Ekspert om nye sektorstrategier: Et fokus på papirarbejde skaber ikke reel it-sikkerhed

Illustration: Schneider Electric
De nye sektorspecifikke cybersikkerhedsstrategier fokuserer alt for meget på standarder og præventiv kontrol i stedet for operationel it-sikkerhed. Sådan lyder det fra cybersikkerhedskonsulent Michael Weng, der savner aktiv threat hunting.

Når man bruger meget tid og mange ressourcer på at overholde standarder som ISO27001 i de seks nye sektorspecifikke cybersikkerhedsstrategier, som fem forskellige ministerier præsenterede mandag for energi-, sundheds-, finans-, transport-, tele- og søfart-sektorerne, så risikerer man at glemme den daglige operationelle sikkerhed hos landets hospitaler, vandværker og banker.

Sådan lyder bekymring fra Michael Weng, cybersikkerhedsekspert i konsulentvirksomheden Weng Security Consulting, og mange års erfaring med it-sikkerhed i farma- og energisektoren.

Læs også: Kritiske sektorer ruster sig mod cyberangreb

»Jeg hæfter mig især ved, at der tales meget om overholdelse af forskellige standarder i de forskellige sektorstrategier, især sikkerhedsstandarden ISO27001, som er fokuseret på it-systemer, og ikke de operationelle driftsystemer, som er kernen i flere af de udvalgte sektorer. At man overholder ISO27001, er langtfra ensbetydende med, at man har velfungerede aktiv it-sikkerhed,« siger Michael Weng.

Læs også: Cyberstrategi med red team-tests af sygehuse: »Der mangler penge og detailplaner«

Amerikanske lækager trods compliance

Han nævner flere store amerikanske datalækager, eksempelvis butikskæden Target, som mistede store mængder følsomme kundedata, selvom de på papiret havde styr på sikkerheden og opererede i overensstemmelse med internationale sikkerhedsstandarder.

For hvis man først har styr på papirarbejdet, risikerer ledelsen at miste fokus på den daglige sikkerhedsovervågning, fortæller han.

»Man risikerer at fejle, fordi man fokuserer for meget på præventiv kontrol og basal hygiejne. Med andre ord fokuserer man for meget på risikopolitik og glemmer den praktiske it-sikkerhed, eksempelvis at overvåge sit netværk, og se hvad der egentlig sker. Det er den eneste måde at opdage anomalier på sine netværk på. Compliance og standarder er en god ramme, men ikke det samme som operationel it-sikkerhed.«

Derfor savner Michael Weng også den sidste del af det aktive forsvar af et netværk, også kendt som threat hunting, hvor man aktivt lytter og søger efter afvigelser på sine netværk.

Den type aktive forsvar står i modsætning til et mere passivt forsvar, hvor man sætter eksempelvis firewalls eller malware sandboxs, hvor man først reagerer, når der er indikationer på trusler eller sikkerhedshændelser.

»Det kan være den afgørende forskel, at man aktivt leder efter indtrængninger.«

Læs også: Nyt cybersituationscenter er åbnet hos Center for Cybersikkerhed

»Cybersikkerhed er basal drift«

Sektorstrategierne udspringer af den den nationale strategi for cyber- og informationssikkerhed, som blev lanceret i maj 2018 af innovationsminister Sophie Løhde (V) og forsvarsminister Claus Hjort Frederiksen (V).

Med den nationale strategi følger en pulje på 1,5 mia. kr. til at styrke indsatsen på cyber- og informationssikkerhedsområdet. Men af de midler er 1,4 mia. kr. dedikeret til Center for Cybersikkerhed, der er forankret hos Forsvarets Efterretningstjeneste.

I kølvandet på regeringens fremlæggelse af sin nationale cybersikkerhedsstrategi og de seks nye cybersikkerhedsstrategier er finansieringen blevet voldsomt kritiseret, blandt andet af den tidligere justitsminister Søren Pind, der i dag er bestyrelsesformand for sikkerhedsvirksomheden Langkjaer Cyber Defence.

Læs også: Cybertruslen stiger - men hvem der skal gøre hvad og hvornår er indhyllet i tåge

Den kritik kan Michael Weng dog ikke genkende. Faktisk mener han, der kan være en pointe i, at sektorerne selv er ansvarlige for finansieringen af cybersikkerheden.

»Det er rigtig godt, at vi endelig får sektorspecifikke cybersikkerhedsstrategier. Det er noget, der har været efterspurgt i adskillige år. Der har manglet støtte oppefra i det poliske system, men de nye strategier understreger, at regeringen opprioriterer it-sikkerheden. Jeg kan godt forstå ,at regeringen melder ud, at de enkelte sektorer selv skal være med til at sikre finansiering af strategien. Meget it-sikkerhed handler i dag om basal drift, og det er vigtigt, at ledelserne i de forskellige sektorer forstår, at når man vælger it som værktøj, så er der nogle svagheder, som man skal have styr på, og som koster penge,« siger Michael Weng.

Læs også: DI om cybersikkerhedsstrategi: Småpenge - og vigtige enheder holdes udenfor

Private er bedst til red team-tests

I sundhedssektoren er Sundhedsministeriet blevet enige med KL og Danske Regioner om fremadrettet at bruge såkaldte red team-tests, hvor man ikke bare tester it-systemerne med eksempelvis penetrationstest, men også tester, hvordan brugerne af it-systemerne agerer på trusler og sikkerhedshændelser.

Sektorstrategien på sundhedsområdet nævner ikke eksplicit, hvem der skal stå for at udføre red team-tests på de danske hospitaler, men Michael Weng helt klar i sine anbefalinger.

»Jeg synes, man med fordel skal forankre opgaven med red team-tests og threat hunting til de sikkerhedsvirksomheder, der har specialiseret sig i netop de kompetencer, og så kan Center for Cybersikkerhed stå for at overvåge området på nationalt niveau. Forsvarets Efterretningstjeneste har ikke en relevans i sundheds- eller energisektoren,« siger Michael Weng.

Læs også: Kritik af ubalance i cybersikkerhedsstrategi: »En slags omvendt Robin Hood«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

"I kølvandet på regeringens fremlæggelse af sin nationale cybersikkerhedsstrategi og de seks nye cybersikkerhedsstrategier, er finansieringen blevet voldsomt kritiseret, blandt andet fra den tidligere justitsminister Søren Pind, der i dag er bestyrelsesformand for sikkerhedsvirksomheden Langkjaer Cyber Defence.
Den kritik kan Michael Weng dog ikke genkende. Faktisk mener han der kan være en pointe i at sektorerne selv er ansvarlige for finansieringen af cybersikkerheden."

Faktisk er jeg nogen grad enig med Weng her - vi skal jo helst frem til, at kommuner, regioner og diverse instituioner og styrelser ikke sætter kæmpeprojekter i søen, som de ikke vil ofre den nødvendige sikkerhed på. Her må jo lidt gælde at "sætte tæring efter næring". Man kan sagtens finde på mange sjove projekter, og det har man jo i høj grad gjort i årevis, men hvis man ikke vil ofre, hvad ordentlig sikkerhed koster, så må man bare lade være med at sætte disse Titanic-projekter i søen.

At det så bagudrettet kan blive et stort problem for diverse "bygherrer" at rette op på tidligere forsømmeligheder, det er der så nok ingen tvivl om. Og der skal det ikke være diverse svage grupper, som skal betale. Man må i stedet lade være med at kaste sig ud i nye projekter, indtil man har sikret de eksisterende i tilstrækkelig grad. Bare ærgerligt - men "sådan er det jo"! (krokodilletårer herfra).

Povl H. Pedersen

Hvis man læser på digitaliseringsstyrelsens webside, så har de operationel IT Sikkerhed med.

https://digst.dk/styring/standardkontrakter/klausuler-til-informationssi...

Læs CIS kravene fra side 29 og frem.

Desværre er det de færreste der lever op til CIS 20. Hvis disse krav blev standarden i det offentlige, så det meget bedre ud.

Så der findes en offentlig anerkendt standard for operationel IT Sikkerhed. Den skal bare ophøjes til krav.

René Nielsen

Jeg synes ikke at der er mærkeligt.

Der har i Danmark på intet tidspunkt været en ægte politisk interesse for at sikrer ”det offentliges data”. Du må gerne kaldes det operationel IT sikkerhed.

Det politiske fokus har alene været et spørgsmål om at ”sætte strøm” på til eksisterende processer for dermed at ”høste økonomiske fordele”.

Måden det gøres på, er at fyrer folkene først, indregner de sparede lønkroner her og nu, og derpå skyde skylden på nogle andre. Altså medregner det offentlige indtægten når den er mest usikker og samtidig ikke realitetsforholder sig til projektet risici.

Det er fuldstændigt sindssygt ikke samtidigt at indbygge sikkerhed og høste fordelene ved de valgte systemer, men det er altså nu en gang det som er sket.

Nu sidder danske politikere stille og roligt og opdager at de har serveret alt på et fad for IT kriminelle og statslige hackere. Hvad gør man?

Fuldstændig som i serien ”Javel hr statsminister” udarbejdes en plan hvor sektorerne nu på baghjul skal rette op på massive politiske fejltagelser, for dermed undgås det at ansvaret kravler op til rette person og sir Humphrey er tilfreds.

John Foley

Langt hen ad vejen enig i Michael Wengs bemærkninger, men med hensyn til den manglende finansiering er jeg mere på linje med Søren Pind.
Desværre er der ikke sat penge eller ressourcer af til finansiering af de fleste gode og relevante initiativer som de udpegede kritiske sektorer skal gennemføre. Pengene skal tages fra de enkelte offentlige sektorers eget budget, der medfører at andre livsvigtige initiativer må og bliver nedprioriteret. Dette blev også understreget af formanden for Danske Regioner, Stephanie Lohse i en pressemeddelelse i DR og andre medier. Kun FE og CFCS har via den tidligere Finansminister og nu Forsvarsminister fået penge og ressourcer til sit eget område, der langt hen ad vejen skal bruges til offensive cyberangrebsvåben, mens de øvrige må klare sig selv efter mottoet "Vi har ingen kvaler - de er kun de andre der betaler"

Anne-Marie Krogsbøll

Pengene skal tages fra de enkelte offentlige sektorers eget budget, der medfører at andre livsvigtige initiativer må og bliver nedprioriteret.


Men kan man ikke forestille sig, at det er de evindelige nye digitale projekter, som kunne blive nedprioriteteret i en periode, John Foley? Der er vel noget grundlæggende galt med, at de forskellige sektorer planlægger og igangsætter den type projekter, men ikke indregner tilstrækkelige midler til sikkerheden også - det burde jo være en bunden opgave at indregne det i tilstrækkelig grad.

John Foley

Et meget relevant spørgsmål Anne-Marie Krogsbøll. Men både politikere, erhvervslivet og de embedsmænd der bestemmer, er groft sagt ude efter kortsigtede besparelser, profit og såkaldte effektiviseringsgevinster, der normalt betyder fyringer og nedskæringer.
Jeg er helt enig med dig i, at man burde stoppe op og trække vejret inden man med "hovedet under armen" iværksætter tvivlsomme projekter, der ikke indfrier de løfter, som lovet. Se blot på alle de fejlslagne IT- projekter der allerede har været. Hvad har det ikke kostet af skattekroner!
Uanset om digitaliseringsræset bremses en lille smule vil der stadigvæk være et krav om cybersikkerhed, som jeg skal være den sidste til at beklage. Men det må ikke ske på bekostning af fx livsvigtig patientbehandling og spareiver. Sektorernes delstrategier og initiativer er nødvendige, men bliver ikke til noget såfremt der ikke følger penge med, derfor er de foreløbigt kun "Papirtigre". Og det ser der ud til at der ikke gør, hvilket som nævnt vil medføre, at sektorerne, herunder sundhedsområdet må finde pengene i de eksisterende budgetter. Det vil givetvis gå ud over fx patientbehandlingen, hvilket jeg finder grotesk og uacceptabelt. Derfor må der findes en løsning, hvor sundhedssektoren og gerne også andre sektoer, kompenseres for de udgifter, de er tvunget til at bruge på cybersikkerhed. Ellers vil det kunne få katastrofale følger, herunder tab af liv. Det er bare min pointe.
Tak i øvrigt for dine altid relevante og gode indlæg, kommentarer og gode spørgsmål. Det er altid en fornøjelse at høre fra dig. Keep up the good work!

Markus Hornum-Stenz

I denne diskussion bliver banen næsten altid kridtet op som et tovtrækkeri mellem på den ene side progressive forretningsrepræsentanter, som gerne vil "sætte strøm til processerne" med henblik på effektivisering i bred forstand og på den anden side mere defensive sikkerhedsrepræsentanter, som er fokuserede på utilsigtet adgang til data i bred forstand.

Min erfaring med drift og support peger i retningen af at begge sider i stigende grad risikerer at blive "blindsided" af den tredie part, nemlig dem som skal realisere begge parters drømme - brugerne og administratorerne.

Faktum er, at på mange arbejdspladser er det efterhånden ret svært at få reelt arbejde fra hånden, fordi transaktionsomkostningerne er støt stigende.

Man er simpelthen ved at drukne i ting som login- og opdateringsproblemer, indlæring af nye systemer som påvirker sagsgange og arbejdsmetoder og langtrukken fejlsøgning på systemintegrationer, som ikke virker efter hensigten - og ikke mindst indsamling af data til at støtte eller imødegå diverse politiske dagordner, internt og eksternt.

Det ærgerlige og uproduktive er, at de egentlige forretningsdagsordener - at producere, sælge, undervise, behandle og sagsbehandle udenfor IT-branchen - på den måde bliver stadigt sværere at få til at hænge sammen.

Man har så travlt med at drømme om eller frygte fremtidsscenarier, at man nemt glemmer at se på at få den daglige drift til at hænge ordentligt sammen

Anne-Marie Krogsbøll

Tak for pæne ord, John Foley - og bestemt i lige måde :-)

Du har nok ret i, at scenariet bliver, som du beskriver, hvis der ikke følger penge med. Jeg taler ud fra noget ønsketænkning - hvordan jeg synes, at det burde være. Men ved at afvise finansiering, slår regeringen nok flere fluer med ét smæk - for så kan man samtidig få has på nogle for dem forhadte sociale udgifter samtidig. Så det bliver nok svært at overtale regeringen til at træde til med flere penge.

Det skulle da lige være, hvis man kan lave forlig om, at det er satspuljen, der skal betale for den digitale sikkerhed.... :-(

Men det er godt nok deprimerende, at man først nu, efter mange års advarsler, begynder at tage sagen bare lidt mere alvorligt. Og jo alligevel stadig ikke engang alvorligt nok, som Michael Weng påpeger.

Anne-Marie Krogsbøll

Faktum er, at på mange arbejdspladser er det efterhånden ret svært at få reelt arbejde fra hånden, fordi transaktionsomkostningerne er støt stigende.


Er det det, som jeg opfatter som, at kerneopgaven har flyttet sig hen et forkert sted pga. den amokløbne digitale udvikling? F.eks. Sundhedsplatformen, hvor man efterhånden har indtryk af, at det sjællandske sundhedsvæsens kerneopgave er blevet at få Sundhedsplatformen til at fungere - hvor den burde være at få hospitalet og patientbehandlingen til at fungere?

Claus Juul

Det er mærkeligt, at det ikke er det.

Det er ikke mærkelig, vi har i Danmark et princip om at ministeren for et område (fx ministeren for Transport-, Bygnings- og Bolig) er 100% ansvarlig for sit område og at ingen andre kan komme og fortælle ministeren hvad han/hun skal og ikke skal.
Det betyder bare at vi i Danmark ikke kan have et ministerium der arbejder på tværs af de andre.

Claus Juul

Jeg er

Langt hen ad vejen enig i Michael Wengs bemærkninger, men med hensyn til den manglende finansiering er jeg mere på linje med Søren Pind.

Jeg er mest på Wengs side, men lige meget hvad, hvis et område tilføres penge tør jeg godt vædde med at finansministeriet først lige gennemføre en spareøvelse, for derefter at tilfører de sparede penge og måske en lille smule mere.

Markus Hornum-Stenz

Er det det, som jeg opfatter som, at kerneopgaven har flyttet sig hen et forkert sted pga. den amokløbne digitale udvikling?

Kerneopgaven er nok så meget sagt, men det er tæt på.
Det handler i mine øjne først og fremmest om at kombinationen IT, standardisering og økonomi har en tendens til at overtrumfe faglighed på ledelsesgangen i mange brancher.
Denne makrotrend har groft sagt den konsekvens at faglige specialister i stigende grad forventes at være IT-generalister, uanset og de er læger, jurister og økonomer eller bilmekanikere, butiksansatte og annoncesælgere.
Når så garvede IT-generalister som jeg selv, som forventes at hjælpe fagpersonerne, i stigende grad støder ind i lignende udfordringer, hvor vi ikke selv kan løse mange IT-problemer pga manglende adgange og rettigheder, eller strikse regler om hvad for slags problemer, vi må beskæftige os med....

Så begynder man at ane, hvor komplekst samspillet mellem generalisering og specialisering kan blive og hvorfor store drifts- og udviklingshuse - ligesom fx sygehuse og undervisningsinstitutioner - kan have svært ved at leve op til deres ambitioner som ydelsesleverandører, når de bliver for teknologibegejstrede.

Anne-Marie Krogsbøll

Tak for svar, Markus Hornum-Stenz. Ja - vanvittigt komliceret. Og det er også derfor, jeg hælder mere og mere til, at (ukritisk) digitalisering er som at række fanden en lillefinger - så tager han hele armen.

Det er helt fint at digitalisere vejrudsigter og den slags med AI - men mere sårbare samfundsstrukturer som sygehusvæsen og skatteopkrævning og skolevæsen - der bør man udvise forsigtighedsprincippet, og tage udgangspunkt i sikkerheden - både ift. hacking og den slags og ift. funktionssikkerheden - og ikke satse hele butikken, før man har både råd til og ordentlig styr på sikkerhed - OG et ordentligt fundament af respekt for retten til privatliv.

Gert Madsen

og ikke mindst indsamling af data til at støtte eller imødegå diverse politiske dagordner, internt og eksternt.


Jeg tror at dette er et kerneproblem. Hvis man fokuserede på produktionen, og droppede alt, som reelt ikke har andet formål end at kunne skabe KPI-rapporter, så tror jeg mange problemer kunne undgås.
Brugerne skulle ikke indtaste, for dem, irrelevante oplysninger, og systemerne ville være mindre komplekse.

Log ind eller Opret konto for at kommentere