Minister om forsinket it-sikkerhedsstrategi: Ambitionsniveauet var ikke tilstrækkeligt

18. december 2017 kl. 05:116
Minister om forsinket it-sikkerhedsstrategi: Ambitionsniveauet var ikke tilstrækkeligt
Illustration: Nadia Fryd.
Den nye nationale strategi for cybersikkerhed står til at blive mindst ni måneder forsinket. Vi har brug for tid til at indrette os efter et nyt trusselsbillede, lyder forklaringen fra innovationsminister Sophie Løhde.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

I februar næste år forventer regeringen at kunne præsentere en ny national strategi for cybersikkerhed. Det sker altså cirka 14 måneder efter den foregående strategi – Danmarks første – udløb.

Der er ifølge innovationsminister Sophie Løhde flere grunde til, at strategien er forsinket.

»De store hackerangreb i foråret viste os, at ambitionsniveauet ikke var tilstrækkeligt i forhold til det aktuelle trusselsbillede,« forklarer ministeren i en mail til Version2.

»Når vi har udskudt lanceringen af den nye strategi, er det fordi, vi skal indrette os efter det nye trusselsbillede og sikre os, at initiativerne rækker længere ud i fremtiden. Derfor har vi haft behov for mere tid.«

Artiklen fortsætter efter annoncen

Vi har alene i år set flere eksempler på, hvordan cyberangreb truer både private virksomheder – som fx Maersk – og offentlige institutioner – som fx Forsvaret. Mener ministeren, at det er ansvarligt, at Danmark fortsat ikke har nogen strategi, som ministeren selv har understreget vigtigheden af siden december 2016?

»Det er ansvarligt, at vi har forholdt os til det nye trusselsbillede og givet os selv ekstra tid til at udarbejde en strategi, som vi er sikre på rækker ud i fremtiden. Jeg ville selvfølgelig gerne have haft en færdig strategi nu, men jeg vil hellere lancere en forsinket, god strategi end en mangelfuld strategi til tiden.«

»Det er også vigtigt at sige, at cyber- og informationssikkerhed er noget regeringen arbejder med på flere fronter. Alle ministerier arbejder kontinuerligt med sikkerheden på deres egne ressortområder. Vi har også en række initiativer i digitaliseringsstrategien fra 2016 og i den nye strategi for it-styring i staten, som har til formål at forbedre it-sikkerheden.«

Fakta

I forordet til Danmarks cybersikkerhedsstrategi fra december 2014 står der blandt andet:

'Med denne strategi tager regeringen et væsentligt skridt til at opretholde og styrke tilliden hos virksomheder og borgere til, at Danmark fortsat er et sikkert land at investere og anvende digitale tjenester i. Udviklingen på det digitale område vil fortsætte, og derfor er det afgørende, at der løbende arbejdes med fortsat at styrke indsatsen på området. På den baggrund agter regeringen at opdatere denne strategi allerede i slutningen af 2016 for en ny periode. I forbindelse med opdateringen vil regeringen indlede en bred dialog med relevante organisationer, virksomheder og forskningsverdenen for at inddrage forskellige synspunkter og viden om, hvad der vil være til gavn for samfundet i det videre arbejde.'

Tager længere tid end forventet

Ministeren har over for Berlingske bemærket, at man kunne have haft en strategi tidligere, men man ønskede i stedet at finde frem til gennemtænkte svar. Hvorfor har dette arbejde ikke fået ressourcer, så strategien både kunne komme til tiden og være gennemtænkt?

Artiklen fortsætter efter annoncen

»De store hackerangreb i foråret og lige før sommerferien viste os, at vi skal vænne os til og reagere på et nyt trusselsbillede. Det var dette, jeg forholdt mig til over for Berlingske. Det nye trusselsbillede kræver, at vi tænker os grundigt om og skriver en strategi, som kan imødekomme de nye trusler. Den er vi i fuld gang med at skrive. Til selve strategien har vi også tilført ekstra ressourcer på finansloven. Derudover har vi samlet det koordinerede ansvar for strategien for informationssikkerhed i staten hos Finansministeriet.«

Hvorfor er arbejdet ikke gået tidligere i gang jf. at regeringen altid har vidst, at den tidligere strategi ville udløbe i '16?

»Det indledende arbejde med den nye strategi gik i gang i 2016, hvor der blandt andet blev gennemført dialogmøder med både private og offentlige parter. I den ideelle verden havde vi haft en færdig strategi nu, men det er afgørende for mig, at vi tager bestik af det nye trusselsbillede og får skrevet en strategi, der giver svarene på de udfordringer, vi ser i dag. Det har taget længere tid end forventet.«

Bygger videre på første strategi

I august meddelte regeringen, at cybersikkerhedsstrategien ville få en pulje på 100 millioner kroner. De midler skal primært gå til tværgående indsatser, meddeler Sophie Løhde.

Artiklen fortsætter efter annoncen

»Det vil sige indsatser, der løfter sikkerheden på tværs af den offentlige sektor og i samfundet. Det er derudover forventningen, at de enkelte myndigheder prioriterer midler til andre tiltag. Men strategien er ikke færdig endnu, og derfor er det heller ikke er afgjort, hvilke initiativer midlerne skal gå til.«

I skriver, at den nye strategi bygger videre fra strategien 2015-2016. Er der foretaget en opsamling af erfaringer fra strategien for '15-'16? Er målene i første strategi blevet nået?

»Ja, der er gennemført en evaluering af den tidligere strategi. Det væsentligste resultat er, at strategien har skabt fundamentet for det arbejde, vi er i gang med i den nye strategi.«

Version2 arbejder på at få adgang til den omtalte evaluering.

6 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
6
18. december 2017 kl. 12:12

Det er en strategi man skal skrive.. hvor lang tid kan det tage ?

Måske skulle man starte med at sætte sig nogle mål ?

Jeg er sikker på, at vi her på Version2, kunne flækken en strategi sammen der var både mere kompetent og mere relevant på under en måned.

Igen.. det skal være en strategi, ikke en projektplan, slagplan eller en doktorafhandling på 400 sider.

Problemet er, at sådan en strategi.. vil træde en masse over tæerne, koste nogle investeringer, og generelt gribe ind i mange andre ministeriers, offentlige virksomheder og styrelsers måde at gøre tingene på.

Og det har man gang på gang vist at det går ikke på 'lokums aftale' borgen. Igen man kan ikke engang finde ud af at få vedtaget en finanslov...

// Jesper

5
18. december 2017 kl. 10:25

Den gamle og fortsat gældende strategi for Cyber- og informationssikkerhed blev publiceret i december 2014 med en tilkendegivelse om at den ville blive opdateret inden udgangen af 2016. Det skete som bekendt ikke. Forsvarsministeriet, der indtil da havde hovedansvaret for samskrivningen af strategien, sad på hænderne i mere end to år og greb chanchen for at udskyde opdateringen af strategien, da VLAK regeringen overtog. Regeringen lovede derefter at skrive en "ny" strategi til publicering inden sommeren 2017 og har nu i flere omgange yderligere udskudt færdiggørelsen til februar 2018, med en forklaring om at trusselsbilledet har ændret sig og at ambitions-niveauet var for lavt. Med sådanne undskyldninger og argumenter kan man udsætte/udskyde strategien i det uendelige. Men det er kun regeringen selv der har fastsat tiden og ambitionsnivauet, ingen andre. Det forekommer derfor mærkværdigt, grænsende til det uforståelige og næsten kriminelle, at man ikke for længe siden har færdiggjort sit arbejde, der skal sikre befolkningen og samfundet. Alle andre lande vi normalt sammenligner os med har for længst gjort dere arbejde færdigt for længe siden. Flere er sågar på version 3.0 og EU har ligeledes vist vejen og tillige udarbejdet en skabelon til de lande, der ikke selv kan finde ud af det. Danmark er traditionen tro fodslæbende og baggud. Sophie Løhde forsøger efter bedste evne at dække over svigt og give forklaringer, der af alle gennemskues som udenomssnak.

4
18. december 2017 kl. 09:01

Som ministeren erkender bevæger it (og it sikkerhed) sig meget hurtig, mit råd er : drop derfor den store plan, udgiv en meget mindre plan der kun skal holde kort tid fx 3 eller 6 måneder.

Kort sagt det skal være en mere agil tilgang til it sikkerhedsstrategien

3
18. december 2017 kl. 08:48

Ja, når lederne ikke kan snøvle sig færdigt, er det jo let at forstå deres resortområder også bliver forsinket.

2
18. december 2017 kl. 08:22

Ministeren mener åbenbart ikke et par år til at tænke i er nok. I stedet taler hun uden om. Det virker som om arbejdet er glemt eller nedprioriteret og man bare har kørt videre som man plejer - med maksimal tro på sig selv og minimal forbindelse til virkeligheden.

1
18. december 2017 kl. 06:55

Godt interview om vigtigt emne. Held og lykke med aktindsigten, jeg forudser en lang, sej kamp.

Når strategien ikke er klar før om mange måneder, så sætter man vel store og kontroversielle projekter som det Nationale Genom Center på hold, indtil man kan leve op til løfterne om god sikkerhed? Hvilket jo også indbefatter, at den udarbejdede nye, gode strategi når at blive implementeret i så høj grad, at sikkerheden i det offentlige går fra "ringe" til "perfekt"? For det må være et minimumskrav (sammen med flere andre minimumskrav, såsom samtykke), når man vil indsamle og bearbejde (= forske i) danskernes inderste genomsjæl.

Det er et stort projekt i sig selv at gøre sikkerheden på vitale samfundsområder perfekt, og man bør selvfølgelig koncentrere sig om de mest presserende områder først: Elforsyning, sygehusvæsen, kommunikationsmidler, forsvar osv. osv. Et genomcenter er ikke vital infrastruktur - det hører ikke under "need to have", men under "nice to have" (for nogen, ikke for alle).

Men hvad er det, der står imellem linjerne i ministerens svar?

"De store hackerangreb i foråret viste os, at ambitionsniveauet ikke var tilstrækkeligt i forhold til det aktuelle trusselsbillede,"Vil det sige, at ambitionsniveauet ikke var tilstrækkeligt, eller står der mellem linjerne, at man (som sædvanligt) ikke rigtigt var kommet i gang med at udarbejde og implementere det? At det som sædvanligt var sidste prioritet?

"»Det er ansvarligt, at vi har forholdt os til det nye trusselsbillede og givet os selv ekstra tid til at udarbejde en strategi, .."Er det - mellem linjerne - derfor, PET for ganske nylig endnu engang blev afsløret i at sjuske med sikkerheden? Har det igangværende projekt med en ny strategi en udsættende effekt på institutionernes arbejde med at rette op på datasikkerheden, fordi man går og venter på den nye strategi?

"I den ideelle verden havde vi haft en færdig strategi nu, men det er afgørende for mig, at vi tager bestik af det nye trusselsbillede og får skrevet en strategi, der giver svarene på de udfordringer, vi ser i dag. Det har taget længere tid end forventet."Hvis trusselsbilledet ændrer sig så hurtigt, når den nye strategi så overhovedet at blive færdig, inden den er forældet?

"I skriver, at den nye strategi bygger videre fra strategien 2015-2016. Er der foretaget en opsamling af erfaringer fra strategien for '15-'16? Er målene i første strategi blevet nået? »Ja, der er gennemført en evaluering af den tidligere strategi. Det væsentligste resultat er, at strategien har skabt fundamentet for det arbejde, vi er i gang med i den nye strategi.«"Elegant svaret uden om spørgsmålet om, om målene for den først strategi er nået. Mon der står mellem linjerne, at svaret er "Nej", og at det i det hele taget har vist sig langt sværere at udarbejde en holdbar strategi, end forventet - måske endda umuligt? I så fald skal man helt sikkert ikke gå i gang med følsomme projekter som genomcentret, før man kan leve op til sine løfter om at passe godt på vore data. Og det kunne se ud til at have rigtigt lange udsigter.