Sikkerhedsekspert: Milliarder til cyberforsvar bruges helt forkert

Det er spild af penge at udstyre Forsvarets Efterretningstjeneste og Center for Cybersikkerhed med flere penge til at beskytte Danmark mod cyberangreb. Illustration: center for cybersikkerhed
Hverken Forsvaret eller Forsvarets Efterretningstjeneste har den fornødne indsigt, kompetencer til at løfte opgaven med at beskytte Danmark mod cyberangreb. Sådan lyder kritikken fra John Foley, tidligere sikkerhedsofficer og ejer af rådgivningsvirksomheden COPITS.

Det er at smide gode penge efter dårlige, når forligspartierne bag det nye forsvarsforlig har afsat 1,4 milliarder kroner til at styrke indsatsen mod cyberangreb.

Stifter og direktør af Copits - et uafhængigt rådgivningsfirma med speciale i it- og cybersikkerhed John Foley, der også bl.a. er tidl. sikkerhedsofficer Illustration: Privatfoto

Sådan lyder den hårde kritik fra John Foley, tidligere sikkerhedsofficer og ejer af rådgivningsvirksomheden COPITS.

Foley har mere end 30 års erfaring med it-sikkerhedsarbejde, blandt andet i Forsvaret, It og Telestyrelsen, Center for Cybersikkerhed ved FE og nu i rådgivningsvirksomheden COPITS.

Han henviser til at de 1,4 milliarder kroner blandt andet skal bruges på et døgnbemandet nationalt cybersituationscenter i Center for Cybersikkerhed og en udbygning af kapaciteter i Forsvarets Efterretningstjeneste.

Læs også: Forsvarsforlig: 1,4 milliarder kroner skal styrke Danmark mod cyberangreb

»Som udgangspunkt synes jeg det er hensigtsmæssigt og godt, at der nu fokuseres og findes penge til dette vigtige område, men sådan som de er tænkt anvendt, mener jeg det er at smide gode penge efter dårlige, og frås med skatteborgerens penge,« siger John Foley.

Det er især de ekstra ressourcer til Center for Cybersikkerhed(CfCS), der de seneste fem år har været national it-sikkerhedsmyndighed, der vækker vrede hos John Foley.

»Center for Cybersikkerhed belønnes nu for ikke i tilstrækkelig grad at have sikret den danske befolkning. Det er grotesk og vidner om at staten belønner i stedet for at straffe, når institutionerne fejler og ikke gør deres arbejde. Hverken Forsvaret eller Forsvarets Efterretningstjeneste, herunder Center for Cybersikkerhed, har den fornødne styrke, indsigt, kompetence eller ekspertise til at løfte opgaven. Og en tro på, at flere penge, ressourcer og beføjelser til dem vil hjælpe, er forkert, siger John Foley.

Han pointerer at selvom Danmark er et af de mest digitaliserede lande i verden, så rangeres Danmark på en 34. plads i en FN-rapport, når det kommer til at kunne beskytte befolkningen mod cybertruslen.

»Der skal helt andre tiltag og løsninger på bordet. I alle FE’s risiko- og trusselsvurderinger står der hvor vigtigt det er at beskytte samfundsvigtig og kritisk infrastruktur, men hverken Forsvaret, FE eller CfCS har evnet eller formået at skrive, hvad der forstås ved dette begreb eller hvordan man har tænkt sig at beskytte befolkningen mod angreb på samfundsvigtig kritisk infrastruktur, « siger John Foley.

Omvendt rækkefølge

I det nye forsvarsforlig understreges det, at de midler og aktiviteter der nu sættes i gang skal:

"hænge tæt sammen med initiativer i den kommende nationale strategi for cyber- og informationssikkerhed, og derved medvirke til at sikre sammenhæng og øget robusthed på tværs af sektorer."

Den kommende nationale strategi for cybersikkerhed er i forvejen forsinket omkring 14 måneder.

Læs også: Regeringen lover 100 millioner kroner til forsinket strategi for cybersikkerhed

Men det er den helt forkerte rækkefølge, når man først allokkerer ressourcer, for bagefter at udarbejde en strategi for området, lyder det fra John Foley.

»Inden tildelingen af disse mange penge burde der som minimum have været udarbejdet og forelagt en national cybersikkerheds strategi, der tydeliggjorde og forklarede, hvad behovet var og hvad man ville bruge pengene til. En sådan strategi er blevet lovet for længe siden, men udsat gang på gang, « siger John Foley.

Læs også: Et år uden strategi for cybersikkerhed: Hvor mange gange kan skindet sælges?

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Søren Matz

Faktorernes orden synes at være ligegyldig, når de folkevalgte skal være enige om en sikkerhedspolitisk tilgang til digitalisering og disruption. I den sammenhæng synes det nye forsvarsforlig at være halen, der logrer med hunden.

FN bedømmer, at dansk sikkerhedspolitik på cyberområdet generelt lider under mangelfuld lovgivning, udestående strategiudvikling, fejlbehæftet tværsektoriel sammenhængskraft, dysfunktionelt offentligt-privat samvirke og diffus kapacitetsopbygning. Tildeling af ressourcer til Forsvarets lukkede kredsløb alene løser ikke de udfordringer. Digitalisering og disruption kræver en mere holistisk sikkerhedspolitisk tilgang.

Med lidt tålmodighed kunne man forvente, at den lovede overordnede strategi for informationssikkerhed kan rette op på manglerne, men uden tydelige overordnede sikkerhedspolitiske målsætninger, eksempelvis til beskyttelse af kritiske infrastrukturer, vil der stadig være 'hul midt i spanden'.

Vi mangler stadig en drøftelse af politiske principper for fremtidens cybersikkerhed. Politik er nu en gang forudsætning for strategiudvikling. Det er hunden, der skal logre med halen.

  • 12
  • 0
Peter Kruse

Jeg er helt enig med både John Foley og Søren Matz kommentarer og holdninger.

Det er mig ubegribeligt at man vil centralisere en national sikkerhedsindsats omkring en efterretningstjeneste som gerne vil trække data men ikke dele. At man så vil implementere NIS i samme hug giver CfCS mange uigennemtænkte muligheder.

Af samme grund publicerede vi et respons på den del af forsvarsforliget i fredags:
https://www.linkedin.com/feed/update/urn:li:activity:6362664735250407424...)

  • 8
  • 0
Jesper Frimann

Selv om jeg grundlæggende er enige med Peter, Søren og John, når man ser isoleret på IT-sikkerheds området, så er det her jo et symptom på et underliggende problem, nemlig at man ikke forstår og tager IT alvorligt fra Politisk side. (Man kan så sige at der heller ikke er så mange andre af de mere komplicerede fagområder man tager alvorligt. )

Danmark Cyperforsvar (altså den defensive del) burde være forankret i en central offentlig Enterprise arkitektur med en tilhørende organisation, der forgrenede sig ud gennem alle offentlige IT-instanser.

Men igen så kræver det at man fra offentlige side respektere fagligheden og så at sige folk med faglige ekspertise på området være drivere og være dem der kommer med de indstillinger der skal tage en politisk beslutning om og prioriteres imellem.

// Jesper

  • 8
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize