Forsvarsminister afviser at straffe dårlig it-sikkerhed med bøder
Kommuner, offentlige myndigheder eller organisationer, der varetager opgaver vedrørende kritisk infrastruktur, skal ikke være nervøse for at modtage bøder eller andre sanktioner i tilfælde af, at der ikke har været styr på it-sikkerhed i forbindelse med et hackerangreb.
Sådan lød meldingen fra forsvarsminister Claus Hjort Frederiksen (V), der var blandt torsdagens oplægsholdere på it-sikkerhedsmessen Infosecurity i København, som Version2 er medarrangør af. Ministeren benyttede lejligheden til at tale om den stigende sikkerhedstrussel overfor blandt andet den offentlige sektor.
I den forbindelse fremhævede han med henvisning til Wannacry-angrebet i 2017, at det er statens opgave at udstikke de generelle rammer for cybersikkerhed, men at det endelige ansvar for at sikre sig mod sikkerhedsbrister eller angreb dog ligger hos den enkelte myndighed, kommune eller virksomhed
»Wannacry-angrebet afslørede, at man specielt i Region Midtjylland havde forældede it-systemer, hvor leverandøren havde opsagt vedligeholdelsen af systemerne, fordi de var så gamle. Der burde jo være en lille klokke, som ringede hos de ansvarlige der, når man ikke længere kunne få service på systemet,« sagde forsvarsministeren.
På trods af det mente ministeren ikke, at det er på sin plads at sanktionere eksempelvis kommuner, regioner eller selskaber med ansvar for kritisk infrastruktur, hvis de - som følge af
dårlig it-sikkerhed - bliver udsat for cyberangreb.
»Jeg tror, at man i første omgang skal starte med, at vi alle sammen bliver bevidste om farerne. For vores samfundskritiske sektorer er der lavet et rigtig godt arbejde. Jeg tror, at man skal være varsom med at rende rundt og dele bøder ud på det her område,« sagde han.
Han erkendte dog, at det kan diskuteres, hvad der skal gøres ved virksomheder, der bevidst lader være med at beskytte sig.
»Det kunne være, at der var en eller anden udenlandsk kapitalfond, der havde købt en virksomhed, som de ville sælge om to år, og derfor ville de ikke ofre formuer på it-sikkerhed, fordi de bare skulle af med dem igen,« sagde Claus Hjort Frederiksen under oplægget.
Langeland kan undværes
Under oplægget kom forsvarsministeren også ind på arbejdet med at definere, hvilke konkrete selskaber der skal defineres til at have ansvar for samfundskritisk infrastruktur i sektorerne for sundhed, finans, tele, søfart, transport og energi.
Her pointerede ministeren, at dette definitionsarbejde endnu ikke var færdigt i dag, hvorefter han fremhævede følgende overvejelser:
»Det er klart, hvis Langelands Kommune blive angrebet, så kan man nok ikke sige, at det er vitalt for hele Danmark. Selvom vi skal kunne beskytte den slags ting, så er vi altså oppe i nogle ret vigtige kategorier. Elforsyningen i København og Dankortet er ret vitalt for samfundet. Et lille vandværk et eller andet sted er jo nok ikke samfundskritisk på den måde,« sagde han.
Forsvarsministeren understregede ved oplægget, at man er nødt til at arbejde med spørgsmålet om kritisk infrastruktur på en måde, hvor man holder øje med, hvilke problemer der dukker op. Derudover er der ifølge ham ikke noget alternativ til det nuværende bærende princip i den danske cybersikkerhedspolitik, nemlig sektoransvaret:
»Der er ikke noget alternativ til sektoransvaret. Man kan jo ikke forestille sig en myndighed, der har ansvar for alle it-systemer i hele landet. Derfor ligger ansvaret hos den enkelte virksomhed, kommune eller region, og det er vi nødt til at holde fast i,« sagde Claus Hjort Frederiksen under oplægget.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.