Danske sikkerhedseksperter: Godt med flere penge til cyberkrig - men er det nok?

Det er glimrende at sende flere penge af sted til det danske cyberforsvar. Men det lige nu svært at sige, om de nye pengeposer med millioner overhovedet rækker.

Sådan lyder vurderingen af det nye forsvarsforlig fra sikkerhedskonsulent Peter Kruse fra det danske it-sikkerhedsfirma CSIS.

»Cybertruslen er øget betydeligt i de senere år, fordi vi gerne vil digitalisere vores samfund, og det hidtidige budget har ikke afspejlet den trussel. Men det er heller ikke sikkert, at de nye tal (fra forliget, red.) har direkte afsæt i den virkelighed, vi befinder os i,« siger Peter Kruse til Version2.

Med forliget afsættes der op til 35 millioner kroner ekstra i perioden 2013-2017. De lægges dermed oven i de cirka 40 millioner årligt, der allerede har været afsat til at polstre det danske cyberforsvar i perioden 2010-2014.

Peter Kruse mener derfor på ene side, at pengene er tiltrængt. På den anden side er det vanskeligt at vurdere, om pengene rækker.

»Sammenligner vi os med for eksempel Norge, så er det her budget meget beskedent,« siger han til Version2.

Han henviser til, at det norske cyberberedskab består af cirka 1.100 mand mod det danske på cirka 50.

DI ITEK savner risikovurdering

Hos DI ITEK, Dansk Industris brancheorganisation for it-området, er chefkonsulent Henning Mortensen positivt indstillet over for den nye forsvarsaftale.

Han ser den ekstra millionbevilling som afgørende for oprettelsen af et Center for Cybersikkerhed under Forsvarsministeriet.

»Det virker som et ganske rimeligt beløb. Vi kan se en udvikling, hvor kritisk infrastruktur i stigende grad bliver mål for hackere og fremmede landes regeringer. I det lys skal der gøres en ekstra indsats, og det bliver centerets opgave. Så ros til regeringen og forligspartierne,« lyder vurderingen fra Henning Mortensen.

Henning Mortensen fremhæver den berygtede Stuxnet-orm som et godt eksempel på, at industristyringssystemer i stigende grad bliver sårbare over for malware og hacking. Stuxnet angreb i 2009 de computersystemer, som i forbindelse med det iranske atomprogram styrer centrifugehastigheden under uranberigelsen.

Han savner derfor en risikovurdering af, hvor sårbar den danske infrastruktur er over for cyberangreb. Her tænker chefkonsulenten på eksempelvis elforsyningen og vandværker.

»Hvis vi laver et løst skøn, så ser det ikke himmelråbende fornuftigt ud (med hensyn til sikkerheden, red.) derude. Der er absolut plads til forbedringer, og det håber vi, at centeret kan være med til sammen med det private erhvervsliv, som jo ejer en del af den kritiske infrastruktur herhjemme,« siger Henning Mortensen til Version2.

Ifølge Peter Kruse fra CSIS mangler vi stadig at se det helt store og lammende angreb mod Danmark eller et af vores nabolande, før vi har en fornemmelse af, hvor mange penge der fremover skal bruges på den danske evne til at forsvare sig og angribe i cyberspace.

For selvom vi kan tænke os til scenarier, hvor for eksempel Dankort-systemet eller elforsyningen sættes ud af drift, er det lige nu svært at vide, hvilke fjender vi står over for, mener han.

»Man skal nok have en aktuel sag herhjemme eller fra et af vore allierede lande for at vide, hvor mange penge der egentlig skal bevilges. Vi ved, at vi skal ruste op på området, men angrebet kan jo ikke alene komme fra andre nationer, men også fra organiserede kriminelle eller terrororganisationer. Så før vi ved, hvem vores fjende er, er det i virkeligheden svært at forholde sig til, om pengene er givet godt ud,« siger Peter Kruse til Version2.