Cybersikkerhedsstrategi: Statens It bliver døgnbemandet

15. maj 2018 kl. 12:5614
Cybersikkerhedsstrategi: Statens It bliver døgnbemandet
Illustration: Statens It.
Regeringen vil overtage samfundskritiske it-systemer fra private leverandører, hvis de ikke har styr på it-sikkerheden. Samtidig får Statens It et døgnåbent overvågningscenter. Det er blandt de 25 initiativer i regeringens nationale strategi for cyber- og informationssikkerhed.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Danmark er blandt verdens mest digitale samfund. Det gør sikkerhedsudfordringerne mere komplekse. Hvad der i første omgang kan virke som en isoleret og relativt lille sikkerhedshændelse, kan hurtigt sprede sig på tværs af myndigheder, virksomheder og sektorer.

Som et led i regeringens netop fremlagte strategi for cyber- og informationssikkerhed foreslår regeringen, at Center for Cybersikkerhed et døgnbemandet »cybersituationscenter« til koordinering ved større cyberangreb.

Også Statens It får i løbet af de kommende et døgnbemandet overvågningscenter, der senest skal være etableret i 2020. Initiativet vil give alle kunder hos Statens It mulighed for døgnovervågning af systemer, der driftes i Statens It.

»Det er positivt, at man spreder overvågningsopgaverne til andre instanser end bare Center for Cybersikkerhed,« siger John Foley, tidligere sikkerhedsofficer og ejer af rådgivningsvirksomheden Copits.

Artiklen fortsætter efter annoncen

Regeringens strategi består af 25 initiativer fordelt på tre områder: en teknisk oprustning af staten og samfundskritiske sektorer, borgere; virksomheder og myndigheder skal uddannes til it-sikkerhed; og sidst skal den risikobaserede sikkerhedsledelse styrkes i staten og de samfundskritiske sektorer.

25 Initiativer

Her er regeringens nye nationale strategi for cyber- og informationssikkerhed

Teknisk oprustning
1. Etablering af nationalt cybersituationscenter
2. Minimumskrav til myndigheders arbejde med cyber- og informationssikkerhed
3. Lovgivningsinitiativer på cyberområdet
4. Overvågning af statens kritiske it-systemer
5. Fælles digital indgang for indberetninger
6. Landsdækkende center for behandling af sager vedrørende it-relateret kriminalitet
7. Styrket samarbejde om forebyggelse af og håndhævelse over for it-relaterede angreb
8. Øget sikring af identitetsbeviser
9. Styrket prioritering af national it-infrastruktur
10. Sikker kommunikation i staten

Bedre kompetencer
11. Digital dømmekraf og kompetencer via uddannelsessystemet
12. Informationsportal
13. Forskning i ny teknologi
14. Erhvervspartnerskab for øget it-sikkerhed i dansk erhvervsliv
15. Partnerskab om kompetenceudvikling og opbygning af sikkerhedskultur i staten
16. Styrket oplysningsindsats til borgere og virksomheder

Risikobaseret ledelse
17. Sektorvise delstrategier og decentrale cybersikkerhedsenheder
18. Tværgående indsats for at understøtte samfundskritiske
sektorers cyber- og informationssikkerhed
19. Styr på leverandører af outsourcet it
20. Styrket national koordinering
21. Styrket internationalt engagement
22. Tilstandsmåling af cyber- og informationssikkerhed
23. Overblik over beskyttelsesværdig information
24. Informationssikkerhedsarkitektur
25. National og international indsats for dataetik og
persondatabeskyttelse

Vest for Valby bakke

Formanden for Rådet for Digital Sikkerhed, Henning Mortensen, er positiv overfor den nationale strategi, og håber at strategiens ambitioner bliver til virkelighed i alle afkroge af landet.

»Det er vigtigt, at vi kommer vest for Valby Bakke og ud i hele landet og får opkvalificeret borgere og virksomhedernes kompetencer lokalt. Jeg ser gerne, at man etablerer et rejsehold, som borgere og virksomheder kan henvende sig til med konkrete spørgsmål eller tage deres udstyr med ned til,« siger Henning Mortensen, formand for Rådet for Digital Sikkerhed og IT-sikkerhedschef i Brødrene A & O Johansen A/S.

Artiklen fortsætter efter annoncen

Regeringen har udpeget seks sektorer, der er særligt sårbare, hvis cyberangreb rammer. Det er energi-, transport, tele-, finans-, sundheds- og søfartssektoren.

Mere uddannelse skal sænke udgifterne

Netop den sektoropdelte tilgang er fornuftigt og udspringer af det nye NIS-direktiv, der skal styrke cyber- og informationssikkerheder i alle EU-medlemslande.

»Strategien markerer et gearskifte i tilgangen til cybersikkerheden fra regeringens side, både hvad angår ambitioner og ressourcer. Det er fornuftigt med et sektoransvarsprincip, så de enkelte ministre får ansvaret for cybersikkerheden på deres område,« siger Henning Mortensen.

Strategien og ressourcerne bag skal ikke bare stille erhvervslivet bedre mod angreb, men på sigt også gøre det nemmere for virksomheder at finde de rigtige medarbejdere, der kan håndtere it-sikkerhed og persondata.

Artiklen fortsætter efter annoncen

»Kompetenceafsnittet er meget vigtigt. Vi har brug for at få uddannet flere til at kunne håndtere cybersikkerhed og persondata. Mange virksomheder skriger i dag på medarbejdere, og det får udgifterne til it-sikkerhed til at vokse unødigt meget, især for de små og mellemstore virksomheder. Derfor skal sikkerhed ind i de eksisterende uddannelser, og vi skal have flere udstyret med sikkerhedskompetencer,« siger Henning Mortensen.

Selvom han over en bred kam er begejstret for strategien, er han dog bekymret for regeringens ønske om at styrke Center for Cybersikkerheds beføjelser i kampen mod cyberangreb.

»Det kan være fornuftigt at monitorere området, men vi skal huske at værne om privatlivet og løbende diskutere hvor grænserne for overvågning skal gå,« siger Henning Mortensen.

14 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
14
16. maj 2018 kl. 15:08

Ja, som jeg siger - hvor er jeg dog blevet desillusioneret. Men konklusionen må jo så være, at vi skal lade være med at digitalisere så meget, at vi bliver sårbare og reelt forsvarsløse.

Jeg mener konklusionen bør være at vi skal digitalisere de steder hvor det giver værdi.

Men ...

  • ... at sikkerhed skal opprioriteres.
  • ... at døgnovervågning af IT ikke giver megen værdi hvis dem der overvåger ikke forstår de enkelte systemer og hvis de alligevel ikke kan gøre noget.
  • ... at alt for mange computere er på internettet. De fleste computere i det offentlige bør ikke have adgang. Man kan så lave "jump servere" hvor der er adgang.
  • ... at alle med fordel kan opdele deres netværk, sådan malware et sted ikke kan sprede sig til resten af lokalnettet.
13
16. maj 2018 kl. 12:43

Hvorfor skulle man droppe overvågning og gennemgang af software og IT systemer af denne grund?

Hvor har jeg skrevet at man skulle det ? Men hvis først man har fået influenza, kan man kun gå hjem og lægge sig.

Derfor er det langt billigere at sikre tingene inden et angreb. Og ikke tror at EDB er noget man smører tyndt ud, også efter følgende giver en besparelse. Man kan effektivisere, men de resurser er typisk så forsvundet andet steds hen.

Som Eksempel SKAT hvis det hele skulle laves i hånden, var regler, love og regler meget simplere.

Hvis man har meget kritisk infrastruktur, som nødberedskab og katastrofe. Bør man også tænke på at have 2 helt adskilte platforme, som ikke bruge samme teknologi, software og OS.

Som eksempel bør FM båndet ikke laves om til kun DAB. Lige nu kan man nå 98% af befolkningen i en nødsituation, men en enkelt billig simple teknologi vi alle har. Hvis der skiftes til DAB +++++ Et eller andet. Faldet det til under 25% Udover at det er billigt, så virker det totalt tåbeligt, at en minister vil fjerne dette kriseberedskab, i håb om at kunne finde 10.000 extra lytter til reklame radio. Især når også kvaliteten af lyden, bliver dårligere.

Men JA; jeg tror at de 3 Milliarder+ er givet bedre ud, til at lukke huller og øge sikkerhed i software. Måske at lave et hjemmestrikket udgave af Linux, hvor alt software til staten skal afvikles på, i form af åben frie standarder. Starte med at drive nogle TOR server, og hjælpe med at få alt krypteret og sikkert. At tro at private udvikler vil gøre dette frivilligt er tåbeligt at tro på, når nemhed, bagud kompatibilitet og fortjeneste er vigtiger.

Man kan starte med at se hvad for noget software, OS og enheder som er blevet angrebet, og som er mest sårbare, og smide dem helt ud først.

Med 3 Milliarder årligt, kan man få lavet meget godt software. Overvågning og kriseberedskab som de tænkes brugt på er tåbeligt. Der findes sikkert altid huller, og hvis en angriber vil ødelægge og kommer igennem. Så er kriseberedskabet alligevel alt for lidt, og ikke i stand til at hjælpe. Så jeg mener penge måske ikke er spildte, men brugt tåbeligt. Hvad hjælper det f.eks. at sætte en bankboks dør i som hoveddør. Hvis bag døren er åben, eller montørerne (af døren) er tyvene.

Hvad skulle de have hjulpet med i sagen med Mærsk eller SONY ?

12
16. maj 2018 kl. 12:08

Så skulle man i stedet arbejde på at teste og sikker software og enheder.

Hvorfor skulle man droppe overvågning og gennemgang af software og IT systemer af denne grund? Det citerede skal jo blot være en del af krav til al software der bliver udviklet, og til en vis grænse er jeg sikker på det også er tilfældet, men hvad betyder "sikker", og hvordan omsætter man det til noget som virker forevigt? Sikkerhedshuller er jo kun sikkerhedshuller fordi der er fejl/bugs i softwaren, som nogen finder en måde at udnytte ondsindet. Nogle er mere åbenlyse end andre, men uanset så kan det være mere problematisk blot at få indført.

Der er dog ingen grund til at trappe ned på sikkerhed et område for at øge det et andet sted. Vores standard for IT sikkerhed skal blot skrues op over hele linjen, og det behøver ikke nødvendigvis at koste ekstra på den lange bane i alle områder.

10
16. maj 2018 kl. 10:59

De har også altid kaffe på kanden ?

Men hvad hjælper det at ligge vågen, hvis man ikke ved hvad man skal lytte efter. Hvis det er rotter i kælderen, så opdager man dem ikke. Og hvis der kommer stormflod, så kan man vel kun forlade huset. Hvis man ikke er blevet advaret og er forberedt.

Langt bedre at sove helt roligt., Hvis huset er placeret bedst muligt, og bygget forsvarligt Alt ave sølvet i bankbokse. Kopier af alt ens data, over ved naboen og i sommerhuset. Alt mad forsvarligt i bokse. Og værdier Huset brandisoleret, og alle værdier sikkert.

Også regne med at dørlås, brand og videoovervågning gør resten,


I stedet for at bruge milliarder på dumpe korkpropper i dæmningen, for at lukke hullet. Så skulle man i stedet arbejde på at teste og sikker software og enheder. I stedet for at medvirke til at underminere samme. Her kan man passende spørge om, er det vigtigt måske at fange en terrorist eller stoppe børneporno (INDUSTRISPIONASE) End at undergrave hele samfundet.

Det var langt billigere på sigt, og det er det eneste der virke.

9
16. maj 2018 kl. 10:33

Jeg er også så naiv, at jeg troede, at man havde et vagtkorps, man kunne trække på i nødsituationer...Ak, hvor kan man blive desillusioneret..

Det handler ikke om at der blot er en nattevagt. Det er højt specialiserede opgaver. Og blot fordi man kan overvåge et system, så er det langt fra sikkert at man ved meget om det næste.

Det er faktisk det specielle ved meget IT (bortset fra Word, Excel, e-mail og andre standard produkter): Alle løsninger er forskellige. IT er et værktøj der kan modelleres til at passe ind alle steder. Det store minus er at der typisk er ret få personer der kan overvåge, vedligeholde og videreudvikle et givent system.

Man kunne overveje at benytte personnel udstationeret på ambassader i andre tidszoner.

Eller måske kunne McDonalds holde øje med IT systemer ... de har også døgnåbent nogen steder. :-)

8
16. maj 2018 kl. 08:40

Hvordan forebygger man problemer med et lands IT systemer, uden at benytte overvågning af nogen art?

Desuden er overvågning praktisk, da det automatisk kan rette visse fejl der måtte kunne opstå som følge af drift. Overvågning betyder jo ikke blot at der skal sidde 50 folk og kigge på Facebook imens de venter på alarmer går af. Disse alarmer skulle helst automatisk kunne blive håndteret af diverse systemer.

7
16. maj 2018 kl. 08:20

Der skete heller ikke noget finanskrisen væltede os fuldstændigt. Vi var helt uforberedt. Overvågning er ikke meget bevendt. Der skal fokuseres på forebyggelse først og fremmest. Når skaden er sket betaler firmaet eller skatteyderne jo bare som med finanskrisen.

6
15. maj 2018 kl. 15:01

Man kunne overveje at benytte personnel udstationeret på ambassader i andre tidszoner.

4
15. maj 2018 kl. 14:41

Ja, det kan være, at jeg er naiv der, Michael Cederberg. Men det er trods alt vores land, det drejer sig om.....

Jeg synes vi skal gøre meget mere ved IT sikkerhed, men jeg har svært ved at se sådan et døgnbemandet center lave meget andet end at fise husleje af. Hvis de er heldige så opdager de når der sker noget (men husk på at kun amatører og ballademagere laver ting som er nemme at opdage).

Hvis de opdager noget, så er sandsynligheden for at de kan gøre noget ved det ret lille. De kender ikke de systemer de skal arbejde med i detaljer og så er det sgu svært at handle på alarmer (eller at vide om alarmen blot er en fejl).

I stedet kunne man "slukke for strømmen" når der ikke var kvalificerede folk til stedet ... det ville hæve sikkerheden lidt.

Er det ikke det modsatte, der står i artiklen? At man vil sprede overvågningen mere? Men overvågning af den helt basale infrastruktur døgnet rundt, er det ikke en nærliggende tanke?

Jo ... men den her basale infrastruktur skal stadigvæk rapporteres ind til døgncentret. De mennesker der sidder i døgncentret skal forstå rapporteringen. Ingen af delene kommer af sig selv.

2
15. maj 2018 kl. 13:33

"Også Statens It får i løbet af de kommende et døgnbemandet overvågningscenter"
Det troede jeg da virkeligt, det var i forvejen.</p>
<p>Men bedre sent end aldrig.

Hvorfor?

Hvis de alligevel ikke kan gøre meget om natten, så er værdien begrænset. For at det skal gøre en forskel, så skal man have bunker af IT folk på "duty watch" om natten. Den slags koster mange penge. Der kræves også en centralisering af overvågningen af systemer som ikke findes i dag.

1
15. maj 2018 kl. 13:20

"Også Statens It får i løbet af de kommende et døgnbemandet overvågningscenter" Det troede jeg da virkeligt, det var i forvejen.

Men bedre sent end aldrig.