Denne kronik er oprindeligt udgivet 14/2-2020. Vi genudgiver den i lyset af den aktuelle situation.
Danmark er det 4. mest digitaliserede land i EU og verden jf. netop offentliggjorte rapporter fra EU-kommissionen (DESI 2019) og IMD World Digital Competiveness rankning.
Det betyder med andre ord, at vi i både den private og offentlige sektor har en særdeles høj internetpenetrering, ligesom den digitale transformation er omsat ambitiøst i Danmark.
Her har både den tidligere og nuværende regering været enige om, at den digitale transformation skal udnyttes positivt af de danske virksomheder og offentlige myndigheder til at skabe nye virksomheder, produkter, software og processer samt øge innovation og forskning til gavn for konkurrenceevne og arbejdspladser.
Teknologien og den digitale udvikling skaber helt nye muligheder for at gentænke og styrke velfærdsstaten. Det har den offentlige sektor i Danmark historisk set været dygtig til at udnytte, og det skal vi fortsat gøre.
Opgaven er at finde en balance, hvor vi både udnytter de mange nye digitale muligheder og samtidig sikrer, at borgerne kan have tillid til myndighedernes og virksomhedernes indsamling og anvendelse af deres data.
Internetkriminalitet stigende
Kriminaliteten på Internettet er desværre stærkt stigende i både omfang og sofistikering og består for langt hovedpartens vedkommende af profit orienteret kriminalitet, hvor kriminelle organisationer stjæler penge, informationer, digitale identiteter, passwords, kreditkort og virksomheder afpresses via såkaldte DDoS angreb eller Ransomware, der har ramt både Maersk, Norsk Hydro og Demant m.fl.
Der er naturligvis også aktivitet i cyberspace fra statslige aktører som fx Rusland, Kina, Iran og andre som primært søger at finde sårbarheder i det nationale forsvar i forbindelse med forberedelse til væbnede konflikter eller subversive formål.
Hvor de kriminelle har alle offentlige eller private virksomheder eller privatpersoner som mål, så har nationalstater interesse i en mindre del af denne målgruppe – nemlig den som kan karakteriseres som kritisk national infrastruktur.
Cybersecurity Ventures har estimeret at udgifter relateret til cyber kriminalitet ville ramme 6 milliader USD i 2021 og Gartner forudser at de direkte udgifter til cyber beskyttelse globalt vil nå 133,7 milliarder USD i 2022.
Langt de fleste cyber angreb er motiveret af profit – nemlig 81 % estimeret af Verizon som også bemærker at SMV – små og mindre store virksomheder – er udsat for 43 % af alle gennemførte sikkerhedsbrud ligesom de er de største modtagere af såkaldte ’phishing mails’ indeholdende malware.
Mange har haft en tendens til at tænke, at bl.a. netsvindel handler om at vi selv er kommet til at kvaje os, har trykket på et link eller gjort noget forkert. Og ofte peges fingre hen mod brugerne, som de formastelige.
Men de store altoverskyggende problemer er svindel, kompromitteringer, spionage og datalæk, som retfærdighedsvist ikke kan påduttes den almindelige bruger af de mange ofte tvugne digitaliserede løsninger.
Marked for informationer
Vi mangler i den forbindelse at diskutere den form for nye muligheder og kriminalitet som Internettet også har potentiale til at levere når alt bliver forbundet til Internettet, når alt har en sensor, når alt bliver lagret og alt bliver bearbejdet af Artificial Intelligence og Machine Learning.
Når Internettet ved hvem vi er, hvad vi stemmer på, hvor vi bor, hvor vi arbejder, hvad vi kan lide og ikke lide, hvor vi er, hvad vi læser, hvad vi ser, hvad vi abonnerer på, køber, fotograferer, hvem vi taler med, sender beskeder til – så opstår der et marked for køb/salg af disse informationer, metadata samt ansigtsgenkendelses data som kan føre til målrettet indsats mod identificerede målgrupper.
Det skaber en række udfordringer, som vi pt. ikke er begyndt at bearbejde, men som teoretisk kan have indflydelse på danskernes holdninger, opfattelse, politiske ståsted mv – man kan måske i fremtiden ’hacke’ vores demokrati.
Og som historien hidtil har vist, så begås disse tiltag ofte af ’vore egne’ kapitalistiske virksomheder, som sælger vores data til højestbydende og som herefter stiller sig til rådighed, som vi så med Cambridge Analytica og som stadigt markedsføres af en lang række vestlige virksomheder og selskaber.
Den offentlige debat har været præget af, at man har italesat at FE’s Center for Cybersikkerhed (CfCS) er det nationale center som hjælper alle danske private og offentlige virksomheder mod kriminalitet i cyberspace.
Efter denne debat og forskellige nye lovinitiativer fremstår CfCS som den danske autoritet på cyberområdet og medarbejdere fra centret optræder i forskellige sammenhænge og på konferencer, hvor de udlægger teksten som dem med det nationale cyber ansvar. Men det er et falsum!
Tobias Liebetrau , Ph.d, Center for Militære Studier, Københavns Universitet, har bl.a. skrevet:
»Det er ikke uden grund, at cybertruslen i dag regnes for en af de absolut største trusler mod Danmark, hvis ikke den største. Den opfattelse gælder både i et nationalt sikkerhedspolitisk perspektiv såvel som i det danske erhvervsliv. Cybertruslen udfordrer på den måde en række af de traditionelle skillelinjer, som vi normalt bruger til at indrette vores samfund og sikkerhedspolitik efter, herunder skellet mellem offentlig og privat. Statens og forsvarets historiske monopol på den nationale sikkerhed er kraftigt udfordret på cyberområdet. Det skyldes dels, at truslen går på tværs af mange af de skillelinjer, som vi normalt organiserer rigets sikkerhed på baggrund af, dels at hovedparten af den kritiske (informations) infrastruktur er privat ejet og drevet.«
Hvem passer på Danmark?
Så CfCS passer på noget af Danmark – en vigtig del, og det er et godt og nødvendigt skridt i den rigtige retning.
Men hvem passer på og hjælper de 99,7 % af danske virksomheder og indbyggere, som ikke efterstræbes af russiske FSB og kinesiske PLA? Dem som er mål for den stigende organiserede profit motiverede kriminalitet som udgør langt den største trussel mod danske virksomheder – store som små – og alle 5,5 millioner danskere.
Hvor går de hen? Hvem ringer de til? Hvor får de råd og dåd, der passer til det trusselsniveau og den risiko de er udsat for?
De udgør jo rygraden i det danske samfund og den del som skal være med til at gøre den digitale transformation til en dansk succes med innovation, start ups og en indbygget sikkerheds- og databeskyttelsesprofil der gør os attraktive globalt og kan starte et virksomhedseventyr, som det vi har set med grøn energi, vindmøller mv.
Ved at influere den offentlige debat med historier om at al cyber kriminalitet kan henføres til fjendtlige nationale stater er det lykkedes at afspore debatten og vi har misset chancen for at opbygge et nationalt, horisontalt og holistisk center der skulle have til opgave primært at beskytte os mod den største del af cyber kriminaliteten samt koordinere den indsats som er iværksat ved knopskydning overalt i den danske centraladministration.
Endnu et cybersikkerhedsråd
For at føje spot til skade har man netop etableret endnu et cybersikkerhedsråd, som er ikke mindre end det 18. i rækken af offentlige instanser, der har til opgave i en eller anden grad at højne it- og datasikkerhed i Danmark for offentlige midler.
I bladet Ingeniørens leder dateret den 13. december 2019 står der: ”Nu kommer det 18. it-sikkerhedsorgan: Spredt fægtning i Danmarks it-forsvar”. Der konkluderes:
»Derfor duer det ikke, at indsatsen mod angrebsivrige kriminelle, der både vil rane vores penge og industrielle ideer, er for svag og ukoordineret - og at for mange enheder parallelt udøver de samme opgaver….«
Og der fortsættes:
»Uanset hvilken afkrog man kigger i, er vi truet af cyberangreb. I dag fremstår beredskabet så fragmenteret og grotesk ukoordineret, at de kriminelle utvivlsomt griner af vores organisering. De ryster i hvert fald ikke i bukserne.«
Bureaukratisk set-up
I Danmark valgte man i 2012, da situationen var en ganske anden, at det overordnede ansvar for sikring af vores samfund blev lagt i hænderne på Center for Cybersikkerhed under Forsvarets Efterretningstjeneste, som generelt er kendetegnet ved lukkethed.
Og man har nu opbygget et gigantisk bureaukratisk set-up med en militær myndighed - Forsvarets Efterretningstjeneste - som en 'edderkop i spindelvævet', der samler både militær og civil information og data såvel indenfor som udenfor rigets grænser. Vel at mærke uden de sædvanlige mekanismer. love og forvaltningsregler, der er gældende for landets øvrige myndigheder.
Ved at placere opgaven under en efterretningstjeneste har man samtidigt begrænset muligheden for transparens og demokratisk kontrol over et område, der i den grad fortjener offentlighed.
Det ligger ikke i en efterretningstjenestes DNA at være åbne. Sådan er det bare og sådan må det nødvendigvis være. Det giver for så vidt god mening at vi har en efterretningstjeneste, der arbejder i det skjulte, men vi har også brug for viden og indsigt fra den civile verden, der kan gå sammen om at løse de opgaver, der kan og skal foregå i det åbne, herunder 'Early warning', her og nu (real time) vidensdeling om igangværende angreb og igangsættelse af modforanstaltninger.
Ganske lidt har med alvorlige cyberangreb der truer landets eksistens, mens hovedparten vedrører cyberkriminalitet, som i lang større grad berører den enkelte borger og samfundet som helhed.
Andre løsninger
Men giver det ikke god mening, at det arbejde, der skal sikre den danske IT-infrastruktur mod angreb fra fremmede stater, foregår bag lukkede døre? Kan der med rette spørges.
Er det tilfældet, så kan man vel bare argumentere for, at efterretningstjenesten udelukkende skulle, lige som i andre lande, tage sig af denne opgave og ikke beskyttelse af al offentlig IT,og så dele det der kan deles, ligesom i dag.
Derfor er der brug for andre løsninger end de foreliggende, der muliggør, at befolkningen kan føle sig tryg og inddrages i kampen mod de kræfter, der vil os det ondt. Inddragelse af alle grene af samfundet er nødvendigt fordi hovedparten af angrebene, ca. 90%, er rettet mod den enkelte borger og de systemer som deres personfølsomme oplysninger ligger (tvangs) oplagret i.
Næsten dagligt kan man læse om de mange sikkerhedshændelser, læk og fejl, som befolkningen, virksomheder og institutioner udsættes for.
Angreb som dag for dag er med til at undergrave befolkningens tillid. Og i værste fald kan betyde en undergravning af tilliden til vores myndigheder og institutioner og dermed nedsætte vores overlevelsesevne og ultimativt true og afskaffe demokratiet, som vi kender det.
Dirigent mangles
Den største udfordring er fraværet af en samlende og koordinerende instans, der kan bringe alle relevante aktører til at arbejde sammen, ligesom en dirigent, der evner at få et stort orkester til at spille harmonisk sammen.
Udgangspunktet for etableringen af Center for Cybersikkerhed i 2012 var frygten for, at fremmede magter skulle undergraver det danske samfund igennem et velorkestreret cyberangreb eller spionage mod myndigheder og virksomheder.
Tiden er nu en anden og der bør findes andre muligheder og løsninger på at sikre Danmark bedre. Som det ser ud nu passes der ikke godt nok på Danmark og dets befolkning.
Danmark bør lade sig inspirere af udlandet. Imødegåelsen af cyberkriminaliteten forudsætter en langt bredere og samfundsforankret indsats og kompetencer, end det, Center for Cybersikkerhed kan præstere og ønsker at bidrage til. Her kunne man med fordel inddrage de erfaringer, der blandt andet er høstet i Israel.
Det israelske cyberforsvar startede også under efterretningstjenesten, men i erkendelse af, at det ikke var den rette placering, blev det samlede ansvar overdraget til en nyoprettet civil myndighed placeret direkte under den israelske statsministers kontor. Den civile myndighed hedder: National Cyber Directorate og er en del af Prime Ministers Office.
Myndigheden har formået at samle alle gode kræfter under én hat, så både civile og militære trækker på samme hammel. Og det virker.
De arbejder tæt sammen med både politi og den interne og eksterne efterretningstjeneste, men har et civilt fokus som skal øge det israelske samfunds modstandskraft overfor internet baseret kriminalitet, øge awareness, vidensdele og stimulere forskning, innovation og start-ups.
Civil ramme?
I erkendelse af at den eksisterende måde at organisere sig på i Danmark ikke virker, skal der findes andre og bedre løsninger tilrettet vores forvaltningskultur og andre hensyn, og det haster.
Udfordringen er fraværet af en overordnet samlende og koordinerende instans, der kan bringe alle relevante aktører til at arbejde sammen. Og den opgave kan ikke overlades til en militær efterretningstjeneste. Det har man erkendt i Israel, der på mange områder er sammenligneligt med Danmark.
Hvorfor lærer vi ikke at de israelske erfaringer, der har fastslået at cybersikkerhed er et bredt samfundsanliggende, der ikke kan forvaltes af en efterretningstjeneste. Der skal passes bedre på Danmark.
Første skridt kunne være, at vi får afdækket om præmisserne for den politiske beslutning om at placere det samlede ansvar for området under Forsvarets Efterretningstjeneste fortsat holder vand eller om der ikke nærmere er behov for, at placerer ansvaret for den overordnede koordination af området i en civil ramme på højeste niveau i centraladministrationen.
Statsministeriet skal ind i kampen, så alle kræfter kan forenes om opgaven. Cybersikkerhed er et anliggende for os alle. Og, nej, der passes ikke godt nok på Danmark. Det kan og skal gøres meget bedre.
Fælles international interesse
Derudover skal Danmark også være i stand til at samarbejde bedre internationalt. Der er ingen nationer, der har interesse i at lade cyberkriminelle berige sig ved kriminel aktivitet.
Alle nationer, herunder USA, Rusland, Kina og EU-landende har en fælles interesse i, at pengestrømme og samhandel forløber effektivt og uden problemer.
Denne målsætning opnås kun ved internationalt samarbejde, og det skal naturligvis forestås af en instans og organisation, der kan sikre dette.
Det er ikke for sent, men det haster med at finde løsninger, der kan sørge for at der passes bedre på Danmark, end tilfældet er i dag.
Hvis det blev gjort efter grundigt forarbejde så ville grundlaget for en positiv og profitabel digital transformation af Danmark være lagt samtidig med at vi sikrede Danmark bedst muligt til at modstå de digitale risici og angreb der rammer alle på nettet - men hvor de, der er bedst sikret, har den største mulighed for overlevelse og succes.
Svaret er enkelt.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.