Regeringen arbejder på ny cybersikkerheds-strategi

Cybersikkerhed er et våbenkabløb, og derfor er der behov for en ny strategi, hvis vi skal sikre vores digitale interesser, mener regeringen.

Regeringen er gået i gang med at forberede en strategi for cyber -og informationssikkerhed, oplyser minister for offentlig innovation Sophie Løhde (V) til Ritzau. Det skriver TV 2.

»Fremmede stater og de kriminelle over hele verden sidder ikke på hænderne, og der er i en vis forstand tale om et våbenkapløb, hvor vi løbende skal blive bedre,« siger Sophie Løhde i en skriftlig udtalelse.

Udmeldingen kommer i en periode, hvor flere hackersager har rullet sideløbende. I udlandet har amerikanerne døjet med hacking mod det demokratiske parti, mens Yousee i samarbejde med Københavns Politi efterforsker nedbruddet nytårsaften som en kriminel handling.

Ifølge Berlingske udsættes Danmark årligt for 1.000 angreb, der er så alvorlige, at Center for Cybersikkerhed må efterforske angrebene.

Derfor ser regeringen et behov for at styrke statens arbejde med informationssikkerhed.

»Den nye strategi skal gøre både myndigheder og private aktører inden for centrale sektorer bedre rustet til at beskytte den danske digitale infrastruktur,« siger Sophie Løhde.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Kommentarer (15)

John Foley

Stærkt presset udarbejde Forsvarsministeriet, som et af de sidste lande i EU, en første version af en national cybersikkerhedsstrategi, der udkom i 2014. Produktet var et hastværk, og i forordet står, der at Forsvarsministeriet ville igangsætte skrivningen af en version 2 i løbet af 2016, denne gang med inddragelse af alle relevante aktører.
Desværre har man ikke holdt hvad man lovede. Der er ikke udarbejdet en version 2 af den eksisterende strategi. I stedet for lover regeringen nu, at man vil igangsætte skrivningen af en helt ny strategi, uden at forklare , hvorfor man ikke har gjort arbejdet færdigt i 2016, som lovet.
Dermed bliver arbejdet yderligere forsinket, hvilket anses for særligt graverende og uheldigt, set i lyset af den alvorlige situation Danmark står i, hvor Forsvarets Efterretningstjeneste og Center for Cybersikkerhed har udtalt, at man ikke kan komme højere op på skalaen, når der tales om trusler og cyberangreb. Det er de selv samme instanser, som ikke har leveret, som de skulle og lovede. I min optik er det hykeri og dobbeltmoral af værste skuffe.

René Nielsen

at man ikke kan komme højere op på skalaen, når der tales om trusler og cyberangreb.

Som jeg ser problemet sker der ikke noget før det officielle Danmark indser, at man ikke samtidig kan blæse og samtidig have mel i munden. Man er nødt til at højde IT sikkerheden i samfundet også selvom det dermed begrænser den danske efterretningstjenestes muligheder for overvågning af danske borgere.

Spillet er ændret markant i forhold til efterretningstjenestens koldkrigsscenearier og afhængigheden i samfundet af IT er steget markant.

I dag er efterretningstjenester som f.eks. NSA forpligtet iht. amerikansk lov at overdrage essentiel viden til amerikanske konkurrenter. Så hvis f.eks. Novonordisk er på vippen til at udtage patent på et nyt lægemiddel som vil afgørende ændre markedet (til skade for den amerikanske konkurrent), så er NSA forpligtiget til at hacke Novonordisk, hvis NSA ”falder” over oplysningerne og udleverer oplysningerne til den amerikanske konkurrent.

Snakker vi Energisektoren, så skal NSA spioner imod navngivne konkurrenter og NSA bruger mere end 45% af deres budget på industrispionage imod 3-4% på terrorisme. Man bruger alle disse milliarder af USD på NSA industrispionage fordi det kan betale sig. Længere er historien ikke.

Nu er Novonordisk formentlig et dårligt eksempel fordi deres R&D faciliteter utvivlsomt har en høj grad af sikkerhed og kører deres R&D på et lukket netværk. Problemet er de opstartvirksomheder som Danmark skal leve af om 20 år. De har næppe fokus IT sikkerhed, men på at udvikle en produkt/virksomhed.

En ingeniør som sidder i et kælderlokale og opfinder en mulig ”gamechanger” er derimod stærkt udsat. Ingeniørens Google søgninger vil henlede opmærksomheden på hans opfindelse og den vej rundt vil ”Saurons øje” få øje på ham.

Som samfund er det svært at gøre noget ved det – udover at skrue op IT sikkerheden på alle niveauer, således at det bliver for vanskeligt at screene alle.

Mit forslag er en lovbestemt minimumssikkerhed for alle. Borgere, virksomheder og det offentlige – alle skal dækkes ind og udbydere skal stå for implementeringen for at sikre at det sker for alle.

F.eks. ville en hardware 2-faktor identifikation på DNC server havde umuliggjort det Clinton hack som faktisk skete. Man kan stadig opførte sig dumt, men man dækker rigtigt meget af med 2-faktor identifikation.

F.eks. cirkulerer der rygter om at Donald Trump skulle have optrådt som aldeles tåbeligt med russiske ludere og havde budt på urinsex på et hotel i Moskva med prostituerede – det hele optaget med lyd og billede af den russiske efterretningstjeneste https://www.wired.com/2017/01/spy-agency-vets-read-bombshell-trump-repor...

Den form for tåbelig adfærd kan man ikke lovgive sig ud af.

Denny Christensen

En politikker skal styre klar af problemer og gøre sig klar til genvalg.
Uanset parti og status i øvrigt.

Så en valgperiode er starten på en ny valgkamp og der skal ikke komme dårlige sager der kan forhindre genvalg. Så i stedet for at stikke fingrene ned i noget besværligt kan man udskyde problemer til på den anden side af valgperioden.

Beklager - tidligere ungdomspolitikker og jeg agter ikke politikkere vildt højt.

Samtidig er det mere væsentligt for en politikker, hvis det kan gøres som en succes, at sætte et godt og varigt fingeraftryk. Derfor helst noget nyt isf en revision.

Endeligt er det embedsmænd der laver det meste af arbejdet og de er som udgangspunkt interesseret i jobbevarelse og mere magt til deres del af den offentlige ansættelsesfest.

WOW - jeg er definitivt medlem af klubben af sure gamle mænd :)

Mine mere faglige kommentarer er vel at emnet er så stort og uoverskueligt at politikkerne ikke ved hvad de skal stille op. Samtidig er presset fra offentligheden og antallet af tilbud fra konsulenthuse overvældende og så er det altså heller ikke nemt at agere.
Mon ikke det ender med et udvalg der skal kigge på hvordan en sådan opgave skal fanges an? Det udvalg kan passende komme med en betænkning politikkerne kan diskutere økonomi omkring senere hen.

Morten NN

Jeg tror nu faktisk ikke, at du skal regne med, at det er en helt ny strategi, der kommer, det er mere sandsynligt, at man nu endelig er blevet enige om et kommissorie for opdateringen af den eksisterende strategi, man endelig er blevet enige om ministerierne imellem. Eller blot en politisk udmelding om at "vi er i gang" fordi angreb på offentlige myndigheder, har været i pressen.

Meget af det Danny siger er korrekt ud fra et overordnet perspektiv, men politikerne er som sådan overhoved ikke involverede i at skrive sådan en strategi, det sker i embedsværket. Der findes sikkert en gruppe med repræsentanter fra de forskellige involverede ministerier, der så kommer med input og forslag og initiativer. Disse samles sammen, og så skrives der en strategi på baggrund af det.

Denne gang skal man så også indhente input fra eksterne/private aktører, og det vil blot gøre processen endnu længere og mere omstændig, da de involverede ministerier stadig skal godkende/acceptere de forslag, der kommer fra de eksterne/privat aktører.

Det skal dog siges, at det kan godt være at de er i gang med dette, selvom John Foley siger at det er de ikke, da det ikke er ret sandsynligt, at han selv vil blive involveret i dette arbejde,

Til slut vil jeg bare sige, at selv når strategien kommer, så skal du nok ikke forvente, at den er "løsningen" på it-sikkerhedsproblemerne herhjemme, både fordi den i udgangspunktet kun gælder for staten, men også fordi ingen enkeltstående strategi vil kunne løse dem.

Morten NN

Den første (nuværende) strategi blev kritiseret for flere ting:

1) Der fulgte ingen penge med
2) Den var kun gældende for staten
3) Der havde ikke været private aktører involveret

Så det er som man tager det.

CFCS er øverste sikkerhedsmyndighed på teleområdet i Danmark, så gennem dem har teleområdets udfordringer vel været repræsenteret enten direkte eller indirekte.

John Foley

@ Morten Nielsen,
Forsvarsministeriet har haft mere end to år til at revidere den første udgave af den gældende strategi. Hvis du ser i forordet var der allerede en del ministerier involveret i skrivningen af den første udgave. Så set herfra ville det ikke være svært at komme videre inden for den tidsfrist, man selv havde fastsat.
Jo, jeg mener fortsat at det er at forhale tingene, og det synes jeg er særligt graverende, specielt set i lyset af den alvorlige situation, som Danmark befinder sig i, jf. FE og CFCS's egne oplysninger.

John Foley

@ Morten NN, du skriver:
"Jeg tror nu faktisk ikke, at du skal regne med, at det er en helt ny strategi, der kommer, det er mere sandsynligt, at man nu endelig er blevet enige om et kommissorie for opdateringen af den eksisterende strategi, man endelig er blevet enige om ministerierne imellem. Eller blot en politisk udmelding om at "vi er i gang" fordi angreb på offentlige myndigheder, har været i pressen."

Jeg er enig i dine betragtninger om at det nok ikke alligevel er en helt ny strategi, der kommer, men kun en revision, med inddragelse af flere bidragsydere. Fra politisk side prøver man at bilde befolkningen ind, at det er en ny strategi, der kommer. Derved vindes tid og man behøver ikke forklare, hvorfor man ikke har gjort, som man lovede i december 2014.
Jeg synes det tangerer manipulation og letsindig omgåelse med sandheden. Hvorfor den lovede revision ikke er blevet til noget står stadigvæk ubesvaret. De ansvarlige myndigheder har haft mere end to år til arbejdet, men de har sovet i timen. Det synes jeg er særligt graverende og uheldigt, specielt set i lyset af den skærpede og alvorlige situation som Danmark står i jf. FE og CFCS's egne vurderinger og advarsler. De selvsamme myndigheder, der skulle have udført arbejdet med en revision af strategien, inden udgangen af 2016. Jeg synes der fortsat er et forklaringsproblem.

Mette Nikander

Jeg sidder i et rådgivningspanel, hvor vi egentlig i efteråret skulle byde ind med vores forberedte oplæg til en fremtidig cybersikkerhedsstrategi og arbejdsgruppen der skal udfærdige strategien, sendte da også en repræsentant og en sekretær ud til vores møde. Vi var mange der havde forberedt os, men man afviste venligt at modtage input, idet at man jo end ikke havde nået efterlevelse af de eksisterende planer.

Jeg er som mange andre rystet over at det ikke er blevet prioriteret højere og man kun engang imellem for at få lidt politisk goodwill råber ud i æteren "at nu skal vi også til at gøre noget". Når man lobbyerer, vil man kunne konstatere at IT ordførerne, oftest er de politikere der rangerer lavest på rangstigen...så det er i de fleste partier, nyankomne ressourcer, som indenfor kort tid flytter videre i hierarkiet. Det kan forklare hvorfor IT sikkerhed endnu ikke rigtigt er på dagsordenen og gennembearbejdet.
Vil man som virksomhed beskytte sig, så vent ikke på at staten tager ansvar. Det er helt korrekt at efterretningtjenesterne også laver industrispionage, men de handler også med data indbyrdes. Det afslørede Snowden for efterhånden længe siden. Så kære virksomhed, pas selv på dine informationer og din integritet

Skal man forklare hvorfor alting går så langsomt, så er der ganske enkelt gået "udvalgsmøder i den", et generelt problem, som også mange større organisationer løber ind i. Alle holder mødes om alting, det er tidskrævende og trækker processerne ud i evigheder. Hold istedet telefonmøder og webinarer og ha' en langt mere resultatorienteret tilgang til møder med fastsatte regler om faktuelle resultater og afkast ved hvert møde. det gør også at alle møder velforberedte op og hver især løser deres opgaveandele til tiden. Det private erhvervsliv er væsentligt bedre til det end den offentlige sektor, men vi skal selvfølgelig også se på bundlinjer;-)

Med venlig hilsen
Mette Nikander/ C-cure.dk

John Foley

Tak Mette Nikander for dette modige, relevante og tankevækkende indlæg. Den lovede revision, som man stillede i udsigt tilbage i 2014, og som man har haft mere end 2 år til at færdiggøre, har myndighederne ladet hånt om.
Pointen og dobbeltmoralen er, at de selv samme myndigheder, der påpeger alvoren i situationen, jf. egne trusselsvurderinger og afsløringer af hackerangreb m.m., ikke selv gør noget ved det og undlader enddog at efterleve, det de selv har igangsat.
Og nu hører vi så, at den arbejdsgruppe, der skulle udfærdige strategien, slet ikke var klar til at modtage input fra de private, endsige havde sørget for at den eksisterende handlingsplan er efterlevet. I min optik er det arrogance og magtbrynde af værste skuffe.
Det er på tide, at regeringen og politikerne nu vågner op og tager fat, hvor embedsværket har svigtet. Kun ved etablering af et reelt offentligt-privat-samarbejde vil det kunne lade sig gøre at sikre samfundet og befolkningen i cyberspace, som man har set det i mange andre lande vi normalt sammenligner os med.
Hav tålmodighed lidt endnu Mette Nikander, jeg lover dig at der snart kommer nye tider og boller på suppen.

Log ind eller opret en konto for at skrive kommentarer