25 procent af dem, der har it-sikkerhed som primær beskæftigelse, mener, at rådgivningen fra Center for Cybersikkerhed f.eks. i forbindelse med hændelser som Meltdown, Spectre, Wannacry og Petya er dårlig eller meget dårlig - og knap halvdelen kan ikke sige den er god.
Det viser en undersøgelse, som Version2 har foretaget blandt 555 it-professionelle.
Det relativt sløje resultat kan skyldes, at CFCS' rådgivning ikke er anvendelig nok - og kommer for sent, vurderer John Foley, der er tidligere sikkerhedsofficer og stifter af den uafhængige rådgivnings- og it-sikkerhedsvirksomhed COPITS.
»Desværre kommer resultatet af undersøgelsen ikke som en overraskelse, idet Center for Cybersikkerhed i de snart 6 år de har eksisteret, kun i ringe grad har leveret brugbare informationer eller rådgivning til befolkningen og de it-sikkerhedsprofessionelle og samfundet som helhed. De få anbefalinger og rådgivning samt opfølgning med informationer på cyberangreb har været meget sporadiske, generelle - grænsende til det ubrugelige - og intetsigende samt alt for sent publiceret,« siger han.
Andre instanser - private - har måtte påtage sig disse opgaver, til trods for at CFCS har fået alle pengene og ressourcerne, uden at levere varen, tilføjer han.
Version2s undersøgelse viser også, at 34 procent af dem med it-sikkerhed som primær beskæftigelse oplever brancheorganisationer og/eller private netværks vejledning om sikkerhedshændelser som god eller meget god.
John Foley peger også på, at CFCS ikke har formået at opdatere den nationale strategi for cybersikkerhed, som ellers var lovet senest i 2016.
»Forsvarsministeriets og FE's næsten dagligt gentagne advarsler om, hvor stor cybertruslen er, klinger derfor hult, idet disse instanser ikke har formået at udføre det arbejde de primært er sat til at udføre,« siger John Foley.
Opgaven med beskyttelse af kritisk infrastruktur halter
Yderligere har Forsvaret, FE og CFCS heller ikke formået at definere, identificere, indkredse eller prioritere beskyttelsen af Danmarks samfundskritiske informationsinfrastruktur, mener John Foley.
Undersøgelsen er foretaget blandt brugere, der arbejder med it-sikkerhed, i Version2's brugerdatabase. Blandt respondenterne er der repræsentanter fra både den offentlige og den private sektor. Hovedparten af respondenterne har angivet, at de har it-sikkerhed som primær beskæftigelse. Antallet af respondenter i undersøgelsen er 555Om undersøgelsen:
»I samtlige FE's og CFCS's risiko- og trusselvurderinger står der at beskyttelsen af kritisk infrastruktur, er en af deres vigtigste opgaver som tjensten skal varetage. Alligevel er Danmark en af de få og eneste lande, der endnu ikke har formået at gøre dette arbejde færdigt. «
»Så konklusionen må være: CFCS og FE har sovet i timen og ikke leveret varen, det viser undersøgelsen og den kendsgerning, at de ikke har formået at udføre pålagte opgaver i alle de år som CFCS har eksisteret. Belønningen for dårligt og ringe udført arbejde: ydeligere mange penge og ressourcer tildelt via det nye forsvarsforlig - og sandsynligvis til ingen verdens nytte.«
Center for Cybersikkerhed svarer i en e-mail til Version2, at organisationens primære fokus er på myndigheder og andre organisationer, der enten direkte eller indirekte har karakter af samfundsvigtig funktion eller infrastruktur.
»Det fremgår ikke af Version 2’ henvendelse, hvor mange af de 555 personer bag besvarelserne, der indgår i den kategori. Forhåbentlig vil tallene for de personer og organisationer se anderledes og mere entydigt positive ud, såfremt de hører inden for denne kategori,« lyder det.
»Det ændrer dog ikke ved, at grundlaget for vore varslings- og rådgivningsmæssige opgaver altid har et samfundsmæssigt perspektiv, og at vi derfor tilstræber, at så mange som muligt kan få noget brugbart ud af vore produkter.«
Med det nye forsvarsforlig samt den kommende nationale strategi for cyber- og informationssikkerhed vil der blive lagt op til en række nye initiativer, tilføjer Center for Cybersikkerhed.
»Nogle af disse vil stille nye krav til CFCS, hvilket vi hilser meget velkommen. Andre initiativer forventes i væsentlig grad at løfte cyber- og informationssikkerhedsniveauet ude i en række sektorer, hvilket er en stor og til tider kompleks opgave. Den opgave vil CFCS med sikkerhed også komme til at spille en aktiv rolle i. Det ser vi positivt på, både fordi det højner robustheden i samfundet generelt, men også fordi det vil gøre det lettere for os som national it-sikkerhedsmyndighed at dele og modtage information med relevante nationale samarbejdspartnere.«
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
