Forsvarsminister afviser at straffe dårlig it-sikkerhed med bøder

Illustration: Christoffer Elmann Ranhauge
Selvom det er den enkelte virksomhed, kommune eller region, der har ansvaret for at sikre sig mod it-angreb, bør der ikke deles bøder ud til disse, hvis ikke der er styr på it-sikkerheden i forbindelse med cyberangreb, mener forsvarsministeren.

Kommuner, offentlige myndigheder eller organisationer, der varetager opgaver vedrørende kritisk infrastruktur, skal ikke være nervøse for at modtage bøder eller andre sanktioner i tilfælde af, at der ikke har været styr på it-sikkerhed i forbindelse med et hackerangreb.

Sådan lød meldingen fra forsvarsminister Claus Hjort Frederiksen (V), der var blandt torsdagens oplægsholdere på it-sikkerhedsmessen Infosecurity i København, som Version2 er medarrangør af. Ministeren benyttede lejligheden til at tale om den stigende sikkerhedstrussel overfor blandt andet den offentlige sektor.

I den forbindelse fremhævede han med henvisning til Wannacry-angrebet i 2017, at det er statens opgave at udstikke de generelle rammer for cybersikkerhed, men at det endelige ansvar for at sikre sig mod sikkerhedsbrister eller angreb dog ligger hos den enkelte myndighed, kommune eller virksomhed

»Wannacry-angrebet afslørede, at man specielt i Region Midtjylland havde forældede it-systemer, hvor leverandøren havde opsagt vedligeholdelsen af systemerne, fordi de var så gamle. Der burde jo være en lille klokke, som ringede hos de ansvarlige der, når man ikke længere kunne få service på systemet,« sagde forsvarsministeren.

Læs også: Claus Hjort om cyberangreb: Der er store mørketal

På trods af det mente ministeren ikke, at det er på sin plads at sanktionere eksempelvis kommuner, regioner eller selskaber med ansvar for kritisk infrastruktur, hvis de - som følge af
dårlig it-sikkerhed - bliver udsat for cyberangreb.

»Jeg tror, at man i første omgang skal starte med, at vi alle sammen bliver bevidste om farerne. For vores samfundskritiske sektorer er der lavet et rigtig godt arbejde. Jeg tror, at man skal være varsom med at rende rundt og dele bøder ud på det her område,« sagde han.

Han erkendte dog, at det kan diskuteres, hvad der skal gøres ved virksomheder, der bevidst lader være med at beskytte sig.

»Det kunne være, at der var en eller anden udenlandsk kapitalfond, der havde købt en virksomhed, som de ville sælge om to år, og derfor ville de ikke ofre formuer på it-sikkerhed, fordi de bare skulle af med dem igen,« sagde Claus Hjort Frederiksen under oplægget.

Langeland kan undværes

Under oplægget kom forsvarsministeren også ind på arbejdet med at definere, hvilke konkrete selskaber der skal defineres til at have ansvar for samfundskritisk infrastruktur i sektorerne for sundhed, finans, tele, søfart, transport og energi.

Her pointerede ministeren, at dette definitionsarbejde endnu ikke var færdigt i dag, hvorefter han fremhævede følgende overvejelser:

»Det er klart, hvis Langelands Kommune blive angrebet, så kan man nok ikke sige, at det er vitalt for hele Danmark. Selvom vi skal kunne beskytte den slags ting, så er vi altså oppe i nogle ret vigtige kategorier. Elforsyningen i København og Dankortet er ret vitalt for samfundet. Et lille vandværk et eller andet sted er jo nok ikke samfundskritisk på den måde,« sagde han.

Forsvarsministeren understregede ved oplægget, at man er nødt til at arbejde med spørgsmålet om kritisk infrastruktur på en måde, hvor man holder øje med, hvilke problemer der dukker op. Derudover er der ifølge ham ikke noget alternativ til det nuværende bærende princip i den danske cybersikkerhedspolitik, nemlig sektoransvaret:

»Der er ikke noget alternativ til sektoransvaret. Man kan jo ikke forestille sig en myndighed, der har ansvar for alle it-systemer i hele landet. Derfor ligger ansvaret hos den enkelte virksomhed, kommune eller region, og det er vi nødt til at holde fast i,« sagde Claus Hjort Frederiksen under oplægget.

Læs også: Kritiske sektorer ruster sig mod cyberangreb

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Gert Madsen

Listen over åbenlyse svigt i IT-sikkerhed er overvældende, og kan kun forklares med bevidst nedprioritering fra beslutningstagernes side.
Visse vil dog sige at det skyldes inkompetance, men det er så vidt jeg ved ikke muligt at udpege beslutningstagere, som er under lavværgemål.
Så regeringen ønsker altså at ingen forbedring på IT-sikkerhed i det offentlige.

  • 7
  • 0
Jan Ferré

Ok - jeg har aldrig brudt mig om Claus Hjort Frederiksen. Og hans rolle som forsvarsminister og dermed chef for cyberforsvaret har bestemt ikke hjulpet.

Jeg er helt enig i, at for samfundet er strømforsyning i København og funktionen af Dankortet vigtigere end vandforsyningen på Langeland. Men for borgerne på Langeland er der nu ikke stor forskel!

Hermed er et væsentlig ankepunkt mod Center for Cybersikkerhed klart udstillet. Der kommer simpelthen ikke nok hjælp ud fra centret.

Mine forventninger til sådan et center er, at de proaktivt støtter virksomheder og institutioner i at forbedre sikkerheden. Det skal være et naturligt sted at hente spændende informationer og inspiration - ligesom man læser Version2 en stille fredag eftermiddag på kontoret.

Sådan er det ikke nu. Center for Cybersikkerhed er en trussel med deres ønsker om overvågning af net og trafik. En trussel mod at mine mails uforstyrret kan nå deres destination og at mine web-interesser kan forblive mine egne (og Googles, naturligvis). Og de informationer, Centret samler sammen forsvinder i .....?

Jeg er gammel nok til at tro, at politiet er min ven - det samme kan jeg ikke sige om Forsvarets efterretningstjeneste.

  • 13
  • 0
Hans Nielsen

"Et lille vandværk et eller andet sted er jo nok ikke samfundskritisk på den måde" - Han får nok ikke selv vand fra et lille vandværk.

"Man kan jo ikke forestille sig en myndighed, der har ansvar for alle it-systemer i hele landet"

Hvad er det så de prøver at lave med den nye lovgivning og sorte bokse.
Er det så bare overvågning, af borger og ikke sikkerhed ?

  • 5
  • 0
Bjarne Nielsen

Jeg er helt enig i, at for samfundet er strømforsyning i København og funktionen af Dankortet vigtigere end vandforsyningen på Langeland. Men for borgerne på Langeland er der nu ikke stor forskel!

Mja, det er CHFs aktuelle opfattelse af, hvordan loven skal forstås. Men spørgsmålet er dels hvor længe han får lov til at definere grænserne, og dels hvad der vil ske, når virkeligheden og dagligdagen indtræffer.

Lad mig genfortælle en historie, som jeg hørte i radioen: Folketinget skulle have overvågningskameraer, fordi "aktuelt trusselbilledet" og "sikkerhed" og "vigtigt". Den første gang, hvor de kom i brug, var da en var blevet utilpas udover en stol efter en fest. Så meget for "aktuelt trusselbilledet" og "sikkerhed". Om historien er sand, skal jeg ikke kunne sige, men jeg tror på, at den sagtens kunne være det; formålsskred sker hurtigere end man regner med.

Så jeg ville være væsentlig mere tryg, hvis afgrænsningen ikke var noget, som fandtes i hovedet på en politiker, men faktisk var noget, som var skrevet ned. Gerne i lovteksten.

Indtil da tror jeg ikke at vandforsyningen på Langeland skal føle sig for sikker, hvis det viser sig opportunt at mene noget andet end det, som CHF giver udtryk for her. Jeg mener, vi har jo også en justitsminister, som vist ikke har alt for travlt med at overholde ubekvemme love, og det her er ikke engang ulovligt!

  • 4
  • 0
Troels Hansen

Sjovt nok kan jeg kun læse at han siger: bla, bla, bla, bla, bla, bla, bla, bla, bla, bla... jeg bor jo selv i København, så jeg er da ligeglad med hvad der sker med Langeland.... bla, bla, bla, bla, bla, bla.....

  • 6
  • 2
Dave Pencroof

Så længe kun et LILLE mindretal råber op, med bevidstheden om hvor "1984" det her kan blive, så kan FT, i stil med Admiral Nelson, sætte hørerøret til de mange døve øren. Et hvert forsøg på at råbe masserne op, ender i "det har intet med mig at gøre !"/"kan ikke gøre noget alligevel !"/"Jeg har intet at skjule !" og mange flere ansvarsfralæggende dumheds reaktioner. Næhh, her er det mig-mig-mig, se hvor jeg stråler på de sociale medier og mine MANGE venner der elsker mig, bwadr !

Hav en vidunderlig søndag, jeg er heldigvis så gl at, jeg forhåbentligt snart ...... !

  • 1
  • 0
Henrik Schack

Underligt Claus Hjort helt afviser at anvende straf for dårlig sikkerhed.
Nogle gode solide bøder eller fyringer ville uden tvivl have en effekt.
At appellere til sund fornuft kan vi vel efterhånden godt sige har spillet fallit?

  • 2
  • 0
Niels C Nielsen

Der er noget forkert ved at straffe dårlig sikkerhed, al den tid der ikke er klare og let tilgængelige mål for god sikkerhed.

Hvilke klare og bindende bestemmelser findes herom fra statens side, bortset fra sikkerhedsbekendtgørelsen (BEK528/2000, ophævet med GDPR og Databeskyttelsesloven) og kravet om, at statslige virksomheder fra ultimo 2015 skal følge ISO 27001? Der er kommet gode anbefalinger fra Center for Cybersikkerhed, Datatilsynet og Digitaliseringsstyrelsen, men som netop anbefalinger har de måske ikke den fornødne vægt.

Andre lande pålægger sine offentlige myndigheder at implementere specifikke sikkerhedstiltag som DMARC p=reject og HTTPS, samt opstiller frister for patchning/mitigering af kritiske sårbarheder. Bevares, overholdelse kan ses som Compliance, men det sætter officielt barren og højner sikkerheden på konkrete områder.

  • 0
  • 0
Gert Madsen

Der er noget forkert ved at straffe dårlig sikkerhed, al den tid der ikke er klare og let tilgængelige mål for god sikkerhed.


Hold nu op.
Hvis man tiltræder en stilling, hvor man påtager sig ansvar for danskernes følsomme data, så bør det selvfølgeligt være strafbart at sende en ukrypteret skive ud af huset, som i sundhedsdatastyrelsens tilfælde. Med mindre man har gjort opmærksom på ved ansættelsen, at man er totalt blank på området. Og så er der nogle departementschefer, som skal under luppen.
Man kan heller ikke være regnskabschef, og undskylde sig med, at man ikke kender regnskabsloven.

  • 0
  • 1
Thomas Hedberg

"Et lille vandværk et eller andet sted er jo nok ikke samfundskritisk på den måde"

Vi lever ikke i en isoleret verden og folk kommunikerer via sociale medier. Angrebs mønstrerne viser normalt at man går efter hele brancher og kommer man ind et sted vil man formodentligt kunne ramme flere samtidigt.

Når det så er 4-5 vandværker eller måske bare rygtet om at flere er ramt, vil befolkningen måske miste tilliden til, at man kan drikke vandet i hanen. Derefter kan der hurtigt opstå panik-agtige tilstande når folk går "gær-amok" og alle fylder indkøbsvognen samtidigt.

De fleste supermarkederne kører med en "just-in-time" model hvor de ikke har overvælgende lagre, så de vil ikke kunne følge med og tomme hylder vil kunne bidrage til panikken.

  • 1
  • 0
Log ind eller Opret konto for at kommentere