Ny cyberstrategi efterlader kommunerne alene i den digitale jungle

CYBERSIKKERHED: Regeringens cyberstrategi er tiltrængt, men efterlader to store huller: Den sætter ikke et bundniveau for sikkerheden. Og så lader den kommunerne sejle deres egen sø, vurderer tidligere chef i Center for Cybersikkerhed Thomas Kristmar.

En ny national strategi for cyber- og informationssikkerhed er bedre end ingen strategi.

Det siger sig selv. Og så langt er Dansk IT's ekspert i informationssikkerhed Thomas Kristmar også enig.

Men efter at have orienteret sig i regeringens 25 initiativer lange cyberstrategi, som blev præsenteret på et pressemøde tirsdag formiddag i Finansministeriet, står han alligevel tilbage med en følelse af skuffelse.

"En stor del af strategen bliver først til virkelighed, når den kommer ud i sektorerne. Her har man lagt op til, at man skal lave sektorstrategier. Det er fint nok, men djævlen ligger i detaljen," siger han og fortsætter:

"Jeg savner en indikator for, hvornår et sikkerhedsniveau er godt nok. En strategi styrker ikke i sig selv sikkerhedsniveauet. Og der mangler et bundniveau for sikkerheden i Danmark."

Angreb på Mærsk forsinkede strategi et år
Thomas Kristmar er tidligere chef i Center for Cybersikkerhed under Forsvarets Efterretningstjeneste og arbejder i dag som Senior Manager for Cyber Security Advisory i KPMG.

Gennem de seneste år har han fulgt regeringens arbejde med en ny cyberstrategi intenst fra sidelinjen. Et arbejde, som egentlig skulle have været afsluttet sidste forår. Men som på grund af en række store cyberangreb på blandt andet Mærsk fik regeringen til at vurdere indsatsen i et nyt lys.

Resultatet af regeringens arbejde er dels et forsvarsforlig for årene 2018-2023, som afsætter 1,5 milliarder kroner til en styrket beskyttelse af Danmark mod cyber­trusler. Dels en strategi med 25 initiativer og 6 målrettede strategier for de mest kritiske sektorers arbejde med cyber-­ og informationssikkerhed:

Målet er at øge den tekniske robusthed i den digitale infrastruktur. Øge viden og kompe­tencer hos borgere, virksomheder og myndigheder. Og styrke den nationale koordinering og samarbejdet på områ­det.

På tværs af 13 ministerier
Hele 13 ministerier har været med til at udvikle strategien, der både byder på ny lovgivning, efteruddannelse af samtlige statsansatte og undervisning om sikkerhedsrisici til børn og unge.

Man opretter et døgnbemandet cybersituationscenter og udpeger seks samfundskritiske sektorer, som skal forkæles med særlig opmærksomhed: Energi, transport, tele, finans, sundhed og søfart.

Og der er bestemt fornuftige ting at sige om strategien, forklarer Thomas Kristmar.

"Det er en god strategi. Ingen tvivl om det. Vi er især begejstrede for tiltagene på uddannelsessiden. Dels ønsket om at styrke oplysningsindsatsen over for borgere og virksomheder. Dels ønsket om at forbedre den digitale dømmekraft hos børn og unge som et led i uddannelsessystemet."

Hvem skal hjælpe kommunerne?
Problemet er bare, at strategien kun leverer halvdelen af løsningen, vurderer han.

"Der er en række væsentlige knaster. Når man udpeger fem kritiske sektorer, herunder sundhedssektoren, har man dækket staten og regionerne, men hvor er kommunerne? Borgerne er ligeglad med, hvem der håndterer deres data. Og derfor er det kritisabelt, at kommunerne med strategien for lov at sejle deres egen sø," siger Thomas Kristmar.

Og det fører ham frem til den anden kritiske pointe. Nemlig at strategien ikke fastlægger et bundniveau for cybersikkerheden på tværs af de udpegede sektorer.

"Det er ikke nødvendigvis den rigtige strategi at lade sektorerne passe sig selv. Måske er det på tide at løsne lidt op på sektoransvaret og etablere en fælles tilsynsmyndighed, som går ind og vurderer, hvornår sikkerheden er god nok," siger han.

Læs mere om strategiens konkrete initiativer her.

Forrige artikel Her er regeringens strategi for informations- og cybersikkerhed Her er regeringens strategi for informations- og cybersikkerhed Næste artikel Danmark, Norge og Holland samarbejder om F-35 Danmark, Norge og Holland samarbejder om F-35