Her er regeringens plan for at forsvare Danmark mod it-angreb

Illustration: leowolfert/Bigstock
Center for Cybersikkerhed skal spille en mere aktiv rolle, når det gælder om at hjælpe myndighederne med at imødegå hackerangreb.

Med otte ministre som afsender har regeringen tirsdag fremlagt en ny strategiplan for styrkelse af it-sikkerheden i staten. Planen omfatter 27 konkrete handlingspunkter, som skal gøre myndigheder og virksomheder mindre sårbare over for it-trusler.

»Vi har de seneste år set en række sager om myndigheder og leverandører, som ikke har taget deres opgave med at opbevare danskernes data tilstrækkeligt alvorligt. Det er derfor afgørende, at vi på tværs af hele staten bliver bedre til at håndtere it-sikkerheden, både hos os selv og vores leverandører,« udtaler finansminister Bjarne Corydon ifølge en pressemeddelelse.

Udgangspunktet for it-sikkerhedsstrategien er, at ministerierne skal arbejde ud fra ISO27001-standarden, og ministerierne får til opgave at føre tilsyn med de myndigheder, der hører under ministerierne.

Det understreges, at myndighederne skal arbejde ud fra opdaterede trusselsbilleder og viden om sårbarheder. Desuden vil alle ministerier føre tilsyn med de tilhørende myndigheder ud fra et fælles koncept.

Det skal implementeres under vejledning af Digitaliseringsstyrelsen, og der bliver oprettet et videnscenter i samarbejde med Statens It, som kan rådgive om implementeringen af ISO27001, eventuelt i forenklet form.

Statens It vil også selv arbejde på at blive bedre til at håndtere trusler mod de systemer, som Statens It leverer til statslige myndigheder. Derfor skal organisationens viden om it-sikkerhed styrkes, lyder det i strategiplanen.

I det hele taget skal staten selv vide mere om it-sikkerhed. I stedet for primært at være afhængig af ekspertise fra private sikkerhedsfirmaer skal området 'suppleres med rådgivning, varsling og konkret håndtering fra statens side'.

Den opgave vil ifølge strategien kunne placeres hos Center for Cybersikkerhed, som har 'særlige forudsætninger for at varsle om konkrete trusler'.

Læs også: Center for Cybersikkerhed efter sen Shellshock-advarsel: »Ikke vores opgave at informere bredt om nye sårbarheder«

Derfor skal Center for Cybersikkerhed oprette en særlig enhed til vurdering af cybertrusler, som skal inkludere repræsentanter fra myndigheder og sektorer som eksempelvis telesektoren og energisektoren.

Center for Cybersikkerhed skal også have en særlig enhed, som skal undersøge større it-sikkerhedshændelser i den offentlige sektor. Det skal blandt andet ske for at kunne indsamle erfaringer, der kan hjælpe med at forhindre fremtidige angreb.

En af udfordringerne bliver ifølge strategiplanen at sikre de nødvendige kompetencer inden for it-sikkerhed, og derfor er et øget samarbejde om et nordisk uddannelses- og forskningsmiljø inden for området også en del af planen.

Planen omfatter også oplysningskampagner til borgere og virksomheder, og der skal også undervises i cybersikkerhed i folkeskolen. Private virksomheder skal desuden have mulighed for et frivilligt it-sikkerhedstjek.

Derudover omfatter strategien også en styrkelse af Rigspolitiets efterforskningscenter for it-kriminalitet samt udbygning af området inden for PET.

Endelig skal it-sikkerhed indgå som en del af indgåelsen af it-kontrakter mellem offentlige myndigheder og it-leverandører. Det skal blandt andet ske gennem en ny standardkontrakt, hvor it-sikkerhedsmæssige krav er specificeret.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Lasse Seidler

Center For Cybersikkerhed (CFCS) er ikke et militært anliggende, det er under Forsvarets Efterretningstjeneste (FE) som er under Forsvarsministeriet (FM) og berører ikke direkte Værnsfælles Forsvarskommando (Tidligere Forsvarskommando) andet end at de begge er underlagt FM.

  • 4
  • 5
Kristian Sørensen

Hvis man tror at ISO27001 (DS484) er en væsentlig del af en IT sikkerheds strategi.

Så skal man have sine skolepenge tilbage.

Det er en række overfladiske anbefalinger på niveau med "husk nu at låse døren til serverrummet og før regnskab med hvem der officielt har en nøgle udleveret."

Tilsammen udgør de måske 1% af det der skal til for at man kan påstå at have nogenlunde styr på sin IT sikkerhed.

  • 14
  • 0
John Foley

Strategien er tydeligvis skrevet for og af embedsværket, der i "splendid isolation" har skrevet denne såkaldte "nationale strategi", der er fuld af mangler og alene er beregnet på at tildele de offentlige myndigheder og især FE og CFCS yderligere beføjelser, der vil svække det danske demokrati og krænker privatlivets fred. Bemærk at strategien er skrevet af en meget lukket kreds af embedsfolk, der ikke har haft den ulejlighed at sende produktet i høring hos andre end sig selv. De instanser der kender virkeligheden og som alligevel skal rede trådene ud, når et alvorligt it- og cyberangreb rammer befolkningen, er end ikke blevet hørt eller involveret i skrivningen af strategien. Så en national "samlet" strategi er en misvisende titel. CSC hackersagen var et wake-up call, som afsørede, at hverken politiet eller CFCS besad kompetencer til afdækning af skandalen. Det var et civilt privat svensk It- sikkerhedsfirma, der måtte fremskaffe det nødvendige bevismateriale i Danmarkshistoriens største hackersag. Endvidere har Rigsrevisionen gang på gang dokumenteret, at det er de offentlige instanser selv, der er de værste og største "syndere" (også Forsvarsministeriet), når det drejer sig om at beskytte befolkningens personfølsomme oplysninger i deres varetægt. Det gør de simpelthen ikke godt nok og denne såkaldte strategi vil ikke afhjælpe problemet på nogen måde. Næste gang Danmark udsættes for et alvorligt angreb vil de instanser, som vi tror kan hjælpe os, stå magtesløse tilbage og må endnu engang gå til fagekspertisen i de private virksomheder for at få hjælp. Alt imens skattekronerne ruller ned i det offentliges bundløse kasse, der aldrig bliver træt af at bruges befolkningens penge til ingen verdens nytte.

  • 11
  • 1
Log ind eller Opret konto for at kommentere