Forslag: Lad nyt cybersikkerhedsråd advare om kommende cyberangreb

Illustration: alexskopje / bigstock
Varsle virksomheder, rådgive regeringen og koordinere kampagner. Det er blandt de opgaver, et nyt cybersikkerhedsråd vil skulle løse, lyder det fra to organisationer.

Danmark er det fjerdemest sårbare land i verden, når det gælder cyberangreb, vurderer Deloitte, og ifølge Dansk Erhverv blev 3 ud af 4 danske virksomheder ramt eller forsøgt ramt af cyberangreb i 2017.

Derfor er der akut behov for et fælles cybersikkerhedsråd, som blandt andet kan advare myndigheder, virksomheder og borgere, inden alvorlige cyberangreb rammer dem. Det mener organisationerne IT-Branchen og Folk & Sikkerhed, som har fremlagt forslaget (PDF) for Folketingets forsvarsudvalg.

»På trods af den store risiko er cybersikkerheden alt for fragmenteret og siloopdelt, hvilket gør os unødvendigt sårbare overfor ødelæggende angreb. Derfor er der akut behov for, at vi samler tingene i et fælles cybersikkerhedsråd,« siger Birgitte Hass, adm. direktør i IT-Branchen, i en pressemeddelelse.

Nyt it-system til indberetninger om cyberangreb

»En af cybersikkerhedsrådets opgaver skal være at advare om »alvorlige, forestående angreb«, skriver IT-Branchen og Folk & Sikkerhed i notatet til forsvarsudvalget og de politiske partiers forsvarsordførere.

»Rådet skal få deres viden fra eksisterende overvågningstjenester, forskningsaktiviteter og anonyme indberetninger om angreb. Derfor vil de gerne udvikle en digital løsning til at indsamle og systematisere indberetninger om cyberangreb,« står der i notatet.

Notatet nævner også, at de to organisationer gerne vil have penge til ny forskning på området, ligesom de vil have midler til kampagner, indsatser og øvelser.

Dertil vil der være udgifter til et fast sekretariat på 10 medarbejdere, der skal betjene cybersikkerhedsrådet og iværksætte de initiativer, som rådet har vedtaget.

Erstatter ikke Center for Cybersikkerhed

»Cybersikkerhedsrådet skal bestå af repræsentanter fra de vigtigste myndigheder, brancheorganisationer, interesseorganisationer, forskningsverdenen og borgerne, og formandskabet skal varetages på skift mellem en offentligt og privat instans,« skriver IT-Branchen og Folk & Sikkerhed i notatet.

De mener ikke, at et cybersikkerhedsråd vil være overflødigt, selvom Danmark har Center for Cybersikkerhed under Forsvarets Efterretningstjeneste. Med sin militære status kan centeret ikke oplyse og vejlede danske myndigheder, virksomheder og borgere om it-sikkerhed, argumenterer de.

»Center for Cybersikkerhed er først og fremmest en militær enhed, der arbejder for at forhindre de mest avancerede angreb, der kan påvirke det danske samfund i væsentlig grad. Men det er ikke nok entydigt at fokusere på rigets sikkerhed, hvis vi på tværs af samfundet skal sikre os mod cyberangreb,« siger Birgitte Hass fra IT-Branchen i meddelelsen.

Læs notatet fra IT-Branchen og Folk & Sikkerhed her(PDF)

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (17)
Claus Juul

Jeg spørger mig selv, hvordan kan sådan et råd hjælpe:
1) Har de insider viden fra alle hackeregrupperne, så de kan advare på forhånd.
2) Har de insider viden om hvilke sårbarheder hackerne har fokus på
3) Kan rådet med forhåndsviden, få andre til at reagere inden for få minutter

Svaret er vist NEJ

John Foley

Som I andre lande vi normalt sammenligner os med, og som allerede har oprettet råd af tilsvarende art, tages der nu initiativ til at oprette et offentligt-Privat cybersikkerhedsråd. Det er på høje tid og et længe savnet initiativ.
De opgaver som rådet skal varetage er der ingen der idag tager sig af, og derfor er der et stort behov for at igangsætte dette rigtigt gode og efter min mening længe savnet initiativ.
Ingen offentlige myndigheder varetager de nævnte opgaver, og derfor kan det kun gå for langsomt med at få etableret rådet og igangsætte løsninger hurtigst muligt.

Claus Juul

De opgaver som rådet skal varetage er der ingen der idag tager sig af, og derfor er der et stort behov for at igangsætte dette rigtigt gode og efter min mening længe savnet initiativ.
Ingen offentlige myndigheder varetager de nævnte opgaver, og derfor kan det kun gå for langsomt med at få etableret rådet og igangsætte løsninger hurtigst muligt.

Jeg er dybt uenig i tanken om et råd mere, på nuværende tidspunkt. Et råd rådgiver, hvilket vi har nok af, vi har bla. CFCS der rådgiver om at man opdatere alt software, stærkt begrænser anvendelsen af privilegerede brugere (root, administrator osv) og bruger en application whitelistning teknologi.
Der er bare for få efterlever disse råd, så vi har ikke brug for flere ord, vi har brug for handling.

Hvis vi var i en situation, hvor vi efterlevede de råd der var, så ville det give god mening at få mere viden (mere rådgivning). Det er bare ikke der hvor vi er, desværre.

John Foley

Kan konstatere, at vi er uenige og så må det vel blive ved det.
Bemærk, at det råd, der her er tale om netop igangsætter handlinger og initiativer, som ingen andre tager sig af, og ikke i traditionel forstand er et "råd", som alle de eksisterende.
Måske er betegnelsen "Forum" mere retvisende, men under alle omstændigheder er der brug for en instans, der påtager sig de opgaver, initiativer og handlinger, vi så inderligt har brug for, og som ingen offentlig instans desværre tilbyder samfundet og befolkningen idag.
Hensigten med det nævnte råd (Forum) er netop at udfylde det hul som den nye nationale strategi for Informations- og cybersikkerhed og CFCS m. fl. efterlader. Det var der stor enighed om blandt eksperter, poiltikere og andre deltagere på cyberhøringen gennemført på Christiansborg, den 18. september med mere end 150 deltagere. Konklusionen var at der var et udtalt behov og ønske om oprettelse af et råd/forum, som der nu er fremsat af IT-Branchen og foreningen Folk& Sikkerhed.

Claus Juul

Konklusionen var at der var et udtalt behov og ønske om oprettelse af et råd/forum, som der nu er fremsat af IT-Branchen og foreningen Folk& Sikkerhed.

Jeg kan så håbe at dette forum får mandat til at enten:
1) Fastsætte standarder som myndighederne SKAL efterleve, eller for hvert tilfælde de ikke gør, begrunde hvorfor de ikke gør det(dette er i tråd med ISO 27001 tankegangen, bare løftet op på nationalt plan)

2) Tving myndighederne til at implementere de råd som bla. CFCS anbefaler, med mindre de for hvert tilfælde de ikke gør, begrunde hvorfor de ikke gør det.

Gert G. Larsen

Hvad laver DKCERT?
Hvad laver GovCERT?
Hvad laver Rådet for Digital Sikkerhed?
Hvad laver diverse netværksgrupper der eksisterer mellem Forsvaret og det private??
Hvad laver Dansk IT??
Hvad laver IT-Branchen?
Hvad laver CFCS?
Hvad laver NC3???
Hvem dælen er "Folk og Sikkerhed" ???

Altså, jeg aner det ikke, men et eller andet laver de vel...

EDIT: Jeg aner stadig ikke hvad "Folk og Sikkerhed" laver, men deres advisory board består af præster, dekaner og fremtidsforskere. Det skal nok blive en festlig cyberbande.

Kenn Nielsen

Alt er fragtmenteret og beregnet på at ingen fra det offentlige har ansvaret eller overblikket, Det skal der gøres noget ved - her og nu.

Det virker som om DJØF-tankegangen har været:
"Dét dér IT er smart, men vi forstår det ikke helt, så vi skal have nogle at dele ansvaret ud på, så vi ikke fremstår som fejlårsagen.....Men, konsekvenserne på fejlskud kan være ret voldsomme, så vi må signalere kompleksitet ved at oprette mange instanser, og så er der flere at dele ansvaret med."

Hvad får dig til at tro på at lige nøjagtigt dette råd bliver et "defragmenterende led", og ikke endnu ét i rækken af "mulige syndebukke" ?

Eller at dette råd bliver kaldt "samlende" fordi det er designet til at kunne ofres ?

K

John Foley

Jeg har ikke indtryk af at DJØF på nogen måde har været involveret i udarbejdelsen af forslaget, men jeg kan tage fejl. Ligger du inde med oplysninger, der bekræfter at DJØF har været involveret og har de hensigter som du tilskriver dem, så hører jeg gerne fra dig.
Hensigten med det nye råd/forum er, såvidt jeg har forstået forslaget nævnt i Version2 artiklen ovenfor, at IT-Branchen og foreningen "Folk& Sikkerhed ønsker at udfylde det tomrum og forvirringen om, hvem der har ansvaret for hvad, som CFCS og den nye cyberstrategi efterlader.
Foreslår, hvis du har interese, at du henvender dig til It-Branchen v/ Birgitte Hass, der har foranstaltet forslaget udarbejdet og også har gennemført høringen på Christiansborg, som tidligere omtalt. Birgitte vil sikkert gerne sende dig hele rapporten og forslaget i sin helhed.
Det vil ikke være muligt her at gennemgå hele rapporten, dets forslag og konsekvenser m.m.

Kenn Nielsen

Jeg har ikke indtryk af at DJØF på nogen måde har været involveret i udarbejdelsen af forslaget, men jeg kan tage fejl. Ligger du inde med oplysninger, der bekræfter at DJØF har været involveret og har de hensigter som du tilskriver dem, så hører jeg gerne fra dig.

Jeg mente ikke DJØF som organisation, men som 'tankegang'.
Skal rådet koordinere og betales af det offentlige, kræver det vel at embedsværket godkender.

Dog mener jeg det er lidt "varm luft", for der er ingen direkte analogi til meterologi når der tales "Cyberangreb".
Så et varsel om kommende angreb, lyder lidt "vejrudsigtsagtigt".
Skulle det - imod min overbevisning - være tilfældet bliver det ikke et (tilfældigt) oprettet 'råd nummer 42' med titel af "samlende", da det - i givet fald jeg tager fejl - så kun ville være nogen der vurderede på alt hvad Facebook véd +Google véd + diverse efterretningstjenester véd på et givet tidspunkt, der kan give 'et bud' på cyberuvejr.

K

John Foley

Da den nye cyberstrategi blev publiceret umiddelbart før sommerferien var der mange kritiske røster over den måde kampen mod de cyberkriminelle påtænkes gennemført, organiseret og implementeret.
De kritiske røster fokuserer især på den manglende sammenhæng og evnen til at sikre samfundet og befolkningen i cyberspace. Jeg tror de mange kritiske røster har inspireret It-Branchen og Folk&Sikkerhed til fremlæggelse af det forslag, der nu er udarbejdet, fremsendt og i politisk proces.
Her er nogle uddrag fra medierne, der kommenterede cyberstrategiens fejl og mangler, ved dets publicering:

Plan for cybersikkerhed er lutter flotte ord
”Udspillet har banket så hårdt på ketchupflaskens bund, at antallet af forslag og handlinger, der nu skal følges op på, flyder ud over hele bordet med 25 initiativer og 6 målrettede strategier. Planen har en overskrift, der hedder 2018-2021, men der mangler konkrete mål for, hvornår de forskellige initiativer skal sættes i gang, hvornår de er fuldt implementerede, og hvornår der kan måles på effekten af dem. Der står heller intet om, hvem der er tovholder på hele pakken på tværs af samtlige ministerier, og hvordan vi kan se planen udfolde sig. Der er mange gode ord og hensigter i den, men hvordan måler vi, at rigets cybersikkerhed rent faktisk bliver forbedret?”
Mandag Morgen – 21. maj 2018

Uden bredt samarbejde taber vi cyberkrigen
Når 100 mio. er småpenge, og når ”national” mest betyder staten
”En national strategi med 25 initiativer lyder jo godt og rigtigt, men er der handling bag ordene? Ud af de 1,5 mia. kr. i strategien kommer de 1,4 mia. kr. fra Forsvarsforliget med forventeligt forsvarspolitiske bindinger. Det betyder, at der alene er afsat 100 mio. kr. til strategiens øvrige områder – over fire år. Til et så vigtigt et område er det småpenge. Til sammenligning kostede et enkelt cyberangreb Mærsk 1,9 mia. kr.”
Derudover står det ikke klart, hvor Danmark skal være efter strategiens udløb, når vi taler cybersikkerhed.
Selv om der er tale om en national strategi, er det desværre ikke en strategi for hele samfundet. Kommunerne er f.eks. ikke omfattet, og vi ser gerne et stærkere virksomhedsfokus – særligt på de virksomheder, som ikke er omfattet af de seks særligt sårbare sektorer, som strategien fokuserer specifikt på.
– Morten Rosted Vang ; chefkonsulent Dansk Industri

Er CFCS pengene værd ?
Af: Poul Henning Kamp
Da CFCS for seks år siden blev oprettet blev konstruktionen kritiseret for dens næsten totale mangel på transparans, som ikke giver nogen mulighed for at evaluere om det faktisk virker.
Enhver evaluering må nødvendigvis forholde sig til udgiftssiden, men det er altsammen hemmeligt. Vi ved kun at vi hælder en lille millard skattekroner i FE om året, vi ved ikke hvor store indtægter de har, f.eks fra salg af overvågningsdata til andre stater og vi ved ikke hvor stor en andel af det samlede budget der bliver brugt på CFCS…….
https://www.version2.dk/blog/cfcs-pengene-vaerd-1085617

Dansk Kaspersky-direktør: "Center for Cybersikkerhed opererer på et fantasibaseret grundlag"
Read more at https://www.computerworld.dk/art/243878/dansk-kaspersky-direktoer-center...

Version 2 gennemført en stor undersøgelse, der dokumenterer at værdien af Center fro Cybersikkerheds indsats og støtte til bla. virksomheder er meget lavt.
Se linket: https://www.version2.dk/artikel/halvdelen-de-it-sikkerhedsprofessionelle...

IT-Branchens direktør, Birgitte Hass, udtaler: IT-Branchen: Ikke meget nationalt i regeringens cybersikkerhedsstrategi
https://www.altinget.dk/digital/artikel/it-branchen-ikke-meget-nationalt...

Eva Flyvholm: Civil sikkerhed kalder på civil vagthaver
https://www.altinget.dk/digital/artikel/eva-flyvholm-civil-sikkerhed-kal...
Efterretningstjenesten skal ikke stå i spidsen for cybersikkerhed
I Danmark er der blevet oprettet et Center for Cybersikkerhed, der står for mere og mere af arbejdet med at sikre vores infrastruktur.
Problemet er, at centret ligger under Forsvarets Efterretningstjeneste. Det betyder for meget lukkethed, og at det er usikkert, hvordan informationer kan bruges.
De spritnye regler for databeskyttelse, gælder for eksempel ikke centrets arbejde, fordi det er under efterretningstjenesten.
Af Professor Karen Pedersen
Det er almindeligt anerkendt, at staten ikke kan håndtere disse trusler alene, og at de klassiske statslige styringsredskaber som lovgivning, militær oprustning eller økonomiske incitamenter er utilstrækkelige i forhold til cyberstrusler. På trods af enighed om at bekæmpelse af cybertrusler er en fælles opgave, der skal varetages af både private og offentlige instanser, gør nogle grundlæggende forskelle i trusselsforståelsen opgaven vanskelig.
https://alumni.ku.dk/alumnernesdag/program/cybersikkerhed/

Strid om ressourcer til at værne sygehuse mod hackere
Hospitaler kan lammes af hackere, advarer eksperter. Men ifølge regionerne må staten bidrage til et styrket forsvar.
Selv om cyberangreb mod danske hospitaler i værste fald kan koste menneskeliv, er regeringen og Danske Regioner endt i et slagsmål om, hvem der skal betale millionregningen for den styrkede it-sikkerhed i sundhedssektoren, som regeringen i foråret lovede danskerne.
Regionerne kan økonomisk ikke løfte den »kæmpestore opgave alene«, og det kan komme til at ramme behandlingen af patienterne, hvis ikke der tilføres ressourcer fra staten til cyberoprustningen, lyder budskabet fra næstformand i Danske Regioner Ulla Astman (S).
»Vi kommer til at lave prioriteringer mellem sikkerhed og behandlinger, hvis der ikke tilføres mange flere ressourcer til det område. Cybersikkerhed er jo en helt ny kerneopgave for regionerne, men vi kan ikke løfte det selv,« siger Ulla Astman.

Her er referencen til antallet af it- og cyberhændelser for 2017:
19 »alvorlige« angreb i 2017
Og at det er nødvendigt med et cyberforsvar viser de tørre tal i beretningen fra Center for Cybersikkerhed også.
I 2017 undersøgte netsikkerhedstjenesten således i alt 1.168 it-sikkerhedshændelser. 1.002 var falske alarmer, men tjenesten undersøgte altså 166 angreb mod både myndigheder og de virksomheder, der er tilsluttet sensornetværket, heraf betegnes 19 af dem som alvorlige.
Ref.: Spiontjeneste er presset af it-udfordringer i forsvaret. https://jyllands-posten.dk/protected/premium/indblik/Indland/ECE10712978...

Henrik Schack
Nicolaj Rosing

Tving myndighederne til at implementere de råd som bla. CFCS anbefaler, med mindre de for hvert tilfælde de ikke gør, begrunde hvorfor de ikke gør det.


Helt enig. Det hjælper ikke at CFCS anbefaler an man anvender DMARC hvis ingen gør det. Det hjælper ikke at CFCS anbefaler an man opdatererer sit operativ system hvis man stadig kører med XP osv. Der mangler action og det skal gøre ondt at afvige fra Best Industry Practice men helst INDEN alle ens filservere er krypteret og ingen aner hvor man skal ringe hen

John Foley

Det er et ledende og retorisk spørgsmål du stiller. For selvfølgelig får vi ikke nok for pengene i de løsninger, der er fremsat bl.a. i cyberstrategien, og i de helt basale sikkerhedsanvsinger, som i forvejen kan Googles.
Derfor er der et behov for nytænkning og initiativer, som bl.a. blev drøftet i forbindelse med høringen på Christiansborg og det fremsatte forslag fra It-Branchen og foreningen Folk& Sikkerhed.
Kun ved en fælles indsats og engagement kan vi i fællesskab løse de sikkerhedsproblemer vi står overfor her og nu og i fremtiden. Om det skal ske i et råd eller i et forum er egentligt ligegyldigt, bare opgaverne bliver varetaget på en hensigtsmæssig måde.

Henrik Schack

Er det kun mig der syntes, at 100 millioner kroner for helt basale sikkerhedsansvisninger, som man kan Google sig til er, dyrt betalt?

Jeg leder personligt stadig efter noget brugbart og værdifuldt som mine skattekroner bliver opslugt af.


Nej du bestemt ikke alene med de tanker.
Basal sikkerhed er som du skriver ikke rocket-science, det er mestensdels et spørgsmål om at få fingrene ud og se at komme igang :-)

Jeg kan ikke helt se hvad diverse varsler om at fjenden er på vej skal nytte hvis vi endnu ikke er kommet igang med at grave voldgraven og bygge de høje mure der skal beskytte os.

Henrik Biering Blogger

Kun ved en fælles indsats og engagement kan vi i fællesskab løse de sikkerhedsproblemer vi står overfor her og nu og i fremtiden. Om det skal ske i et råd eller i et forum er egentligt ligegyldigt, bare opgaverne bliver varetaget på en hensigtsmæssig måde.


Jeg er fuldstændig enig med dig i at der bør ske en koordineret oprustning mod cybertruslerne. Men hvis man ikke sørger for i fællesskab at definere scope, konkrete målsætninger og strategi inden man opbygger en organisation vil initiativet med mindst 99% sandsynlighed vise sig nytteløst.

Hvis målet er at koordinere alle eksisterende aktiviteter er det en kapitalbrøler at starte ud fra en template med fastlagte aktiviteter der leder tankerne hen på "talking heads" og "vapourware" og som kan sammenlignes med red flag traffic laws fra automobilets barndom.

Der synes helt at mangle erkendelse af at cybersecurity er et internationalt problem, der ikke kan løses ved isolerede nationale tiltag. Det eneste internationale tiltag, der nævnes er et fælles katalog over informationskampagner.

Og hvad er formålet med et kontor, der centralt, men kun nationalt indsamler data om sikkerhedshændelser, når der allerede er internationale standarder for realtids peer to peer deling af disse på tværs af nationale grænser?

Hvis Danmark (virksomheder og borgere) skal rykke frem i bussen, når det drejer sig om cybersikkerhed, skal det ske i tæt samarbejde med andre lande på både teknologisk og operationelt plan. Det primære middel til national differentiering ligger efter al erfaring i graden af tvangs-implementering via direkte eller indirekte lovgivning. Der er en årsag til at vi har både bygningsreglement, stærkstømsreglement og detailforskrifter for køretøjer og lignende firkantede regler for en lang række andre ting.

Tænk hvis hjemmeplejen i XX-kommune skulle lave en individuel risikovurdering når de anskaffer en ny bil, herunder hvor mange hjul det er nødvendigt at den kan bremse på, og om den skal have sikkerhedsseler og airbags m.m. under hensyntagen til at bilen primært bliver brugt i 50km zone og kørt af omsorgsfulde medarbejdere som hidtil ikke har været impliceret i uheld. Det er da en skøn tanke med ISO27001 på samme måde som vi stiller krav til omtanke og viden hos folk, der vil have kørekort eller svendebrev.

Men faste krav om sikkerhedstiltag i relation til IT-løsninger kan spare virksomhederne gevaldige summer ved at aflaste dem fra selv at skulle gennemtænke og vurdere enhver mulig sikkerhedsdetalje i forbindelse med implementering af løsninger, der ikke er helt unikke.

Det synes jeg er et eksempel på en formentlig helt afgørende succesfaktor, der glimrer ved sit fravær i oplægget. Og som kan illustreres af nedenstående aktuelle:

Eksempel på frivillighed vs. pres

NemID kan funktionelt sammenlignes med de tilsvarende eID initiativer i UK og Tyskland, der startede omtrent samtidigt. NemID er klart den teknologisk dårligste løsning, men qua samarbejdet med banksektoren fik man i praksis gjort brugen obligatorisk for alle borgere, der ikke aktivt kæmpede i mod. Omvendt har løsningen været så dårlig og mistilpasset borgernes behov at NemID efter 8 år ikke har fundet udbredelse uden for det offentlige og finanssektoren.

I Tyskland har man en fælles off-line og online ID løsning, der udmærker sig ved at leve op til kravene i eIDas-forordningen. Men man har indtil for nylig ikke lagt hårdt pres på borgerne til at benytte online-funktionaliteten. Så i 2017 havde kun 2,5 millioner borgere ud af 83 millioner aktiveret online-funktionaliten i deres identitetskort

I UK hvor udviklingen af eID løsningen er sket i samarbejde med en række private virksomheder som løsnings-udbydere er situationen den samme med ca. 2,7 millioner tilmeldte brugere ud af 66 millioner. Regeringen melder sig nu helt ud af løsningen, bl.a. som konsekvens af at det ikke lykkedes at få blot et rimeligt antal offentlige myndigheder til at benytte sig af løsningen. Det vurderes at over en milliard kroner må afskrives som spildt.

Bør vi ikke starte med at forsøge at lære af tidligere erfaringer, når vi står over for ny udfordringer?

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder