle, samt at det formentlig både bøvlet og dyrt at opdrive på det sorte marked.

Den samme hjælp til at reflektere må vi efterhånden kunne forvente, når folkedybet eller Folketinget beder regeringen om et 100 procent sikkert cyberforsvar. Så må vi tage en åben dialog om, hvad der er klogt og muligt.

For hvad sker der, hvis jeg ikke tager mig tiden til at lytte til min søn men blot giver ham en 8 cm høj gorillafigur fra Schleich? Tjo, så bliver han nok glad, fordi han heldigvis har en sund fantasi. Jeg mener, at cybersikkerhed er alt for vigtigt til, at vi kan håbe på at uklare ønsker fulgt op af luftkasteller bliver reddet af en sund fantasi.

Vi skal tage hinanden seriøst, have et forpligtende samarbejde om at analysere, udforme og udføre de vigtige initiativer, og en efterretningstjeneste forekommer ikke som den bedst egnede organisation til at drive denne dialog.