Minister om forsinket it-sikkerhedsstrategi: Ambitionsniveauet var ikke tilstrækkeligt

Illustration: Nadia Fryd
Den nye nationale strategi for cybersikkerhed står til at blive mindst ni måneder forsinket. Vi har brug for tid til at indrette os efter et nyt trusselsbillede, lyder forklaringen fra innovationsminister Sophie Løhde.

I februar næste år forventer regeringen at kunne præsentere en ny national strategi for cybersikkerhed. Det sker altså cirka 14 måneder efter den foregående strategi – Danmarks første – udløb.

Der er ifølge innovationsminister Sophie Løhde flere grunde til, at strategien er forsinket.

»De store hackerangreb i foråret viste os, at ambitionsniveauet ikke var tilstrækkeligt i forhold til det aktuelle trusselsbillede,« forklarer ministeren i en mail til Version2.

Læs også: Regeringen lover 100 millioner kroner til forsinket strategi for cybersikkerhed

»Når vi har udskudt lanceringen af den nye strategi, er det fordi, vi skal indrette os efter det nye trusselsbillede og sikre os, at initiativerne rækker længere ud i fremtiden. Derfor har vi haft behov for mere tid.«

Vi har alene i år set flere eksempler på, hvordan cyberangreb truer både private virksomheder – som fx Maersk – og offentlige institutioner – som fx Forsvaret. Mener ministeren, at det er ansvarligt, at Danmark fortsat ikke har nogen strategi, som ministeren selv har understreget vigtigheden af siden december 2016?

»Det er ansvarligt, at vi har forholdt os til det nye trusselsbillede og givet os selv ekstra tid til at udarbejde en strategi, som vi er sikre på rækker ud i fremtiden. Jeg ville selvfølgelig gerne have haft en færdig strategi nu, men jeg vil hellere lancere en forsinket, god strategi end en mangelfuld strategi til tiden.«

»Det er også vigtigt at sige, at cyber- og informationssikkerhed er noget regeringen arbejder med på flere fronter. Alle ministerier arbejder kontinuerligt med sikkerheden på deres egne ressortområder. Vi har også en række initiativer i digitaliseringsstrategien fra 2016 og i den nye strategi for it-styring i staten, som har til formål at forbedre it-sikkerheden.«

Illustration: Screenshot

Tager længere tid end forventet

Ministeren har over for Berlingske bemærket, at man kunne have haft en strategi tidligere, men man ønskede i stedet at finde frem til gennemtænkte svar. Hvorfor har dette arbejde ikke fået ressourcer, så strategien både kunne komme til tiden og være gennemtænkt?

»De store hackerangreb i foråret og lige før sommerferien viste os, at vi skal vænne os til og reagere på et nyt trusselsbillede. Det var dette, jeg forholdt mig til over for Berlingske. Det nye trusselsbillede kræver, at vi tænker os grundigt om og skriver en strategi, som kan imødekomme de nye trusler. Den er vi i fuld gang med at skrive. Til selve strategien har vi også tilført ekstra ressourcer på finansloven. Derudover har vi samlet det koordinerede ansvar for strategien for informationssikkerhed i staten hos Finansministeriet.«

Læs også: Vi trykker enter - og så kører det...

Hvorfor er arbejdet ikke gået tidligere i gang jf. at regeringen altid har vidst, at den tidligere strategi ville udløbe i '16?

»Det indledende arbejde med den nye strategi gik i gang i 2016, hvor der blandt andet blev gennemført dialogmøder med både private og offentlige parter. I den ideelle verden havde vi haft en færdig strategi nu, men det er afgørende for mig, at vi tager bestik af det nye trusselsbillede og får skrevet en strategi, der giver svarene på de udfordringer, vi ser i dag. Det har taget længere tid end forventet.«

Bygger videre på første strategi

I august meddelte regeringen, at cybersikkerhedsstrategien ville få en pulje på 100 millioner kroner. De midler skal primært gå til tværgående indsatser, meddeler Sophie Løhde.

»Det vil sige indsatser, der løfter sikkerheden på tværs af den offentlige sektor og i samfundet. Det er derudover forventningen, at de enkelte myndigheder prioriterer midler til andre tiltag. Men strategien er ikke færdig endnu, og derfor er det heller ikke er afgjort, hvilke initiativer midlerne skal gå til.«

Læs også: Her er regeringens plan for at forsvare Danmark mod it-angreb

I skriver, at den nye strategi bygger videre fra strategien 2015-2016. Er der foretaget en opsamling af erfaringer fra strategien for '15-'16? Er målene i første strategi blevet nået?

»Ja, der er gennemført en evaluering af den tidligere strategi. Det væsentligste resultat er, at strategien har skabt fundamentet for det arbejde, vi er i gang med i den nye strategi.«

Version2 arbejder på at få adgang til den omtalte evaluering.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

Godt interview om vigtigt emne. Held og lykke med aktindsigten, jeg forudser en lang, sej kamp.

Når strategien ikke er klar før om mange måneder, så sætter man vel store og kontroversielle projekter som det Nationale Genom Center på hold, indtil man kan leve op til løfterne om god sikkerhed? Hvilket jo også indbefatter, at den udarbejdede nye, gode strategi når at blive implementeret i så høj grad, at sikkerheden i det offentlige går fra "ringe" til "perfekt"? For det må være et minimumskrav (sammen med flere andre minimumskrav, såsom samtykke), når man vil indsamle og bearbejde (= forske i) danskernes inderste genomsjæl.

Det er et stort projekt i sig selv at gøre sikkerheden på vitale samfundsområder perfekt, og man bør selvfølgelig koncentrere sig om de mest presserende områder først: Elforsyning, sygehusvæsen, kommunikationsmidler, forsvar osv. osv. Et genomcenter er ikke vital infrastruktur - det hører ikke under "need to have", men under "nice to have" (for nogen, ikke for alle).

Men hvad er det, der står imellem linjerne i ministerens svar?

"De store hackerangreb i foråret viste os, at ambitionsniveauet ikke var tilstrækkeligt i forhold til det aktuelle trusselsbillede,"
Vil det sige, at ambitionsniveauet ikke var tilstrækkeligt, eller står der mellem linjerne, at man (som sædvanligt) ikke rigtigt var kommet i gang med at udarbejde og implementere det? At det som sædvanligt var sidste prioritet?

"»Det er ansvarligt, at vi har forholdt os til det nye trusselsbillede og givet os selv ekstra tid til at udarbejde en strategi, .."
Er det - mellem linjerne - derfor, PET for ganske nylig endnu engang blev afsløret i at sjuske med sikkerheden? Har det igangværende projekt med en ny strategi en udsættende effekt på institutionernes arbejde med at rette op på datasikkerheden, fordi man går og venter på den nye strategi?

"I den ideelle verden havde vi haft en færdig strategi nu, men det er afgørende for mig, at vi tager bestik af det nye trusselsbillede og får skrevet en strategi, der giver svarene på de udfordringer, vi ser i dag. Det har taget længere tid end forventet."
Hvis trusselsbilledet ændrer sig så hurtigt, når den nye strategi så overhovedet at blive færdig, inden den er forældet?

"I skriver, at den nye strategi bygger videre fra strategien 2015-2016. Er der foretaget en opsamling af erfaringer fra strategien for '15-'16? Er målene i første strategi blevet nået?
»Ja, der er gennemført en evaluering af den tidligere strategi. Det væsentligste resultat er, at strategien har skabt fundamentet for det arbejde, vi er i gang med i den nye strategi.«"

Elegant svaret uden om spørgsmålet om, om målene for den først strategi er nået. Mon der står mellem linjerne, at svaret er "Nej", og at det i det hele taget har vist sig langt sværere at udarbejde en holdbar strategi, end forventet - måske endda umuligt? I så fald skal man helt sikkert ikke gå i gang med følsomme projekter som genomcentret, før man kan leve op til sine løfter om at passe godt på vore data. Og det kunne se ud til at have rigtigt lange udsigter.

  • 4
  • 0
Claus Bobjerg Juul

Som ministeren erkender bevæger it (og it sikkerhed) sig meget hurtig, mit råd er : drop derfor den store plan, udgiv en meget mindre plan der kun skal holde kort tid fx 3 eller 6 måneder.

Kort sagt det skal være en mere agil tilgang til it sikkerhedsstrategien

  • 1
  • 0
John Foley

Den gamle og fortsat gældende strategi for Cyber- og informationssikkerhed blev publiceret i december 2014 med en tilkendegivelse om at den ville blive opdateret inden udgangen af 2016. Det skete som bekendt ikke. Forsvarsministeriet, der indtil da havde hovedansvaret for samskrivningen af strategien, sad på hænderne i mere end to år og greb chanchen for at udskyde opdateringen af strategien, da VLAK regeringen overtog. Regeringen lovede derefter at skrive en "ny" strategi til publicering inden sommeren 2017 og har nu i flere omgange yderligere udskudt færdiggørelsen til februar 2018, med en forklaring om at trusselsbilledet har ændret sig og at ambitions-niveauet var for lavt. Med sådanne undskyldninger og argumenter kan man udsætte/udskyde strategien i det uendelige. Men det er kun regeringen selv der har fastsat tiden og ambitionsnivauet, ingen andre.
Det forekommer derfor mærkværdigt, grænsende til det uforståelige og næsten kriminelle, at man ikke for længe siden har færdiggjort sit arbejde, der skal sikre befolkningen og samfundet. Alle andre lande vi normalt sammenligner os med har for længst gjort dere arbejde færdigt for længe siden. Flere er sågar på version 3.0 og EU har ligeledes vist vejen og tillige udarbejdet en skabelon til de lande, der ikke selv kan finde ud af det. Danmark er traditionen tro fodslæbende og baggud. Sophie Løhde forsøger efter bedste evne at dække over svigt og give forklaringer, der af alle gennemskues som udenomssnak.

  • 5
  • 0
Jesper Frimann

Det er en strategi man skal skrive.. hvor lang tid kan det tage ?

Måske skulle man starte med at sætte sig nogle mål ?

Jeg er sikker på, at vi her på Version2, kunne flækken en strategi sammen der var både mere kompetent og mere relevant på under en måned.

Igen.. det skal være en strategi, ikke en projektplan, slagplan eller en doktorafhandling på 400 sider.

Problemet er, at sådan en strategi.. vil træde en masse over tæerne, koste nogle investeringer, og generelt gribe ind i mange andre ministeriers, offentlige virksomheder og styrelsers måde at gøre tingene på.

Og det har man gang på gang vist at det går ikke på 'lokums aftale' borgen. Igen man kan ikke engang finde ud af at få vedtaget en finanslov...

// Jesper

  • 7
  • 0
Log ind eller Opret konto for at kommentere