Et år uden strategi for cybersikkerhed: Hvor mange gange kan skindet sælges?

Illustration: Nadia Fryd

Kommentar: »Danmark står over for en reel cybertrussel. Derfor er det vigtigt, at vi nu får en ny strategi, der på tværs af samfundet skal styrke modstandskraften mod cybertrusler.«

Sådan lød budskabet fra forsvarsminister Claus Hjort Frederiksen, da han sammen med innovationsminister Sophie Løhde i december 2016 lovede en ny strategi for Danmarks cybersikkerhed.

Hvis budskabet virker bekendt, så er der en god grund til det. Det er nemlig blevet gentaget adskillige gange i årets løb. Imidlertid har vi endnu ikke fået en cybersikkerhedsstrategi.

Allerede i januar i år gav Løhde budskabet en omgang mere i møllen:

»Fremmede stater og de kriminelle over hele verden sidder ikke på hænderne, og der er i en vis forstand tale om et våbenkapløb, hvor vi løbende skal blive bedre,« sagde ministeren dengang i en skriftlig udtalelse.

Imens gjorde regeringen det, som de cyberkriminelle ifølge Sophie Løhde ikke gør: Sad på sine hænder. I hvert fald for så vidt, at strategiens første udkast skulle være kommet i maj, men at hele året nu er forløbet uden nogen strategi for cybersikkerhed.

Hackerangreb skød strategiarbejde ud af kurs

Til Version2 forklarer ministeren mandag, at store hackerangreb i foråret fik regeringen til at indse, at ambitionsniveauet var for lavt til at håndtere det nye trusselsbillede.

Læs også: Minister om forsinket it-sikkerhedsstrategi: Ambitionsniveauet var ikke tilstrækkeligt

Ministeren går ikke i detaljer med, hvilke angreb der fik regeringen til at udskyde strategien, men der er flere oplagte kandidater.

I april kom det frem at hackere i to år har haft adgang til flere mail-konti i Forsvaret. I maj ramte det globale malwareangreb WannaCry Danmark. Og i juni stod flere af Mærsks containerterminaler stille da selskabet blev ramt af NotPetya-malwaren.

At ovenstående type angreb for alvor kommer bag på regeringen kan undre. For allerede i det nu år gamle oplæg til arbejdsgruppen bag den nye strategi omtales specifikt et ‘skærpet trusselsbillede’.

»[T]ruslen fra cyberspionage mod danske myndigheder er meget høj, og cyberoperationer integreres i stadigt flere landes potentielle magtanvendelse,« står der i teksten.

»Endvidere har kriminelle adgang til avancerede teknikker, og der er på længere sigt risiko for, at det også vil lykkes for terrornetværk at opbygge cyberangrebskapacitet.«

En ‘ny’ strategi

Alligevel var forårets og sommerens hændelser altså en øjenåbner for regeringen. I august fulgte Sophie Løhde endnu en gang op:

»De seneste måneders store hackerangreb har vist, at det er nødvendigt at styrke indsatsen. Derfor sætter vi ekstra 100 mio. kr. af til arbejdet med en ny strategi for cyber- og informationssikkerhed«

Læs også: Regeringen lover 100 millioner kroner til forsinket strategi for cybersikkerhed

Og i december blev de 100 millioner klappet af med Dansk Folkeparti, hvilket på ny gav anledning til følgende melding fra regeringen:

»Regeringen og Dansk Folkeparti er enige om at igangsætte arbejdet med en ny national strategi for cyber- og informationssikkerhed.«

Bemærk: med ‘ny’ menes der altså samme strategi, som blev igangsat i december 2016, og som blev lovet allerede i 2014 – i forordet til Danmarks hidtil eneste nationale cybersikkerhedsstrategi.

FN og EU: Hav en strategi

Sophie Løhde understreger over for Version2, at trods manglende strategi er sikkerhedsarbejdet jo ikke gået i stå ude i ministerier og styrelser. Og det ville da også være useriøst at påstå, at en solid strategi havde afværget førnævnte angreb.

Men når flere af regeringens ministre i mere end et år har slået på tromme for, at Danmark har stort behov for en strategi, er det ikke underligt, hvis man skulle sidde med fornemmelsen af, at det var vigtigt at have en.

Det mener man fx i EU, der med NIS-direktivet har forpligtet samtlige medlemslande til at ‘vedtage en national strategi for sikkerhed i net- og informationssystemer’. Direktivet skal senest være implementeret i dansk lov til maj næste år.

I FN’s agentur for informations- og kommunikationsteknologier – ITU – har man samme opfattelse. I organisationens seneste Global Security Index, der opgør status på sikkerhedsarbejdet, kaldes strategiarbejdet et ‘kritisk område’.

Læs også: Danmark ikke klar til kampen mod hackere

Undersøgelsen rangerer desuden Danmark på en samlet 34. plads på den globale cybersikkerheds-rangliste. Bag lande som Polen, Uruguay og Indien. Mangel på en strategi er bare et af de parametre, der trækker ned.

Når både FN, EU, sikkerhedseksperter og regeringen selv betragter strategien som vigtig for Danmarks cybersikkerhed og dermed nationale sikkerhed, kan man kun undre sig over, at man ikke fra starten har prioriteret opgaven, så tidsfristen kunne nås.

At man fra starten har sat ambitionsniveauet så lavt, at det skulle være nødvendigt at gøre arbejdet helt om, når det – vi har talt om i årevis – reelt sker. Og at vi derfor i hele 2017 har måtte gå uden en strategi.

Til gengæld har politikere med halve års mellemrum kunne fremstå handlekraftige på cybersikkerheds-området ved at love den samme nye strategi igen og igen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
John Foley

I dagens spritnye FE publikation står der, at Cyberangreb nu er den største trussel mod Danmark. Alligevel har samme instans undladt at opdatere den gældende strategi fra 2014, og heller ikke evnet at fortælle befolkningen, hvad der forstås ved samfundsvigtig og kritisk infrastruktur og beskyttelsen heraf. En af FE's vigtigste opgaver i henhold til egen opgavebeskrivelse.
En opdatering af strategien var lovet færdig senest ved udgangen af 2016. På den ene side fortælles, hvor vigtig og alvorlig truslen er, på den anden side gør man ikke selv sit arbejde færdigt, til trods for tilførsel af millioner af kroner og talrige personelmæssige ressourcer.
FE's "belønning" for ikke at gøre sit arbejde: Endnu flere penge og ressourcer fra det kommende forsvarsforlig.

  • 4
  • 0
Log ind eller Opret konto for at kommentere