Minister om forsinket it-sikkerhedsstrategi: Ambitionsniveauet var ikke tilstrækkeligt

Det er en strategi man skal skrive.. hvor lang tid kan det tage ?

Måske skulle man starte med at sætte sig nogle mål ?

Jeg er sikker på, at vi her på Version2, kunne flækken en strategi sammen der var både mere kompetent og mere relevant på under en måned.

Igen.. det skal være en strategi, ikke en projektplan, slagplan eller en doktorafhandling på 400 sider.

Problemet er, at sådan en strategi.. vil træde en masse over tæerne, koste nogle investeringer, og generelt gribe ind i mange andre ministeriers, offentlige virksomheder og styrelsers måde at gøre tingene på.

Og det har man gang på gang vist at det går ikke på 'lokums aftale' borgen. Igen man kan ikke engang finde ud af at få vedtaget en finanslov...

// Jesper

Den gamle og fortsat gældende strategi for Cyber- og informationssikkerhed blev publiceret i december 2014 med en tilkendegivelse om at den ville blive opdateret inden udgangen af 2016. Det skete som bekendt ikke. Forsvarsministeriet, der indtil da havde hovedansvaret for samskrivningen af strategien, sad på hænderne i mere end to år og greb chanchen for at udskyde opdateringen af strategien, da VLAK regeringen overtog. Regeringen lovede derefter at skrive en "ny" strategi til publicering inden sommeren 2017 og har nu i flere omgange yderligere udskudt færdiggørelsen til februar 2018, med en forklaring om at trusselsbilledet har ændret sig og at ambitions-niveauet var for lavt. Med sådanne undskyldninger og argumenter kan man udsætte/udskyde strategien i det uendelige. Men det er kun regeringen selv der har fastsat tiden og ambitionsnivauet, ingen andre. Det forekommer derfor mærkværdigt, grænsende til det uforståelige og næsten kriminelle, at man ikke for længe siden har færdiggjort sit arbejde, der skal sikre befolkningen og samfundet. Alle andre lande vi normalt sammenligner os med har for længst gjort dere arbejde færdigt for længe siden. Flere er sågar på version 3.0 og EU har ligeledes vist vejen og tillige udarbejdet en skabelon til de lande, der ikke selv kan finde ud af det. Danmark er traditionen tro fodslæbende og baggud. Sophie Løhde forsøger efter bedste evne at dække over svigt og give forklaringer, der af alle gennemskues som udenomssnak.

Som ministeren erkender bevæger it (og it sikkerhed) sig meget hurtig, mit råd er : drop derfor den store plan, udgiv en meget mindre plan der kun skal holde kort tid fx 3 eller 6 måneder.

Kort sagt det skal være en mere agil tilgang til it sikkerhedsstrategien

Ja, når lederne ikke kan snøvle sig færdigt, er det jo let at forstå deres resortområder også bliver forsinket.

Ministeren mener åbenbart ikke et par år til at tænke i er nok. I stedet taler hun uden om. Det virker som om arbejdet er glemt eller nedprioriteret og man bare har kørt videre som man plejer - med maksimal tro på sig selv og minimal forbindelse til virkeligheden.

Godt interview om vigtigt emne. Held og lykke med aktindsigten, jeg forudser en lang, sej kamp.

Når strategien ikke er klar før om mange måneder, så sætter man vel store og kontroversielle projekter som det Nationale Genom Center på hold, indtil man kan leve op til løfterne om god sikkerhed? Hvilket jo også indbefatter, at den udarbejdede nye, gode strategi når at blive implementeret i så høj grad, at sikkerheden i det offentlige går fra "ringe" til "perfekt"? For det må være et minimumskrav (sammen med flere andre minimumskrav, såsom samtykke), når man vil indsamle og bearbejde (= forske i) danskernes inderste genomsjæl.

Det er et stort projekt i sig selv at gøre sikkerheden på vitale samfundsområder perfekt, og man bør selvfølgelig koncentrere sig om de mest presserende områder først: Elforsyning, sygehusvæsen, kommunikationsmidler, forsvar osv. osv. Et genomcenter er ikke vital infrastruktur - det hører ikke under "need to have", men under "nice to have" (for nogen, ikke for alle).

Men hvad er det, der står imellem linjerne i ministerens svar?

"De store hackerangreb i foråret viste os, at ambitionsniveauet ikke var tilstrækkeligt i forhold til det aktuelle trusselsbillede,"Vil det sige, at ambitionsniveauet ikke var tilstrækkeligt, eller står der mellem linjerne, at man (som sædvanligt) ikke rigtigt var kommet i gang med at udarbejde og implementere det? At det som sædvanligt var sidste prioritet?

"»Det er ansvarligt, at vi har forholdt os til det nye trusselsbillede og givet os selv ekstra tid til at udarbejde en strategi, .."Er det - mellem linjerne - derfor, PET for ganske nylig endnu engang blev afsløret i at sjuske med sikkerheden? Har det igangværende projekt med en ny strategi en udsættende effekt på institutionernes arbejde med at rette op på datasikkerheden, fordi man går og venter på den nye strategi?

"I den ideelle verden havde vi haft en færdig strategi nu, men det er afgørende for mig, at vi tager bestik af det nye trusselsbillede og får skrevet en strategi, der giver svarene på de udfordringer, vi ser i dag. Det har taget længere tid end forventet."Hvis trusselsbilledet ændrer sig så hurtigt, når den nye strategi så overhovedet at blive færdig, inden den er forældet?

"I skriver, at den nye strategi bygger videre fra strategien 2015-2016. Er der foretaget en opsamling af erfaringer fra strategien for '15-'16? Er målene i første strategi blevet nået? »Ja, der er gennemført en evaluering af den tidligere strategi. Det væsentligste resultat er, at strategien har skabt fundamentet for det arbejde, vi er i gang med i den nye strategi.«"Elegant svaret uden om spørgsmålet om, om målene for den først strategi er nået. Mon der står mellem linjerne, at svaret er "Nej", og at det i det hele taget har vist sig langt sværere at udarbejde en holdbar strategi, end forventet - måske endda umuligt? I så fald skal man helt sikkert ikke gå i gang med følsomme projekter som genomcentret, før man kan leve op til sine løfter om at passe godt på vore data. Og det kunne se ud til at have rigtigt lange udsigter.