Er CFCS pengene værd ?

Da CFCS for seks år siden blev oprettet blev konstruktionen kritiseret for dens næsten totale mangel på transparans, som ikke giver nogen mulighed for at evaluere om det faktisk virker.

Enhver evaluering må nødvendigvis forholde sig til udgiftssiden, men det er altsammen hemmeligt. Vi ved kun at vi hælder en lille millard skattekroner i FE om året, vi ved ikke hvor store indtægter de har, f.eks fra salg af overvågningsdata til andre stater og vi ved ikke hvor stor en andel af det samlede budget der bliver brugt på CFCS.

Det nærmeste vi kommer at få noget at vide er deres årsrapport, hvor 2017 udgaven nu foreligger.

Opgørelsen af sikkerhedshændelser som CFCS har været ind over afrapporteres i følgende inkompetente lagkagegrafik:

Illustration: CFCS's årsrapport 2017

Hvor mange "Alvorlige" hændelse har der været ? Et godt gæt er "en", men det burde ikke være nødvendigt at gætte.

Imidlertid er det først med NIS direktivet fra 10 maj i år at der er indberetningspligt for offentlige myndigheder, så tallene siger os ingenting, for vi har ingen ide om hvor mange begivenheder der ikke blev indberettet.

Tallene bliver desværre ikke væsentligt bedre fremadrettet, for NIS direktivet påbyder ikke private aktører ("erhvervssektoren") at indberette sikkerhedshændelser.

Som tidligere omtalt i pressen har to private virksomheder opsagt deres tilslutningsaftale til CFCS's "sensornetværk" og årsrapporten siger at der ikke er kommet nye tilslutninger.

Tilbage i netværket er 39 offentlige myndigheder som reelt ikke har valget og 2 private virksomheder der er tilsluttet fordi en offentlig kunde har krævet og betalt for det.

CFCS har med andre ord næppe nogen betydning udenfor den offentlige IT.

Og det er sådan set det.

Resten af årsrapporten er en blanding af dårlig og meget forsinket IT journalistik og en enkelt tabel med "proaktive indsatser" der mest handler om mødeaktivitet.

Hvis man sætter øret på telegrafmasten kan de virkeligt kompetente IT sikkerhedsfolk lige svinge sig op på "Inderligt ligegyldigt tidsspilde", men det er sådan set fair nok, det er ikke dem CFCS skal hjælpe, de kan selv.

Jeg har derimod ikke kunnet opspore et eneste "Takket være CFCS..." eller "Hvis det ikke havde været for CFCS..." noget sted og har CFCS heller ikke, for så havde det sikkert været en prominent placeret i årsrapporten.

I alt er der ca. 825.000 offentlige ansatte i Danmark, heraf halvdelen i børnepasning, skoler, hospitaler og plejehjem.

Det er nok ikke helt forkert at gætte på at der er en halv million computere i den offentlige IT og omkring 1 million mobiler/tablets/håndterminaler.

Sætter vi CFCS's budget til en kvart milliard og fordeler det 50/50 mellem mennesker og computere koster CFCS 250 per offentlig ansat og 75 kroner per CPU+OS.

Det synes jeg er for dyrt, taget i betragtning hvad vi ser ud til få ud af det.

phk

Kommentarer (21)
Nick Hansen

I seneste jobopslag fra FE, vil de have nye folk til cybersikkerhed. Læs implicit: Helst cand. politter eller jurister. De skal mødes med andre cand. politter og jurister fra Digitaliseringsstyrelsens kontor for cybersikkerhed og sammenligne ISO 27001 skabeloner. Vi kommer til at leve i verdens meste sikre land... på papiret.

Der er også håb for Politiets nye center for IT relateret økonomisk kriminalitet (LCIK).

De hyrer HK-ere og flere cand. politter til at løse sagerne og bekæmpe den voksende IT-kriminalitet.

Den største trussel mod IT-sikkerheden i Danmark er ikke Rusland eller Rumænske IT-kriminelle, men den danske hær af Djøffer, der skaber flere problemer end de løser.

Povl H. Pedersen

Bare se på deres trusselsvurderinger (som de mener er alignede med de generelle niveauer).

Hvis trusselsniveauet for hospitalssektoren er "meget højt", så er der vel en hær af CFCS folk på vej ud til regionerne, hvor de overtager kontrolrummet, og sørger for at alt er klart til at imødegå det kommende næsten uundgåelige angreb.

Det er ihvertfald sådan at jeg havde forestillet mig at de burde fungere. Flere små indsatsstyrker / SWAT teams der med øjebliks varsel kan rykke ud og forsvare os.

Men som jeg læser det, så er de blevet løbet over ende af papirkrigere der mener at man kan smide bunken med de 7 sidste dages print ovenpå kablet, og så er der lukket.

Når rigsrevisionen har rejst en masse kritikpunkter af offentlige myndigheder, så burde CFCS sende en mand ud der sikrer at de relevante myndigheder løser problemerne. Eller ændre sine anbefalinger, så det er tydeligt hvad man bør og skal. Og man skal mene skal hvis det står skal.

For forskellen på Skal/bør/må så kan man eksempelvis se her:
https://tools.ietf.org/html/rfc2119

Henning Mølsted Journalist

God analyse, Poul-Henning.

Med til at underbygge det forhold, at CFCS' rolle for it-sikkerheden i Danmark lader meget tilbage at ønske er Version2s undersøgelse fra foråret, hvor 25 procent af dem, der har it-sikkerhed som primær beskæftigelse, mener, at rådgivningen fra Center for Cybersikkerhed er dårlig eller meget dårlig - og knap halvdelen kan ikke sige den er god. https://www.version2.dk/1085008

Nick Hansen

Men som jeg læser det, så er de blevet løbet over ende af papirkrigere

Ja, mange af disse IT-sikkerhedseksperter bekæmper sikkerhedsproblemer med Office-pakken, som deres eneste våben.

De har lært Ctrl+C og Ctrl+V, som de bruger flittigt til sende tekst fra primært britiske sikkerhedsanbefalinger gennem google translate, for derefter at rette lidt på fonten og margener.

I Digitaliseringsstyrelsen kalder de det best practice, som belønnes med en Chefkonsulent stilling. I gymnasiet kalder de det plagiat, som belønnes med en dumpekarakter.

Mads Hjorth

Nogle gange er et plakiat bedre en grundforskning eller intuition. Særligt når man gerne ville have et forudsigeligt resultat indenfor til begrænset tidsrum.

— fra en der er blevet ‘belønnet’ med en titel af Chefkonsulent (lige om lidt omdøbt til Seniorkonsulent) hos Digitaliseringsstyrelsen.

Nick Hansen

Særligt når man gerne ville have et forudsigeligt resultat indenfor til begrænset tidsrum.

Garbage in, garbage out - ret forudsigeligt. Sparrede lige 20 konsulenter og 10 fuldmægtige. Du kan bruge dem i hjemmeplejen.

Sender du os lige linket til de uafhængige undersøgelser af ISO 27001, der viser en signifikant effekt på IT-sikkerheden? Altså ikke dem, der er betalt af de som lever af at fakturere ISO 27001.

Mads Hjorth

Jeg er enig med PHK om at vi (altid) skal stille spørgsmålstegn ved om vi får nok for pengene.

En anden måde at regne på, kunne være at dele milliarden med antallet af danskere. Så ender vi på at den fælles forsikring mod det grumme udland er cirka 200 kr/år.

Og hvis vi skal stille det i forhold til noget andet, så koster Digital Post os cirka 20 kr/år.

Men det svarer desværre ikke på om vi får nok for pengene :-/

Det må være op til Forsvaret at sandsynliggøre det. Selvom argumenterne nok vil ligne dem vi får om det militære forsvar generelt – "vi bidrager nok til at de store passer på os".

Christian Nobel

En anden måde at regne på, kunne være at dele milliarden med antallet af danskere. Så ender vi på at den fælles forsikring mod det grumme udland er cirka 200 kr/år.

Jamen, jamen, jamen, det er jo ikke nogen forsikring mod "det grumme udland", udelukkende penge krigsministeriet kaster ud til at Center For Cyber Usikkerhed kan eksperimentere med cyberkrigsførelse.

Luk det, hellere i går end i dag, og fjern i samme åndedrag Digitaliseringsforstyrrelsen fra jordens overflade - nogle af pengene kunne så bruges til at styrke datatilsynet og lave et nationalt sikkerhedsråd som var til for civilsamfundet.

Nick Hansen

Viser lagkagen kun hændelser som Netsikkerhedstjenesten og deres Snort Fork har fundet eller er der også eksterne 3-parts tips med i lagkagen?

Hvis det er eksterne aktører, der har spottet en stor del af moderate, større og alvorlige hændelser, samtidig med at de mange falske positiver er fra Snort. Så viser det jo et bevidst skævt billede af virkeligheden, samt hvorfor TDC og Region H ikke gider lege med mere.

Ej, det kunne danske embedsmænd aldrig finde på. Al den tørke og dehydrering får mig til at se spøgelser.

Arne Skov

Nogle gange er et plakiat bedre en grundforskning eller intuition. Særligt når man gerne ville have et forudsigeligt resultat indenfor til begrænset tidsrum.


Selvfølgelig er videreformidling af udenlandske erfaringer på forståeligt dansk en vigtig opgave, så bliv endeligt ved med det. Ambitionsniveauet hos CFCS ser dog ud til at være noget højere.
I øvrigt, apropos dansk: Det hedder "plagiat" og "bedre end". "ville have" er konjunktiv og udtrykker et ikke opnået ønske - du mener formodentligt "vil have". Jeg forstår ikke anvendelsen af ordet "forudsigeligt" i denne sammenhæng: Forudsigelige resultater behøver man ikke bruge meget tid på, men måske mener du "synligt" eller "brugbart". Det hedder "indenfor et begrænset tidsrum" - hvilket jeg så ikke rigtigt forstår i sammenhængen: Det er vel ikke sådan, at man standser arbejdet, hvis ikke man har nået et resultat i løbet af to timer? Er det et udtryk for at det er vigtigere, at reagere hurtigt end at reagere korrekt?

Povl H. Pedersen

Både det at de mangler mandat, og evne til at søge mandat er vel med til at mindske deres berettigelse.

Man burde lave en datasikkerhedsinstitution som havde mandat til at kræve konkrete tiltag i de enkelte virksomheder.

Man burde måske lave noget vurdering af CIS 20 (som er krav digitaliseringsstyrelsen anbefaler man stiller til leverandører), og lave direkte krav til operationel IT Sikkerhed.

Disse vil ikke forstås af ledere, hvilket er godt. Så kan de forhåbentlig skubbes ned til en der forstår det.

Claus Juul

Hej PHK

Hvad angår cfsc's mulighed for at have en indtjening på at sælge data, kan dette findes i statsregnskabet, jeg er næsten sikker på at det må de ikke.

Jeg kan takke CFCS for at gøre mit arbejde letter, ved at jeg får serveret kriterier (minimums anbefalinger) for godt it sikkerhed. Det gør at jeg ikke selv skal argumentere for hvorfor man bla. ikke skal være lokaladministrator

Mogens Bluhme

Rapporten giver uforholdsmæssig megen omtale af crypto-ransomware. Det burde være det mindste problem. Ødelæggende virkninger af sådanne angreb kan man undgå ved at tænke sig om. I modsat fald kunne fyringer på C-suite level være et udmærket incitament.

Den omtaler derimod stort set ikke den værste type angreb, nemlig APT. Det kan måske være fordi DDOS og crypto-ransomware trækker overskrifter, som folk (incl. bevillingspersoner) kan forstå.

Og på rådgivningssiden savner jeg noget om open source og communities, eksempelvis IOC og REMnux med værktøjer som Yara og Volatility.

Jeg bliver langt klogere ved at læse artikler fra f.eks. SANS-instituttet.

I det, der senere blev kendt for at være "the science war", publicerede fysikeren Alan Sokal i 1996 en artikel i et anerkendt poststrukturalistisk tidsskrift med en hypotese om at kvantemekenikken var en "konstruktion".

Det var en joke - han havde brugt buzz-words og en vrøvlegenerator.

Det burde ikke være raketvidenskab at gentage forsøget, der sagtens kunne matche en CFCS-rapport i banaliteter.

Henrik Sørensen

Det er ihvertfald sådan at jeg havde forestillet mig at de burde fungere. Flere små indsatsstyrker / SWAT teams der med øjebliks varsel kan rykke ud og forsvare os.

... er i høj grad enig med Povl. Jeg savner også at se proaktivitet fra CFCS manifesteret i en “udrykningsstyrke”, der beskytter væsentlige interesser, både offentlige og private.

Den reelle udfordring er sammenblandingen af spionage- og beskyttelsesaktiviteter hos FE ... man kan jo næppe forvente at CFCS skal komme farende og advare om de 0-days den anden del af organisationen har tænkt sig at udnytte til at penetrere mulige fjender med ...?

Dermed har man reduceret CFCS til et forkrampet og forfejlet forsøg på at vise handlekraft ... pengene kunne være bedre brugt i en anden organisatorisk kontekst end FE.

Dave Pencroof

at der ikke står ISO27001 eller ISO 27001. Man mister gerne troen, når man ikke engang kan få identiteten korrekt.


Såfremt den "forkerte" skriveform ikke er MENINGSFORSTYRRENDE virker kommentaren mere irriterende end konstruktiv, og den er på ingen måde fokuseret på bloggen's/indslagets indhold, lad os holde os til det indholdsmæssige og ikke stavning og/eller grammatik. INDHOLDET ER DET ENESTE VIGTIGE, såfremt du ønsker at forstå det. Jeg troede engang at trolde var et eventyr væsen, men der viser sig at være mange eventyr figure der bruger internettet, måske fordi trolde bliver til sten hvis de kommer frem i solen !

BTW. så virker mange af folketingets "tiltag" som spil for galleriet, og ofte oplever jeg at bare man ind imellem kan råbe "ULVEN KOMMER !" og få det til at lyde som om man ved noget, så er myndigheder og folketing glade (for nu har vi igen sat noget op som hjælper dem der betyder noget, nåh nej jeg mente samfundet !) med samfundet er jo ikke det enkelte menneske, en bolig forening, en virksomhed eller lignende, nej da samfundet er dem der får alt til at køre så godt som vi syntes det skal og som vi VED er den rette facon !
CFCS har som det skrives heller ikke fået andet at straffe med end at vifte bestemt med en pegefinger og selv det må de sikkert kun gøre i absolut mørke og med den/de skyldige med ryggen til !

Det lader til at folketinget sørger for at kriminelle og andet godtfolk hele tiden har huller i systemet, så folketinget kan "komme efter dem" med ekstreme kontrol instanser styrelser og tilsyn på alle hylder uden reelt indhold, (men først efter at have lavet huller andre steder), f.eks. fjernelsen af revisor kravet og uendeligt mange andre "tiltag" som de forskellige typer af kriminelle iler hen til og svindler alle høj som lav. og al kontrollen rammer alene alle os ikke-kriminelle (som jo INTET har at skjule HA HA, har du INTET at skjule har du aldrig været levende !). Vi kan så spændt vente på næste undergravning af tilliden mellem mennesker !
I øvrigt, hvor mange brøkdele af en promille af befolkningen udgøre disse kriminelle, og hvor mange ressourcer bruges der på at ramme disse oftest "usynlige" mål, fra fangst over beviser/indicier/vidner, udmåling, dom, anke, dom, anke, dom, til x mdr's straf. for slet ikke at tale om den skade de har forvoldt på ofrene !!
Nogen skal dog have omstillet deres tillids niveau gevaldigt, eller er det grådighed, når man på nettet bestiller den nyeste Iphone eller en Louise Vuitton taske til 174,37 kr plus fragt og betaler I FORVENTNING OM AT MAN IKKE BLIVER SNYDT, og tilmed føler det berettiget at kræve erstatning fordi man kunne da ikke forestille sig at en 10000 kr's tlf eller 25000 kr's taske til under 200 kr skulle være svindel. Den slags væsner skal indstilles til en af-art af Darwin awards !

Desværre må vi, så længe så mange er tavse/ligeglade/grådige/afvisende/ikke-tænkende/sovende, håbe at nogen af disse mange vil vågne så vi kan få vækket endnu flere, inden alt ER LIGEMEGET eller slut, hvor mange år kan denne verden holde til mennesker som de er i dag, før alting slukker og lukker for alt er enten løbet tør eller forgiftet

Log ind eller Opret konto for at kommentere