Cybersikkerhedsstrategi: Statens It bliver døgnbemandet

Illustration: Statens It
Regeringen vil overtage samfundskritiske it-systemer fra private leverandører, hvis de ikke har styr på it-sikkerheden. Samtidig får Statens It et døgnåbent overvågningscenter. Det er blandt de 25 initiativer i regeringens nationale strategi for cyber- og informationssikkerhed.

Danmark er blandt verdens mest digitale samfund. Det gør sikkerhedsudfordringerne mere komplekse. Hvad der i første omgang kan virke som en isoleret og relativt lille sikkerhedshændelse, kan hurtigt sprede sig på tværs af myndigheder, virksomheder og sektorer.

Som et led i regeringens netop fremlagte strategi for cyber- og informationssikkerhed foreslår regeringen, at Center for Cybersikkerhed et døgnbemandet »cybersituationscenter« til koordinering ved større cyberangreb.

Også Statens It får i løbet af de kommende et døgnbemandet overvågningscenter, der senest skal være etableret i 2020. Initiativet vil give alle kunder hos Statens It mulighed for døgnovervågning af systemer, der driftes i Statens It.

»Det er positivt, at man spreder overvågningsopgaverne til andre instanser end bare Center for Cybersikkerhed,« siger John Foley, tidligere sikkerhedsofficer og ejer af rådgivningsvirksomheden Copits.

Læs også: Dokumentation: Læs regeringens nye cyber- og informationssikkerhedsstrategi

Regeringens strategi består af 25 initiativer fordelt på tre områder: en teknisk oprustning af staten og samfundskritiske sektorer, borgere; virksomheder og myndigheder skal uddannes til it-sikkerhed; og sidst skal den risikobaserede sikkerhedsledelse styrkes i staten og de samfundskritiske sektorer.

Vest for Valby bakke

Formanden for Rådet for Digital Sikkerhed, Henning Mortensen, er positiv overfor den nationale strategi, og håber at strategiens ambitioner bliver til virkelighed i alle afkroge af landet.

»Det er vigtigt, at vi kommer vest for Valby Bakke og ud i hele landet og får opkvalificeret borgere og virksomhedernes kompetencer lokalt. Jeg ser gerne, at man etablerer et rejsehold, som borgere og virksomheder kan henvende sig til med konkrete spørgsmål eller tage deres udstyr med ned til,« siger Henning Mortensen, formand for Rådet for Digital Sikkerhed og IT-sikkerhedschef i Brødrene A & O Johansen A/S.

Regeringen har udpeget seks sektorer, der er særligt sårbare, hvis cyberangreb rammer. Det er energi-, transport, tele-, finans-, sundheds- og søfartssektoren.

Læs også: Kritik af ubalance i cybersikkerhedsstrategi: »En slags omvendt Robin Hood«

Mere uddannelse skal sænke udgifterne

Netop den sektoropdelte tilgang er fornuftigt og udspringer af det nye NIS-direktiv, der skal styrke cyber- og informationssikkerheder i alle EU-medlemslande.

»Strategien markerer et gearskifte i tilgangen til cybersikkerheden fra regeringens side, både hvad angår ambitioner og ressourcer. Det er fornuftigt med et sektoransvarsprincip, så de enkelte ministre får ansvaret for cybersikkerheden på deres område,« siger Henning Mortensen.

Læs også: Halvdelen af de it-sikkerhedsprofessionelle er ikke begejstrede for CFCS' rådgivning

Strategien og ressourcerne bag skal ikke bare stille erhvervslivet bedre mod angreb, men på sigt også gøre det nemmere for virksomheder at finde de rigtige medarbejdere, der kan håndtere it-sikkerhed og persondata.

»Kompetenceafsnittet er meget vigtigt. Vi har brug for at få uddannet flere til at kunne håndtere cybersikkerhed og persondata. Mange virksomheder skriger i dag på medarbejdere, og det får udgifterne til it-sikkerhed til at vokse unødigt meget, især for de små og mellemstore virksomheder. Derfor skal sikkerhed ind i de eksisterende uddannelser, og vi skal have flere udstyret med sikkerhedskompetencer,« siger Henning Mortensen.

Selvom han over en bred kam er begejstret for strategien, er han dog bekymret for regeringens ønske om at styrke Center for Cybersikkerheds beføjelser i kampen mod cyberangreb.

»Det kan være fornuftigt at monitorere området, men vi skal huske at værne om privatlivet og løbende diskutere hvor grænserne for overvågning skal gå,« siger Henning Mortensen.

Læs også: CFCS på vej med betydelig udbygning af sensornetværk: Vil også gerne se ind i maskinerne

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (14)
Michael Cederberg

"Også Statens It får i løbet af de kommende et døgnbemandet overvågningscenter"
Det troede jeg da virkeligt, det var i forvejen.

Men bedre sent end aldrig.

Hvorfor?

Hvis de alligevel ikke kan gøre meget om natten, så er værdien begrænset. For at det skal gøre en forskel, så skal man have bunker af IT folk på "duty watch" om natten. Den slags koster mange penge. Der kræves også en centralisering af overvågningen af systemer som ikke findes i dag.

Anne-Marie Krogsbøll

Den slags koster mange penge.


Ja, det kan være, at jeg er naiv der, Michael Cederberg. Men det er trods alt vores land, det drejer sig om.....

Der kræves også en centralisering af overvågningen af systemer som ikke findes i dag.


Er det ikke det modsatte, der står i artiklen? At man vil sprede overvågningen mere? Men overvågning af den helt basale infrastruktur døgnet rundt, er det ikke en nærliggende tanke?

Michael Cederberg

Ja, det kan være, at jeg er naiv der, Michael Cederberg. Men det er trods alt vores land, det drejer sig om.....

Jeg synes vi skal gøre meget mere ved IT sikkerhed, men jeg har svært ved at se sådan et døgnbemandet center lave meget andet end at fise husleje af. Hvis de er heldige så opdager de når der sker noget (men husk på at kun amatører og ballademagere laver ting som er nemme at opdage).

Hvis de opdager noget, så er sandsynligheden for at de kan gøre noget ved det ret lille. De kender ikke de systemer de skal arbejde med i detaljer og så er det sgu svært at handle på alarmer (eller at vide om alarmen blot er en fejl).

I stedet kunne man "slukke for strømmen" når der ikke var kvalificerede folk til stedet ... det ville hæve sikkerheden lidt.

Er det ikke det modsatte, der står i artiklen? At man vil sprede overvågningen mere? Men overvågning af den helt basale infrastruktur døgnet rundt, er det ikke en nærliggende tanke?

Jo ... men den her basale infrastruktur skal stadigvæk rapporteres ind til døgncentret. De mennesker der sidder i døgncentret skal forstå rapporteringen. Ingen af delene kommer af sig selv.

Anne-Marie Krogsbøll
Steffen Postas

Hvordan forebygger man problemer med et lands IT systemer, uden at benytte overvågning af nogen art?

Desuden er overvågning praktisk, da det automatisk kan rette visse fejl der måtte kunne opstå som følge af drift. Overvågning betyder jo ikke blot at der skal sidde 50 folk og kigge på Facebook imens de venter på alarmer går af. Disse alarmer skulle helst automatisk kunne blive håndteret af diverse systemer.

Michael Cederberg

Jeg er også så naiv, at jeg troede, at man havde et vagtkorps, man kunne trække på i nødsituationer...Ak, hvor kan man blive desillusioneret..

Det handler ikke om at der blot er en nattevagt. Det er højt specialiserede opgaver. Og blot fordi man kan overvåge et system, så er det langt fra sikkert at man ved meget om det næste.

Det er faktisk det specielle ved meget IT (bortset fra Word, Excel, e-mail og andre standard produkter): Alle løsninger er forskellige. IT er et værktøj der kan modelleres til at passe ind alle steder. Det store minus er at der typisk er ret få personer der kan overvåge, vedligeholde og videreudvikle et givent system.

Man kunne overveje at benytte personnel udstationeret på ambassader i andre tidszoner.

Eller måske kunne McDonalds holde øje med IT systemer ... de har også døgnåbent nogen steder. :-)

Hans Nielsen

De har også altid kaffe på kanden ?

Men hvad hjælper det at ligge vågen, hvis man ikke ved hvad man skal lytte efter. Hvis det er rotter i kælderen, så opdager man dem ikke. Og hvis der kommer stormflod, så kan man vel kun forlade huset. Hvis man ikke er blevet advaret og er forberedt.

Langt bedre at sove helt roligt.,
Hvis huset er placeret bedst muligt, og bygget forsvarligt
Alt ave sølvet i bankbokse.
Kopier af alt ens data, over ved naboen og i sommerhuset.
Alt mad forsvarligt i bokse. Og værdier
Huset brandisoleret, og alle værdier sikkert.

Også regne med at dørlås, brand og videoovervågning gør resten,


I stedet for at bruge milliarder på dumpe korkpropper i dæmningen, for at lukke hullet.
Så skulle man i stedet arbejde på at teste og sikker software og enheder. I stedet for at medvirke til at underminere samme. Her kan man passende spørge om, er det vigtigt måske at fange en terrorist eller stoppe børneporno (INDUSTRISPIONASE) End at undergrave hele samfundet.

Det var langt billigere på sigt, og det er det eneste der virke.

Anne-Marie Krogsbøll

Det handler ikke om at der blot er en nattevagt. Det er højt specialiserede opgaver. Og blot fordi man kan overvåge et system, så er det langt fra sikkert at man ved meget om det næste.


Ja, som jeg siger - hvor er jeg dog blevet desillusioneret. Men konklusionen må jo så være, at vi skal lade være med at digitalisere så meget, at vi bliver sårbare og reelt forsvarsløse.

Steffen Postas

Så skulle man i stedet arbejde på at teste og sikker software og enheder.

Hvorfor skulle man droppe overvågning og gennemgang af software og IT systemer af denne grund? Det citerede skal jo blot være en del af krav til al software der bliver udviklet, og til en vis grænse er jeg sikker på det også er tilfældet, men hvad betyder "sikker", og hvordan omsætter man det til noget som virker forevigt? Sikkerhedshuller er jo kun sikkerhedshuller fordi der er fejl/bugs i softwaren, som nogen finder en måde at udnytte ondsindet. Nogle er mere åbenlyse end andre, men uanset så kan det være mere problematisk blot at få indført.

Der er dog ingen grund til at trappe ned på sikkerhed et område for at øge det et andet sted. Vores standard for IT sikkerhed skal blot skrues op over hele linjen, og det behøver ikke nødvendigvis at koste ekstra på den lange bane i alle områder.

Hans Nielsen

Hvorfor skulle man droppe overvågning og gennemgang af software og IT systemer af denne grund?

Hvor har jeg skrevet at man skulle det ?
Men hvis først man har fået influenza, kan man kun gå hjem og lægge sig.

Derfor er det langt billigere at sikre tingene inden et angreb. Og ikke tror at EDB er noget man smører tyndt ud, også efter følgende giver en besparelse. Man kan effektivisere, men de resurser er typisk så forsvundet andet steds hen.

Som Eksempel SKAT hvis det hele skulle laves i hånden, var regler, love og regler meget simplere.

Hvis man har meget kritisk infrastruktur, som nødberedskab og katastrofe. Bør man også tænke på at have 2 helt adskilte platforme, som ikke bruge samme teknologi, software og OS.

Som eksempel bør FM båndet ikke laves om til kun DAB. Lige nu kan man nå 98% af befolkningen i en nødsituation, men en enkelt billig simple teknologi vi alle har. Hvis der skiftes til DAB +++++ Et eller andet. Faldet det til under 25%
Udover at det er billigt, så virker det totalt tåbeligt, at en minister vil fjerne dette kriseberedskab, i håb om at kunne finde 10.000 extra lytter til reklame radio. Især når også kvaliteten af lyden, bliver dårligere.

Men JA; jeg tror at de 3 Milliarder+ er givet bedre ud, til at lukke huller og øge sikkerhed i software. Måske at lave et hjemmestrikket udgave af Linux, hvor alt software til staten skal afvikles på, i form af åben frie standarder. Starte med at drive nogle TOR server, og hjælpe med at få alt krypteret og sikkert.
At tro at private udvikler vil gøre dette frivilligt er tåbeligt at tro på, når nemhed, bagud kompatibilitet og fortjeneste er vigtiger.

Man kan starte med at se hvad for noget software, OS og enheder som er blevet angrebet, og som er mest sårbare, og smide dem helt ud først.

Med 3 Milliarder årligt, kan man få lavet meget godt software. Overvågning og kriseberedskab som de tænkes brugt på er tåbeligt.
Der findes sikkert altid huller, og hvis en angriber vil ødelægge og kommer igennem. Så er kriseberedskabet alligevel alt for lidt, og ikke i stand til at hjælpe.
Så jeg mener penge måske ikke er spildte, men brugt tåbeligt. Hvad hjælper det f.eks. at sætte en bankboks dør i som hoveddør. Hvis bag døren er åben, eller montørerne (af døren) er tyvene.

Hvad skulle de have hjulpet med i sagen med Mærsk eller SONY ?

Michael Cederberg

Ja, som jeg siger - hvor er jeg dog blevet desillusioneret. Men konklusionen må jo så være, at vi skal lade være med at digitalisere så meget, at vi bliver sårbare og reelt forsvarsløse.

Jeg mener konklusionen bør være at vi skal digitalisere de steder hvor det giver værdi.

Men ...

  • ... at sikkerhed skal opprioriteres.
  • ... at døgnovervågning af IT ikke giver megen værdi hvis dem der overvåger ikke forstår de enkelte systemer og hvis de alligevel ikke kan gøre noget.
  • ... at alt for mange computere er på internettet. De fleste computere i det offentlige bør ikke have adgang. Man kan så lave "jump servere" hvor der er adgang.
  • ... at alle med fordel kan opdele deres netværk, sådan malware et sted ikke kan sprede sig til resten af lokalnettet.
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017