Nu kommer det 18. it-sikkerhedsorgan: Spredt fægtning i Danmarks it-forsvar

Leder Forsvarsminister Trine Bramsen er ved at lægge sidste hånd på et kommissorium for det nye Cybersikkerhedsråd. Det etableres efter et bredt forlig i Folketinget og skal drives af Center for Cybersikkerhed og Digitaliseringsstyrelsen i fællesskab.

Rådet skal - som det hedder - arbejde dedikeret for et mere digitalt sikkert Danmark og rådgive regeringen om udvikling af strategier på it-sikkerhedsområdet, ligesom det skal dele viden, vejlede og rådgive private og offentlige aktører om cybersikkerhed.

Rådet er i sig selv ikke nødvendigvis en dårlig ide. Slet ikke hvis det faktisk lykkes rådet at etablere et fortroligt rum, hvor private såvel som offentlige organisationer kan varsle hinanden om it-angreb, dele viden om bl.a. nye angrebstyper og udvikle best practice i forhold til beredskab og genopretning af driften efter angreb.

Problemet er imidlertid, at rådet er ikke mindre end det 18. i rækken af offentlige instanser, der har til opgave i en eller anden grad at højne it- og datasikkerhed i Danmark for offentlige midler.

Myndighederne har efterhånden smurt indsatsen så tyndt ud på så mange forskellige parter og instanser, at den bliver ineffektiv. Handlekraften står slet ikke mål med angrebstrykket fra de tusindvis af cyberkriminelle, der hver dag sætter angreb ind mod offentlige og private organisationer, og den kan slet ikke følge med den stigende risiko for lækage af persondata, som vores digitaliserede samfund medfører.

I dag har vi således Erhvervsstyrelsens Virksomhedsråd for IT-sikkerhed, der 'skal fremme høj IT-sikkerhed og ansvarlig datahåndtering' og Center for Cybersikkerhed, der er Danmarks nationale it-sikkerhedsmyndighed og 'udgør Danmarks nationale forsvar mod cybertrusler og arbejder for et sikkert digitalt Danmark', og som i øvrigt huser Strategiske Samarbejdsforum for brancheorganisationer og virksomheder. Dertil er der Datatilsynet, der skal 'føre tilsyn med reglerne om databeskyttelse' og rådgive og vejlede.

Ikke mindre end syv særligt såkaldte samfundskritiske sektorer inden for bl.a. energi, finans, sundhed og forsyning har eller er i gang med at etablere sektorbestemte cyber- og informationssikkerhedsenheder kaldet DCIS'er, der hver især skal foretage trussels-, sårbarheds- og risikovurderinger og altså kommunikere, analysere og rådgive.

Rigspolitiet har etableret NC3Skyt, der er et samarbejdsorgan mellem Rigspolitiets Nationale Cyber Crime Center (NC3) og virksomheder, som skal sikre bedre videndeling for at højne den generelle it-sikkerhed i virksomhederne.

Nationalbanken har Finansielt Sektorforum for Operationel Robusthed (FSOR) som skal øge cyberrobustheden. Forsknings- og undervisningssektoren har DKCert, der skal udbrede 'viden om it-sikkerhed skabt gennem samarbejde med den offentlige og private sektor', og endelig er der det nye Dataetisk Råd, der skal fremme en 'ansvarlig og bæredygtig dataanvendelse'.

For at det ikke er nok, så huser Digitaliseringsstyrelsen også Statens Informationssikkerhedsforum, SISF, der skal følge udviklingen, drøfte best practice og komme med forslag til tiltag, og desuden har man Forum for fællesoffentlig koordinering af informationssikkerhed, der står for videndeling, koordination, hændelseshåndtering og initiativer inden for informationssikkerhed.

Endelig er der medlemsorganisationen Rådet for Digital Sikkerhed, som udbreder 'viden og erfaring om cyber,- informations og datasikkerhed', men som organisationer fra både stat, regioner og kommuner også betaler til.

Der skal ikke herske tvivl om, at de mange instanser på it- og datasikkerhedsområdet engagerer mange dygtige rådsmedlemmer og sikrer beskæftigelse til professionelle it-sikkerhedsfolk.

Der er heller ikke tvivl om, at der er forskel i lovkrav og vilkår for samfundets enkelte sektorer. Men man går også glip af den mulighed for specialisering, der kan ligge i at samle opgaverne. Desuden går en meget stor del af vidensbehovet om f.eks. angrebstyper og basal it-sikkerhed på tværs. Ransomware-banditter diskriminerer hverken sygehuse, elselskaber eller produktionsvirksomheder.

Det må altså være tydeligt for enhver, at vi inden for it-sikkerhed har etableret absurd mange enheder der grundlæggende arbejder med det samme formål. Der er virkelig brug for en solid forårsoprydning, som konsoliderer og samordner de alt for mange råd og enheder, der parallelt samler viden ind, deler viden og arbejder for best practice for øget cyber- og datasikkerhed.

Danmark er blandt verdens mest digitaliserede lande, og cybercrime er derfor blandt de største trusler mod vores velfærd. Derfor duer det ikke, at indsatsen mod angrebsivrige kriminelle, der både vil rane vores penge og industrielle ideer, er for svag og ukoordineret - og at for mange enheder parallelt udøver de samme opgaver.

Der er behov for at etablere en stærk national sikkerhedsmyndighed med et offentligt-privat sikkerhedsråd som ‘bestyrelse’, der uafhængigt af forsvar og andre samfundssektorer sikrer topprofessionel overvågning af de kriminelle aktiviteter, vidensindsamling, vidensformidling og uddannelse af det danske samfunds mange grene.

Uanset hvilken afkrog man kigger i, er vi truet af cyberangreb. I dag fremstår beredskabet så fragmenteret og grotesk ukoordineret, at de kriminelle utvivlsomt griner af vores organisering. De ryster i hvert fald ikke i bukserne.

Ovenstående leder stammer fra dagens digitale udgave af Ingeniøren.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
John Foley

I min optik burde cybersikkerhed være en folkesag og ligeså vigtig at beskæftige sig med som klimaet. Desværre har cybersikkerhed ikke samme opmærksomhed og bevågenhed i befolkningen, der af mange blot anses for at være en hæmsko og forhindring for teknologiens og digitaliseringens implementering. Det er den indstilling der skal vendes. Cybersikkerhed, teknolgien og digitaliseringen samt dataetik kan godt gå hånd i hånd. Det skal imidlertid gribes ordentligt an og gennemføres ved en koordinerende strategisk indsats, politisk styret i et uafhængigt offentligt - privat forum, på allerhøjeste niveau - ligesom Klimarådet og fulgt op med den nødvendige lovgivning.
Desværre vil FE og CFCS fortsætte med at give befolkningen og samfundet indtryk af at det netop er det de gør med Cybersikkerhedsrådets etablering. Men det er forkert. Et Cybersikkerhedsråd som skitsret vil kun yderligere forstærke illusionen og manipulationen. Det er det vi er oppe imod og nu har en unik chance for at adressere og gøre beslutningstagerne og politikerne opmærksom på. Det omtalte Cybersikkerhedsråd vil ikke kunne løse denne opgave med det nuværende kommissorium, sammensætning, ansvar og beføjelser. Der skal helt anderledes boller på suppen, som også beskrevet i dagens udmærkede og tankevækkende leder i Ingeniøren og Version2.
Har I derude evt. gode idéer eller forslag, så deltag gerne i debatten.

  • 6
  • 0
Torben Ørting Jørgensen

Denne leder rammer hovedet på sømmet og understreger behovet for, at vi underkaster Cyberområdet et påtængende serviceeftersyn. Med den fordrejede markedsføring af Center for Cybersikkerhed (CFCS), der er sat i verden for at forholde sig til cybersikkerhed i relation til kritisk infrastruktur har man skabt en illusion om, at der er taget hånd om alle problemer i relation til cyberområdet, der i øvrigt afgrænses til alene at være et spørgsmål om fjendtlige og undergravende handlinger udført af Kina, Rusland og Nordkorea. Sagen er, at Danmark, som et gennemdigitaliseret land, står overfor langt større og meget bredere udfordringer end dem som CFCS er sat i verden for at håndtere. Lappeløsningen med et cyberråd uden beføjelser på under denne organisation understreger blot det påtrængende og akutte behov for, at Danmark tager sig sammen og finder løsninger, der adressere det samlede problemkompleks, der knytter sig til vores digitalisering og de fjendtlige (10%) og kriminelle (90%) aktiviteter, der er fulgt i kølvandet på digitaliseringen.

Vi har netop set, at et bredt politisk flertal er blevet enige om en Klimalov, der blandt andet giver Klimarådet reelle beføjelser og garantere dets uafhængighed. Hvorfor gør vi ikke det samme på det digitale område og nedsætter et kompetent Cyberråd, der kan rydde op i de myriader af forskellige undergrupper som oplistes i lederen og samle de forskellige tiltag under en hat, gerne placeret i Statsministeriet. Denne model ligger ikke langt fra den organisering vi kender fra Israel, hvor man med success har etableret et Cyber Direktorat under premierministeren, der har ansvaret for og som samler den statslige og private indsats for cybersikkerhed under en myndighed. Det betyder bl.a. at man i Israel kan ringe et nummer "119", hvis man udsættes for en cyberhændelse på samme måde, som man ringer til politiet, hvis man har brug for hjælp.

Fremfor at fortsætte med lappeløsningerne og de mere eller mindre gustne politiske agendaer, så burde vi i Danmark kunne etablere noget, der minder om det man har i Israel.

  • 3
  • 0
John Foley

Vi har netop set, at et bredt politisk flertal er blevet enige om en Klimalov, der blandt andet giver Klimarådet reelle beføjelser og garantere dets uafhængighed. Hvorfor gør vi ikke det samme på det digitale område og nedsætter et kompetent Cyberråd, der kan rydde op i de myriader af forskellige undergrupper som oplistes i lederen og samle de forskellige tiltag under en hat, gerne placeret i Statsministeriet. Denne model ligger ikke langt fra den organisering vi kender fra Israel, hvor man med success har etableret et Cyber Direktorat under premierministeren, der har ansvaret for og som samler den statslige og private indsats for cybersikkerhed under en myndighed.

Det er jo lige det der skal til. Tak for de kloge ord og fremragende forslag, Torben Ørting Jørgensen.

  • 2
  • 0
Anne-Marie Krogsbøll

Cityringen lukker i ugevis pga. softwareopdatering:
https://jyllands-posten.dk/indland/kbh/ECE11823653/faa-maaneder-efter-aa...

Måske har det absolut intet at gøre med lederens emne, men det virker så gakgak, at man næsten får på fornemmelsen, at en eller anden kritisk sårbarhed må være dukket uventet op. For ellers burde disse opdateringer vel være tænkt igennem for længst, og ikke komme som en pludselig nyhed?

Så kunne denne historie i virkeligheden tænkes at have at gøre med øgede risici for angreb, og deraf følgende nye krav?

Når jeg tænker på alle de buslinjer, man har forringet i Københavnsområdet med henvisning til åbning af Cityringen, så bliver jeg harm. Det bliver decideret kaos for mange Københavnere, og især ældre og handicappede, børn og dårligt gående vil få det svært - det har de nemlig i forvejen pga.Cityringen, og nu vil det blive endnu værre.

Hvis det er sådan, det skal foregå, hver gang der skal opdateres, så er hele projektet en direkte skandale, og jeg fatter ikke, at det overhovedet er vedtaget. Så kan det tænkes, at noget cybersikkerhedsrelateret er kommet bag på dem?

  • 1
  • 0
Louise Klint

Godt sagt. Behovet er til at få øje på.
Men der er faktisk endnu flere overlap, end de nævnte, desværre.

Sundhedsdatastyrelsen, skal, som V2 tidligere har fortalt, være
”hele sundhedssektorens IT-sikkerhedsmyndighed”.
01.11.18: https://www.version2.dk/artikel/sundhedsdatastyrelsen-opruster-sikkerhed...
https://sundhedsdatastyrelsen.dk/da/om-os/organisation

En cybersikkerhedsafdeling, som blev oprettet under styrelsen i fjor,
skal overvåge den overordnede sikkerhed, gennemføre beredskabsøvelser på tværs af sundhedssektoren og udbrede fælles sikkerhedsstandarder.
Afdelingen skal i alt bestå af 12-14 medarbejdere.
”Desuden er ambitionen, at de mange it-systemer, der forbinder hospitaler, apoteker, praktiserende læger etc., skal sikres på en mere ensartet måde mod misbrug og hackerangreb.”

At netop Sundhedsdatastyrelsen så har haft en del problemer med selvsamme, på egen banehalvdel, spiller tilsyneladende ikke den store rolle.
19.08.19: https://www.version2.dk/artikel/rigsrevisionen-sundhedsdatastyrelsen-svi...
07.06.18: https://www.version2.dk/artikel/to-ministerier-blaeser-paa-rigsrevisione...

Blandt styrelsens ”kerneværdier” finder man heller ikke
IT-sikkerhed og ansvarlig datadeling af borgernes private oplysninger.
Selvom man måske kunne mene, at det er det, styrelsen altovervejende begiver sig af med: At råde over, opbevare og dele ud af vores alle sammens – ofte personhenførbare – intime data.
https://sundhedsdatastyrelsen.dk/da/registre-og-services/om-de-nationale...
https://sundhedsdatastyrelsen.dk/da/forskerservice
https://sundhedsdatastyrelsen.dk/da/om-os

I stedet er Sundhedsdatastyrelsens kerneværdier at være:
• En central aktør.
• En foretrukken samarbejdspart.
• En professionel leverandør.
”Vi vil være kendt for et attraktivt fagligt miljø med fokus på udvikling af stærke kompetencer, gode karrieremuligheder og god ledelse.” (Linket pdf).
https://sundhedsdatastyrelsen.dk/da/om-os/strategi-2020/kerneopgave-og-v...

Og netop herfor har direktør Lisbeth Nielsen
faktisk fået en bonus på 110.000 kroner for
sin ”samlede performance” i 2018, fordi:

Du har med en vedholdende indsats sikret relationsopbygning til vigtige interessenter samt positioneret styrelsen.
Du har endvidere formået at fastholde og videreudbygge stærke kompetencer i et område med stor udvikling og konkurrence.

https://sundhedsdatastyrelsen.dk/da/om-os/praestationsafhaengig-loen

Tillykke med det.

  • 1
  • 0
Louise Klint

Undskyld, jeg kan godt se, at I nævner det overordnet.

Ikke mindre end syv særligt såkaldte samfundskritiske sektorer
inden for bl.a. energi, finans, sundhed og forsyning
har eller er i gang med at etablere sektorbestemte cyber- og informationssikkerhedsenheder kaldet DCIS'er,
der hver især skal foretage trussels-, sårbarheds- og risikovurderinger og altså kommunikere, analysere og rådgive.

  • 0
  • 0
Log ind eller Opret konto for at kommentere