It-forening: Sådan bekæmper vi cyberkriminalitet

DEBAT: Hvis vi vil undgå, at hackere får fingre i databaser med personlige oplysninger om danskerne, bør privatliv og sikkerhed indbygges i vores it-systemer fra starten, skriver Jesper Lund, formand for IT-Politisk Forening.

Af Jesper Lund
Formand for IT-Politisk Forening

Mit første indlæg om cybersikkerhed har behandlet den traditionelle konflikt mellem sikkerhed og privatliv. Den diskussion slog ud i lys lue i foråret 2014, da loven om Center for Cybersikkerhed blev vedtaget af Folketinget.

I 2015 har vi det lidt mindre omfattende lovforslag om net- og informationssikkerhed, hvor Center for Cybersikkerhed skal føre tilsyn med telesektoren.

I de kommende år vil der givetvis komme flere lovgivningsmæssige initiativer på dette område, både nationalt og fra EU. Truslen fra cyberkriminalitet vil utvivlsomt blive større i de kommende år, og det normale politiske svar er flere beføjelser til myndighederne og måske højere straffe i håb om at det vil virke afskrækkende.

Cyberkriminalitet svær at efterforske
Der er grund til at være skeptisk over for, om sådanne lovgivningsmæssige initiativer vil virke efter hensigten. Cyberkriminalitet er ofte grænseoverskridende kriminalitet, og da forbrydelser som hacking kan begås alene via internettet, kan det i nogle tilfælde være umuligt at fastslå, hvor de reelle gerningsmænd befinder sig.

Naturligvis vil der være spor fra IP-adresser i logfiler, men måske peger de bare på en kompromitteret server i et andet land, som blev brugt af gerningsmænd fra et helt tredje land. Endelig skal man være opmærksom på, at cyberkriminalitet også begås af statslige aktører, som det i praksis er umuligt at retsforfølge.

Det handler om forebyggelse
Disse forhold taler for, at cybersikkerhed i høj grad skal handle om forebyggelse. Når først hackerne er trængt ind i it-systemerne, er det for sent at gøre noget effektivt. Den aktuelle hackersag om CSC illustrerer dette meget godt. En person er dømt, og politi og anklagemyndighed mener formentlig, at sagen er afsluttet, men ingen aner reelt, hvilke oplysninger, der er stjålet fra CSC, hvor de befinder sig i dag, eller hvad motivet for hackerangrebet var.

Effektiv forebyggelse af hackerangreb er selvfølgelig lettere sagt end gjort, ikke mindst fordi nogle cyberkriminelle er utroligt sofistikerede. Det primære formål med Center for Cybersikkerhed er netop forebyggelse af hackerangreb, og det gøres især med den traditionelle it-sikkerhedsstrategi om at opbygge en forsvarsmur foran kritiske it-systemer. Det er fint, så længe forsvarsmuren holder hackerne ude, men ingen forsvarsmur er uigennemtrængelig.

Privacy by design beskytter også mod hackere
En anden, og komplementær strategi er at begrænse skadevirkningerne af de måske uundgåelige hackerangreb via hensigtsmæssige datastrukturer. Hvis målet for et hackerangreb er identitetstyveri, er det ønskede udbytte i høj grad persondata, som nemt kan sammenkædes til profiler, altså identiteter. I Danmark registrerer den offentlige sektor utroligt mange oplysninger om borgerne, og CPR-nummeret bruges overalt. Den slags databaser er særligt attraktive for hackere.

Privacy by design dækker over en række teknikker, hvor privatliv og sikkerhed indbygges i it-systemerne fra starten. Det kan være virtuelle identiteter, der ikke umiddelbart kan sammenkædes, modsat i dag, hvor der står navn og CPR-nummer på alt.

I den mest vidtgående implementering skal det teknisk sikres, at to personoplysninger ikke kan sammenkædes på den centrale server. Privacy by design-diskussioner handler normalt om at beskytte borgernes privatliv mod dem, som indsamler persondata om dem, men det er også beskyttelse mod hackere. Det, som den dataansvarlige teknisk kan gøre på den centrale server, for eksempel registersamkøring, kan hackere også gøre, hvis de trænger ind i systemerne.

Lovgivning skal skabe incitamenter
Det er vigtigt, at lovgivningen giver private virksomheder og offentlige institutioner de rette økonomiske incitamenter til at beskytte data om borgerne mod hackerangreb og andre datalækager. Det er generelt ikke tilfældet i dag. Specielt i forhold til den offentlige sektor bærer borgerne alle risici ved utilstrækkelig datasikkerhed, mens de offentlige institutioner høster den umiddelbare økonomiske besparelse ved utilstrækkelig sikkerhed som i CSC-sagen.

Forrige artikel Forsker: Åbenhed vil mindske politikerlede Forsker: Åbenhed vil mindske politikerlede Næste artikel Råd: Blå bloks retspolitik kræver smidigt samarbejde Råd: Blå bloks retspolitik kræver smidigt samarbejde