LEDER Sløve myndigheder gambler med Danmarks it-sikkerhed

17. marts kl. 05:005
leder, ingeniøren mener, lederlogo
Illustration: Ingeniøren.
Artiklen er ældre end 30 dage

I årevis har Danmark brugt digitaliseringen som pakæsel for vores ambition om at blive mere effektive. På landets kontorer er journaler og mapper skiftet ud med computere, varme hænder er erstattet af en app, og logistikken er nu et samarbejde mellem menneske og maskine.

Men i iveren efter med lynets hast at imple­mentere nye, smarte løsninger har mange myndigheder og virksomheder vendt det blinde øje til sikkerheden. Den måtte vente, imens vi digitaliserede videre. Konsekvensen er, at vores smartsamfund står tilbage som et skrøbeligt net af systemer, som kinesiske og russiske hackere kigger på med voksende interesse.

Som Rigsrevisionen har afsløret, mangler der basal it-sikkerhed omkring samfundskritiske it-systemer i en række ministerier, og ifølge Center for Cybersikkerhed er truslen fra cyberspionage og cyberkriminalitet mod Danmark meget høj.

Situationens alvor illustreres tydeligt af en stribe hackerangreb på flere danske universiteter, SAS og Nationalbanken for at nævne nogle stykker, der i det seneste år har fået sveden til at pible frem på panden hos alle, der arbejder med samfundskritisk it-infrastruktur.

Artiklen fortsætter efter annoncen

Når virksomhederne ikke af sig selv strammer op på sikkerheden, må EU svinge pisken. Politikerne i Bruxelles nåede lige at sende it-sikkerhedsdirektivet NIS2 mod Danmark inden det nye år, og så begyndte nedtællingen. Om cirka 18 måneder vanker der bøder på op mod 10 millioner euro til virksomheder og myndigheder, der ikke lever op til direktivets it-sikkerhedskrav om eksempelvis multifaktorgodkendelse, cybersikkerhedstræning af medarbejdere og risikovurdering af it-systemer.

Især små virksomheder er tilbageholdende med at øge it-sikkerhedsbudgettet med de cirka 22 procent, som EU-Kommissionen estimerer bliver skæbnen for NIS2-omfattede organisationer.

Det er dog mere end tvivlsomt, om danske virksomheder bliver klar til den deadline. Ifølge flere danske erhvervsorganisationer er store dele af dansk erhvervsliv end ikke gået i gang med NIS2-arbejdet, fordi der stadig er usikkerhed om, hvem der ender med at være omfattet.

Afklaringen skal komme fra Forsvarsministeriet, der har fået det koordinerende ansvar for at integrere direktivet i Danmark. En af de opgaver, som følger med, er at udarbejde en liste til EU-Kommissionen over alle de danske organisationer, som i august 2024 bliver underlagt NIS2.

Artiklen fortsætter efter annoncen

Det arbejde er ministeriet dog ikke nået særlig langt med. Ministeriet kan ikke engang fortælle, hvornår embedsmændene regner med at have listen klar, og det er svært at se, hvordan regeringens fodslæbende tilgang hænger sammen med den massive cybertrussel mod Danmark og andre europæiske lande, som direktivets krav skal adressere. Det her er ikke for sjov.

Når der overhovedet er brug for regulering, skyldes det, at virksomhederne øjensynligt ikke investerer i it-sikkerhed, hvis de ikke bliver bedt om det. Den manglende vejledning fra de danske myndigheder kan således komme til at betyde, at virksomhederne kommer alt for sent i gang med NIS2-arbejdet, og historien lærer os, at det kan betyde kaotiske tilstande.

Tænk blot tilbage på GDPR-eksemplet fra 2018, hvor dansk lov og vejledninger kom i allersidste øjeblik inden deadline. Desperate virksomheder med penge på kontoen havde støvsuget markedet for juridiske ressourcer i flere måneder, og så sad små og mellemstore virksomheder tilbage med ukonkrete vejledninger om et kompliceret emne. Det må ikke gentage sig med NIS2.

Hvert sekund tæller, når det handler om at få strammet op på it-sikkerheden i vores kritiske infrastruktur, og danske myndigheders nøleri med at implementere EU-kravene i national lovgivning risikerer at blive en sovepude for virksomheder, der er bange for at bruge flere penge på it-sikkerhed, end de er nødt til.

Beskeden fra juridiske eksperter, sikkerhedsfolk, erhvervsorganisationer og Morten Løkkegaard, der er europaparlamentariker og topforhandler på NIS2, lyder, at man som virksomhed skal komme i gang med it-sikkerhedsarbejdet lige nu. Uanset om man er usikker på, hvorvidt man ender med at være omfattet af de nye EU-krav eller ej.

Da EU’s parter vedtog direktivet, slog Margrethe Vestager, næstformand for EU-Kommissionen, fast fra talerstolen i Europa-Parlamentet, at det fælles ansvar skal løftes nu:

»Vi er nødt til allerede nu at fremskynde dets (NIS2’s, red.) fordele frivilligt så meget som muligt, for de folk, der angriber os, venter ikke på at direktivet bliver gennemført, hvis de overhovedet forstår eller anerkender den juridiske tekst. Så vi er nødt til at handle så hurtigt som muligt.«

Det udsagn er svært at være uenig i. Regeringen er nødt til at rubbe neglene og øge sit fokus på it-sikkerhed, og Forsvarsministeriet skal meget hurtigt få gjort kravene i NIS2-direktivet til konkret dansk lovgivning. Men virksomhederne må ikke vente på politikerne. Sørg nu for, at din virksomhed er sikret, før hackerne i sidste ende også finder dig.

/ADF

5 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
5
30. marts kl. 11:55

Nogen er endelig begyndt at lytte:https://www.version2.dk/artikel/elon-musk-steve-wozniak-og-tusind-andre-i-faelles-opraab-saet-de-gigantiske-ai

Det har hele tiden været bagstræberisk at insistere på hovedløs digitalisering. Det er at være stivnet i et forældet tankesæt, Brian Mikkelsen, KL, DareDisrupt m. fl. Diverse signaturprojekter er forældet - eller i hvert fald ikke gennemtænkt - teknologi. Dødsejlere. Begynd at tænke i andre baner.

4
20. marts kl. 16:03

Men de, der ejer samfundskritik it-infrastruktur, ved det vel godt selv? Jeg er ikke så sikker på, at de sidder og venter på, at forsvarsministeriet også fortæller dem det. Måske misforstår jeg lederen.

2
18. marts kl. 11:47

Kloge ord i debatindlæg i Politiken i dag:

"»Den danske regering har sådan set selv erkendt, at mange afdelinger ikke evner opgaverne selv, fordi de ikke har kontrol over den digitale infrastruktur. Danmark har haft succes med en omfattende digitalisering af samfundet, men det har også haft konsekvenser; for at ændre i infrastrukturen, når der opstår nye behov, er man blevet afhængig af eksterne udbydere og konsulenter«. Og hvilke konsekvenser har det? »For at citere en interviewperson fra bogen, så er man nogle steder nået til et punkt, hvor det er it, der dikterer, hvad politikerne kan gøre – og ikke omvendt. Og det beskriver meget godt, hvad privatisering og outsourcing af kritisk it-infrastruktur har af konsekvenser. Man outsourcer ikke bare driften, men også kontrollen med den«."https://politiken.dk/debat/art9258001/Private-konsulenters-indtog-i-regeringskontorerne-udfordrer-demokratiet

3
18. marts kl. 12:22

Nej, det er noget ideologisk vrøvl.

Det offentlige skal naturligvis beholde kontrollen over sin it-struktur, men problemet er ikke om man anvender eksterne konsulenter eller ej, men at man for dårlige til at forhandle kontrakterne, og man ikke er villige til at betale prisen, så man biholder kontrollen.

Omfanget af brugen af private konsulenter kan man altid diskuterer, men det rent praktisk burde man have nok fast ansatte til at løse de normale opgaver, og supplerer med private konsulenter ved spidsbelastninger.

Desværre har der fra politisk hold gennem tiderne været en "strudse"-politik, hvor man har talt hoveder i stedet for omkostninger, og kombineret med en lønpolitik som gør det svært at fastholde specialister, er der givetvis en skæv fordeling.

Og inden den sædvanlige sang om et "offentlig konsulent hus" fra KK dukker op: Det gør ikke den mindste forskel - hverken på kvalitet eller pris.

1
17. marts kl. 06:22

Nogen har, på trods af utallige advarsler, hovedet-under-armen-digitaliseret Danmark hen over hovedet og under fødderne på befolkningen, og nu står vi med håret i postkassen. Det er i mine øjne en form for landsforræderi (ikke en juridisk, men en moralsk vurdering), for man har på den måde - igen på trods af utallige advarsler - lagt landet mere eller mindre åbent for fjenden.

Nogen har - tilsigtet eller utilsigtet, men i hvert fald ikke uvidende - gamblet med landets sikkerhed. Hvorfor? Personlig vinding? Politiske dagsordener? En 5.kolonne/trojansk hest for fjenden? Konsekvensen er i hvert fald, at man har hjulpet fjenden. Og man gør det tilsyneladende stadig - med vidt åbne øjne. Hvem er det, som har taget de afgørende beslutninger om at ignorere Danmarks sikkerhed på BigTech's betingelser?

Tiden må i hvert fald nu være inde til det digitaliseringsmoratorium, man skulle have taget for år tilbage. Ikke flere nye prestige- og pengepugerprojekter, al energi må sættes ind på at rette op på de projekter, som allerede er ude i tovene. Digitaliseringsråd, IT-ministerier o.l. må koncentrere sig om at få styr på skuden, inden den skydes i sænk af fjenden. Alt andet vil være grov, grov forsømmelighed.