Sikkerhedsekspert: Halsløst at overlade cybersikkerhedsopgaven til Forsvaret alene

Ofte bliver nationers økonomi eller samfundsvigtig og kritisk infrastruktur samt it-systemer angrebet. Derfor er vi nødt til at tænke nyt i beredskabet og modsvaret, anfører erfaren fagmand.

Det er både urimeligt og halsløst at fremadrettet overlade opgaven med at beskytte samfundet mod cybertrusler og løfte sikkerheden på området til Forsvaret alene.

Stifter af den uafhængige rådgivnings- og it-sikkerhedsvirksomhed COPITS John Foley Illustration: Privatfoto

Det skriver John Foley, der er tidligere sikkerhedsofficer og stifter af den uafhængige rådgivnings- og it-sikkerhedsvirksomhed COPITS, i et indlæg på krigsvidenskab.dk.

Cyberområdet er nemlig langt større end opgaven med traditionelt territorial-forsvar og internationale aktioner, som er Forsvarets ekspertise, anfører John Foley.

»Opgaven består i aktiv udvikling og beskyttelse af både organisationer og systemer i samtlige sektorer i vores digitaliserede samfund: sundhed, transport, el- og vandforsyning, finans, kommunikation osv.,« skriver han på krigsvidenskab.dk.

Mange aktører arbejder med it-sikkerhedsberedskab

Selv om ansvaret for den offentlige opgave i det væsentlige i dag er placeret hos Forsvaret, er der mange andre instanser, der arbejder inden for området.

Men det sker bare alt for fragmenteret:

»Alle er udsatte, og mange arbejder intenst med opgaven - dog uden overordnet koordinering og et tilstrækkeligt struktureret, tværgående samarbejde,« tilføjer Foley

Det er altså ikke en løsning bare at etablere en ny offentlig civil organisation uden for Forsvaret til at overtage opgaven.

Læs også: Sikkerhedsekspert: Milliarder til cyberforsvar bruges helt forkert

Erfaringer peger nemlig entydigt på, »at offentlige instanser ikke er i stand til at alene at indsamle, koordinere, sikre, afhjælpe eller varsle, når alvorlige sårbarheder øger risikoen for angreb og truer alle fra den enkelte borger, den enkelte virksomhed, stor eller lille, til nationalstatens sikkerhed i cyberspace eller ved angreb på samfundsvigtig og kritisk infrastruktur«.

John Foley mener, at man kunne lade sig inspirere af andre lande, som har et nationalt råd og derudover en række sektorspecifikke Information Sharing and Analysis Centres, der hver især varetager beskyttelsen i samfundets sektorer.

Og dette regeringsetablerede nationale cybersikkerhedsråd bør vel at mærke arbejde som et Public-Private Partnership (PPP), hvor medlemmerne repræsenterer operatører af kritisk infrastruktur (sundhed, transport, teleindustri, luftfart mv.) såvel som centrale offentlige enheder (Center for Cybersikkerhed, Datatilsynet, Digitaliseringsstyrelsen, KL, PET m.fl.) samt brancheforeninger og ikke mindst repræsentanter fra forskningen.

Det var en erkendelse af dette behov, der ledte amerikanerne til etableringen af National Council of ISACs (Information Sharing and Analysis Centres) i 2003. Rådet har i dag har 24 sektorspecifikke ISACs som medlemmer.

»Flere europæiske lande følger nu samme model på både sektor- og nationalt niveau, og Danmark bør hurtigst muligt følge trop og sikre sig en førerposition som ét af verdens mest digitaliserede samfund, men endnu ikke det mindst sårbare af slagsen,« lyder det fra John Foley.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
Anne-Marie Krogsbøll

Ud over det muligvis rent datasikkerhedsmæssigt uheldige i at overlade opgaven til CFCS, hvad betyder det så rent privatlivsmæssigt? Når f.eks. vore sundhedsdata, genomcenter etc bliver underlagt CFCS som kontrolorgan (så vidt jeg har forstået), så har jeg forstået det på den måde, at borgernes almindelige rettigheder ift. egne data, ikke i samme grad gælder, når CFCS er inde over.

Får CFCS adgang til disse data - uden parlamentarisk/offentlig kontrol?

John Foley

FE og CFCS er undtaget de love der ellers er gældende for resten af samfundet, herunder offentlighedsloven, persondataforordningen og centrale dele af forvaltningsloven. Og heller ikke aktindsigt er muligt.
I forslag til Lov nr. 143, om krav til sikkerhed for net- og informationssystemer inden for sundhedssektoren, der netop har været i 1. behandling og nu sendt i udvalgsarbejde, er det netop disse forhold, som flere af udvalgets medlemmer stiller kritske spørgsmål til.

Anne-Marie Krogsbøll

Tak for uddybning, John Foley. Vi må krydse fingre for, at disse kritikere kan komme igennem med et eller andet - for i mine øjne er også dette aspekt særdeles alvorligt. Endnu et skridt mod et totalitært samfund. Og endnu en grund til at sige nej til at deltage i forskning, indtil der er ordentligt styr på disse farlige områder.

Ivo Santos

Normalt er trusler og lignende en politiopgave og ikke en Forsvars opgave.

Sikkerhed, og sikkerhed, ja, hvad med at blokere for falske telefon numre fra f.eks. Indien, Pakistan eller Afrika, det ville da helt sikkert hjælpe en del, og det er specielt når man taler med en, hvis stemmer lyder fra Indien eller Pakistan, og påstår at der er noget galt med ens pc, det er da ikke en forsvars opgave men en opgave for både teleselskaberne, efterretningstjenesten, og eksperter.

Cybertrusler!:
At eksisterende hardware og software produkter ikke er designet til den opgave som de er beregnet til er vel heller ikke en forsvars opgave, men nok nærmere en blanding af en opgave for lovgiver, eksperter, og måske også en opgave for et blanding af både statslig og privat firma af producere samfundskritiske komponenter, eller produkter som rent faktisk er designet til opgaven og ikke sådan bare lige kan hackes eller andet sådan bare uden videre, ligesom det for f.eks. er meget svært sådan fysisk at trænge ind på kræftværker, distributions centraler for el, folketinget, eller f.eks. Amalienborg.

Hvad eller vi har brug for kunne være et kursus for bogholdere, telefonpasser og andre medarbejdere i at kunne spotte en svindler ligesom eller man kunne oprette et særskilt stilling for kommunikation sådan i stil med f.eks. vagter og lignende, som trods alt kræver at man har kompetencer til at spotte en svindler.
En sådan kommunikations medarbejder skulle så tage sig at email og telefon, det kunne måske også løse visse problemer.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017