Gæstebloggen

Cybertruslen stiger - men hvem der skal gøre hvad og hvornår er indhyllet i tåge

Det fremhæves ofte, at det danske samfund er verdens mest digitaliserede. Vores liv kan ikke længere adskilles fra informations- og kommunikationsteknologi. Danmark er en såkaldt IKT-afhængig stat - og vi er IKT-afhængige borgere.

Det er derfor ikke uden grund, at cybertruslen i dag regnes for en af de absolut største trusler, hvis ikke den største. Det gælder i et nationalt sikkerhedspolitisk perspektiv såvel som i det danske erhvervsliv.

Ph.d. Tobias Liebetrau, Institut for Statskundskab, Københavns Universitet, forsker i, hvordan cybersikkerhed håndteres i Danmark og EU, herunder hvordan de to organer spiller sammen. Han er tidligere ansat i Center for Cybersikkerhed ved Forsvarets Efterretningstjeneste (FE), hvor han bl.a. var med til at udforme Danmarks første nationale cyber- og informationssikkerhedsstrategi. Illustration: Privatfoto

Den teknologiske udbredelse og udvikling er med til at gøre cybersikkerhed til en kompleks, dynamisk og diffus udfordring.

Grænserne mellem det digitale, fysiske og biologiske opblødes, udviskes og forvitrer. Geografisk og tidslig bundethed opfattes som en saga blot. Cybertruslen synes ubegrænset af tid og rum.

Det udvider drastisk de sikkerhedspolitiske sårbarheder og antallet af potentielle mål – fra stater over private virksomheder til individuelle brugere.

Cybertruslen udfordrer således en række af de traditionelle skillelinjer, som vi normalt bruger til at indrette vores samfund og sikkerhedspolitik efter, herunder skellet mellem offentlig og privat.

Kraftigt udfordret

Statens og forsvarets historiske monopol på den nationale sikkerhed er kraftigt udfordret på cyberområdet.

Det skyldes dels, at truslen som nævnt går på tværs af mange af de skillelinjer, som vi normalt organiserer rigets sikkerhed på baggrund af, dels at meget af den kritiske (informations) infrastruktur er privat ejet og drevet.

Den uforudsigelighed og usikkerhed, der er forbundet med den fortsatte udvikling i og brug af IKT, samt den private sektors mellemkomst gør traditionel politisk styring, organisering og lovgivning vanskelig. Håndtering af cybertruslen kræver, at sikkerhedspolitik og kriminalitetsbekæmpelse tænkes ud over den klassiske politimæssige og forsvarspolitiske styring.

Mere end nogensinde før ser vi således i dag et opbrud i grænserne mellem statens ansvar for nationens sikkerhed og borgerens ret til beskyttelse. Grænsen mellem den offentlige og den civile sfære ændres.

Der er i Danmark fortsat et fravær af både koordinerende myndighed og en tilstrækkelig åben strategisk-politisk prioritering på cybersikkerhedsområdet. Danmark har i modsætning til mange andre lande fravalgt at have en centralt koordinerende myndighed på cyberområdet samt en klar definition af, hvilke industrier og funktioner der udgør Danmarks kritiske infrastruktur.

Stor uklarhed

Der er kort sagt stadig stor uklarhed på området. Hvem der skal gøre hvad hvornår i forhold til cybertruslen er stadig indhyllet i tåge. Man kan håbe, at tågen letter i takt med implementeringen af den nationale cyber- og informationssikkerhedsstrategi fra tidligere i år, herunder når de sektorspecifikke strategier fremlægges før nytår.

Læs også: Dokumentation: Læs regeringens nye cyber- og informationssikkerhedsstrategi

Men det er fortsat uvist, hvor det ender, og strategien sætter ikke ret klare mål for, hvilket cybersikkerhedsniveau vi skal have nået om 4-5 år. Hverken bredt set eller for de enkelte sektorer.

De manglende politisk-strategiske prioriteringer og den manglende koordinering øger Danmarks sårbarhed over for cyberangreb. Samtidig svækkes det danske demokrati, da grænserne for dansk sikkerhedspolitik forbliver uklare og dermed nemmere undviger den demokratiske offentligheds blik.

WannaCry og NotPetya

Som vi har oplevet på det seneste, kan cybersikkerhedshændelser som ransomware-angrebene NotPetya og WannaCry få alvorlige konsekvenser, i takt med at infrastruktur, hospitalsudstyr og teknologi helt ind i de mest intime aspekter af vores dagligdag i stigende grad bliver koblet op til internettet.

NotPetya og WannaCry udstillede flere af dilemmaerne i forhold til placeringen af ansvaret for cybersikkerhed i en stadig mere digitaliseret og forbundet verden. En verden, hvor ansvaret for cybersikkerhed er fragmenteret og kan placeres hos flere og flere modsatrettede og overlappende autoriteter.

NSA, Microsoft, hackergruppen Shadow Brokers, Nordkorea, Rusland samt private og offentlige systemejere stod alle for skud. Det er ikke nemt at placere entydigt ansvar for en sådan hændelse. Hvem kan vi stille krav til beskyttelse fra? Hvem kan vi holde ansvarlige, når det går galt og konsekvenserne er fatale?

Det risikere at svække vores demokratiet og tilliden til det, hvis vi ikke bliver bedre i stand til at besvare disse spørgsmål.

Derfor bør vi i langt højere grad efterspørge klare politiske strategiske prioriteringer, forskning og mediedækning, der med udgangspunkt i store spørgsmål om teknologiens samfundsforandrende potentiale fokuserer på, hvad cybersikkerhed er, kan og bør være. På den måde kan vi komme tættere på at besvare spørgsmålene om, hvem der kan holdes ansvarlige af hvem og for hvad.

Som borgere og civilsamfund er det nødvendigt, at vi kræver en demokratisk og sikkerhedspolitisk organiserings- og beslutningsform, der holder den politiske ledelse, efterretningstjenesterne, infrastrukturudbyderne og it-konglomeraterne ansvarlige og gør dem til genstand for politik, diskussion og kritik.

Der er vi ikke i dag.

Situationen i Danmark

Med det seneste forsvarsforlig samt den nationale cyber- og informationssikkerhedsstrategi synes regeringen at have fastholdt en forsvarsdomineret tilgang til cybersikkerhed. Især når man ser på finansiering.

Ud af 1,5 milliarder går 1,4 milliarder forventeligt til forsvarspolitiske bindinger. Det betyder, at der kun er afsat 100 millioner kroner til strategiens øvrige områder over fire til fem år.

De tildelte 100 mio. kr. er et engangsbeløb, der primært skal dække tværsektorielle aktiviteter – ikke sektorernes interne udgifter og den løbende drift. Hovedparten af ressourcerne til at udvikle, indføre og opretholde de øgede krav til sektorerne i form af de pålagte tiltag, foranstaltninger, kontroller osv., som den nationale cyberstrategi, sektorstrategierne og NIS-direktivet vil medføre, skal stadig findes i konkurrence med ministeriernes øvrige opgaver.

Det vil derfor fremover være en løbende opgave for de respektive sektorer selv at finde midlerne, og der skal således løbende tages administrativ eller politisk stilling til fordeling af udgifter.

Der er god ræson i at samle viden samt specifikke og sparsomme kompetencer på cybersikkerhedsområdet. Men prioritering af og økonomisk støtte til forsvarets mere eller mindre lukkede kredsløb skaber ikke alene den nødvendige cybersikkerhed. Regeringen risikerer at ramme forbi målet.

Centraliseringen af ressourcerne under forsvaret er nemlig i uoverensstemmelse med både den ansvarsfordeling og det trusselsbillede, som Danmark står over for på cyberområdet.

Som nævnt er cybertruslen og ansvaret for cybersikkerhed om noget kendetegnet ved, at begge dele går på tværs af mange skillelinjer, som vi normalt organiserer forsvars- og sikkerhedspolitik på baggrund af. På tværs af ministre og myndighedsområder. På tværs af sektorer. På tværs af offentlige og private aktører.

Regeringen har valgt at stå vagt om sektoransvarsprincippet. En beslutning, der synes at være i direkte modstrid med den centralistiske tildeling af midler på forsvarsforliget. Der er simpelthen en kæmpe diskrepans mellem finansiering og ansvar.
Endvidere er regeringen nærmest gået baglæns til arbejdet.

Man har først fordelt midler (med forsvarsforliget), så har man lavet strategi. I stedet er der er behov for, at finansiering og ansvar går hånd i hånd. Fordelingen af midler burde være sket på baggrund af en gennemarbejdet national cybersikkerhedsstrategi, hvis formål det havde været at sikre en gennemsigtig og inddragende tilgang til at styrke den nationale cybersikkerhed.

En sådan strategi skulle have haft øget fokus på offentlig-privat og offentlig-offentlig videndeling, styrket sammenhængskraft i og imellem de samfundskritiske sektorer, herunder styrket offentligt-privat samarbejde, især hvad angår beskyttelse af samfundsvigtig og kritisk infrastruktur samt yderligere fokus på struktureret og langsigtet kapacitetsopbygning.

Lad mig slutte med, hvordan det kan ske, og dermed give noget input til den fortsatte debat i dag og i fremtiden.

Anbefaling: Sektoransvar, cyberråd og teknologiministerium

Jeg advokerer ikke for et opgør med sektoransvarsprincippet.

Det er i dag vanskeligt at forestille sig, at det offentlige har ekspertise og information til at detailsikre den kritiske digitale infrastruktur. Dertil er videnniveauet i de enkelte sektorer og virksomheder for specifikt, tempoet i teknologiudviklingen for højt, og kompleksiteten af systemer og sammenkædninger for uoverskuelig. Sektorerne har det bedste indblik, men de har ikke nødvendigvis det bedste strategiske overblik.

Der er derfor behov for at en koordinerende myndighed til at styrke den fælles forståelse, videndeling og –opsamling. Både strategisk og operativt. Den samme myndighed bør sørge for, at der sættes klare, langsigtede, målbare pejlemærker for det nationale arbejde med cybersikkerhed.

Det kunne ske gennem udvidelse af 'Den nationale styregruppe for cyber- og informationssikkerhed', oprettelsen af et cybersikkerhedsråd (eller en anden tværgående instans) eller måske gennem oprettelse af et decideret digitaliserings- eller teknologiministerium.

Med sidstnævnte model ville vi blive i stand til at tænke cybersikkerhed som en del af digitaliseringsdagsordenen, der i forvejen godt kunne bruge politisk-strategisk styring. Hvad vil vi med den fortsatte digitalisering og teknologiudviklingen? Hvor skal det bringe os hen, hvorfor og hvordan? Hvad er faldgruberne og mulighederne? Hvordan skal vi prioritere mellem vækst, velfærd, sikkerhed – for samfundet såvel som for den enkelte?

I alle tilfælde ville en stærkere koordinerende myndighed kunne forbedre den tværsektorielle koordination ved at sikre, at en myndighed har centralt strategisk-politisk overblik og kan vejlede, kontrollere og om nødvendigt beordre de sektoransvarlige myndigheders implementering og forvaltning af cybersikkerhed i Danmark.

I forbindelse med implementering af den nationale strategi, udarbejdelsen af sektorspecifikke strategier samt implementeringen af NIS-direktivet er det f.eks. vigtigt, at identifikation af kritisk infrastruktur sker i dialog med private aktører i de respektive sektorer.

For at sektorerne kan identificere, hvad der er kritisk i deres ressortområde, må man først have defineret en række strategiske kriterier for, hvad det vil sige, at noget er kritisk. Sektorerne kan kun fungere som mere eller mindre selvorganiserende robuste netværk, hvis der er klare mål at selvorganisere indsatsen hen imod.

Det er et vigtigt element i et demokrati, at det debatteres i en politisk-demokratisk proces, hvad der prioriteres som kritisk, og hvad der f.eks. kan nedprioriteres i en krisesituation. Det kan en overliggende myndighed være med til at sikre.

Derfor bør staten med udgangspunkt i en sikkerhedspolitisk, social og økonomisk vurdering samt en transparent debat med private aktører og NGO’er formulere klare mål og prioriteter for cybersikkerhedsarbejdet på tværs af og i sektorerne.

Anbefaling: Forventningsafstemning og formålsafklaring af offentligt-privat samarbejde

Zoomer vi ind på det konkrete og snævre offentligt-private og offentlige-offentlige samarbejde er det nødvendigt, at man bliver bedre til at afklare, hvad formålet med det offentligt-private og offentlige-offentlige cybersikkerhedssamarbejde er.

Forventningsafstemningen på tværs af det offentlige og det private skal styrkes. Det er nødvendigt at diskutere, hvad parterne forventer at få ud af samarbejdet. Hvorfor de hver især vil afsætte tidslige, menneskelige og økonomise ressourcer til det.

Svarene vil givetvis være forskellige. Både internt i det offentlige - på tværs af CFCS, NC3, Digist og de sektoransvarlige myndigheder - og mellem det offentlige og det private.

Der er forskel på at skulle levere national sikkerhed og business continuity. De strategiske prioriteringer og mål er forskellige. Det kan vi udnytte, ved at alle parter lytter til og forsøger at forstå hinanden, så vi på den baggrund kan skabe det bedst mulige grundlag for et samarbejde bygget på forskellighed.

Det vil desuden kunne være med til at skabe yderligere gennemsigthed med tilgang til det offentligt-private samarbejde således at blive klarere på, hvem der samarbejder med hvem og hvorfor.

Tobias Liebetrau holdt oplæg på en høring om den nationale cyberstrategi, Mind the Gap, arrangeret af Folk & Sikkerhed, 18. september på Christiansborg.

Relateret indhold

Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Morten Brørup

Tak for et indsigtsfuldt og velskrevet indlæg, Tobias!

Kan man forestille sig, at der bag den politiske beslutning om primært at finansiere forsvaret (dvs. CFCS) ligger en strategi om at skabe et fyrtårn, der kan være så langt fremme på forkanten, at det vil kunne drive udviklingen indenfor cybersikkerhedsområdet, ligesom historien tidligere har vist, at verdenskrige og rumkapløb med gigantiske budgetter har drevet udviklingen af mange andre teknologier?

Og er det tildelte budget i så fald af en størrelsesorden, hvor det reelt kan ske?

Eller er der simpelthen tale om, at forsvaret har fået penge til et nyt område (et nyt værn), som har været forsømt? Og at der implicit ligger en forventning om, at cybersikkerhed er en del af den almindelige dagsorden i de andre offentlige instanser?

mvh
Morten Brørup
CTO, SmartShare Systems

Henrik Biering Blogger

Jeg er principielt meget enig i de betragtninger, du anfører.

Men alene den kompleksitet, du så rigtigt beskriver, gør at du aldrig får nogen til at TAGE ansvar, men kun til at forsøge at TØRRE DET AF på andre. Når politikerne nu har bevilget 1,5 milliarder er det ikke på grund af en avanceret behovsanalyse, men primært et signal om at de har erkendt et grundlæggende problem og nu har spillet bolden videre. Men at økonomiske bevillinger - uanset hvordan de fordeles - i sig selv skulle kunne føre til effektive tiltag på tværs af myndigheder, virksomheder og borgere er direkte illosorisk.

Man stod i en tilsvarende situation for ca. 100 år siden med indførelsen af automobilet, hvor man reducerede kompleksiteten ved at indføre tvungne typegodkendelser, regelmæssige syn kombineret med til uforståelighed grænsende rigide færdselsregler, objektivt ansvar, høje bødestraffe og mulighed for fradømmelse af førerretten.

Uanset hvor ensidigt eller uretfærdigt det eventuelt måtte føles af de entiteter og ledelser (primært samfundskritiske tjenester), der på sådan vis umiddelbart rammes af et udvidet regelsystem og objektivt ansvar, vil det uvægerligt via kontraktforhold føre til en domino-effekt mod større sikkerheds-bevidsthed i hele økosystemet.

Først når dette ansvarshierarki er etableret giver det mening at tilføre offentlige midler til styrkelse af de specifikke områder, hvor man tror at de kan bidrage mest til styrkelse af sikkerheden.

Mark H. Kristensen

Tak for en rigtig god artikel.

Burde Digitaliseringsstyrelsen ikke kunne varetage den opgave, da det allerede ser ud til at de har noget omkring sikkerhed indenfor deres arbejdsområde?

Deres mandat kunne jo udvides til at inkludere cyber sikkerhedsbeføjelser for virksomheder der er leverandører til det offentlige eller på anden vis har betydning for statens sikkerhed.

Christian Nobel

Burde Digitaliseringsstyrelsen ikke kunne varetage den opgave, da det allerede ser ud til at de har noget omkring sikkerhed indenfor deres arbejdsområde?

Der var det så at jeg fik kaffen galt i halsen.

Digitaliseringsforstyrrelsens tilgang til sikkerhed har f.eks. været at stå fadder til det sikkerhedsmæssig fuldstændig håbløse NemID, så for guds skyld, ikke flere opgaver til dem - de har lavet rigeligt med ulykker.

Nej opgaven skal varetages af et uvildigt organ ala Datatilsynet, hvor vejledning skal være det absolut vigtigste - det sidste sted det skal foregå er i hvert fald ikke et center under krigsministeriet illumineret af mørkelygten, og det næstesidste sted er Digitaliseringsforstyrrelsen.

Mark H. Kristensen

Jeg skal ikke gøre mig klog på sikkerheden eller mangel på samme i NemID, men tænker Digitaliseringsstyrelsen i kraft af grunddata programmet har været i kontakt med en del offentlige instanser angående deres data og derved måske har et overblik og en kontaktflade, som kan være kritisk ift. etableringen af en tvær offentlig indsats på dette område.

Når det dog er sagt, så kommer vi i DK aldrig til at kunne hamle op med Kina, Rusland og USA (etc.) i denne sammenhæng, så vi kan lige så godt tænke NATO ind i ligningen fra start, selvom det selvfølgelig stadig kræver vi har styr på vores eget....

Christian Nobel

Når det dog er sagt, så kommer vi i DK aldrig til at kunne hamle op med Kina, Rusland og USA (etc.) i denne sammenhæng, så vi kan lige så godt tænke NATO ind i ligningen fra start

Øhh, så du mener det skal gøres til et militært anliggende, i stedet for at sikkerhed blev taget alvorligt og tænkt ind i Internet-of-Trash produkter fra starten, virksomheder begyndte at overveje om hvorvidt det er specielt smart at fortsætte med en usikker monokultur, og at man begyndte at blive meget mere skeptisk over for om f.eks infrastruktur overhovedet skal bare i nærheden at internettet.

Jeg ser på ingen måde Nato som en del af den ligning.

Jesper Frimann

Nej opgaven skal varetages af et uvildigt organ ala Datatilsynet, hvor vejledning skal være det absolut vigtigste - det sidste sted det skal foregå er i hvert fald ikke et center under krigsministeriet illumineret af mørkelygten, og det næstesidste sted er Digitaliseringsforstyrrelsen.


Jup, og man er allerede 10 år+ bagefter, hvor man burde være. Når man nu skal lave EA, hvor IT-sikkerhed jo også er en stor del af kagen, så er det jo deprimerende, hvor fodslæbende vi har været i Danmark.

Det er jo ikke så smart, at når det vi får fra central side, hvor der faktisk er kød på (læses noget man kan bruge til noget) først kommer efter f.eks. at GDPR er trådt i kraft. Man kan så gå til ENISA, og så bliver det lidt bedre, men det er sku' nok NIST man skal se på, hvis man vil ha' nogle praktisk guidelines, der sådan kan bruges næsten out of the box.

Igen så bunder det jo i grund i, at man ikke har taget fagligheden alvorligt og ikke har lyttet til de folk, der faktisk har ekspertise på området. Og når jeg siger man.. så mener jeg politikerne og toppen i ministerierne.

// Jesper

Jesper Frimann

Det er i dag vanskeligt at forestille sig, at det offentlige har ekspertise og information til at detailsikre den kritiske digitale infrastruktur. Dertil er videnniveauet i de enkelte sektorer og virksomheder for specifikt, tempoet i teknologiudviklingen for højt, og kompleksiteten af systemer og sammenkædninger for uoverskuelig. Sektorerne har det bedste indblik, men de har ikke nødvendigvis det bedste strategiske overblik.

Nu skal vi jo heller ikke gøre det mere kompliceret end det er. Der er mange steder i det offentlige, hvor der er 'nok' viden, vilje og ekspertise til, at man kan gøre en signifikant forskel. Men det er med IT-sikkerhed, som det er med så mange andre fagområder, at det kræver tid, midler og kontinuiteten.
Det nytter ikke, at man fra central offentlige sider omorganisere, flytter midler væk/til, omprioriterer og kører med grønthøsteren over området. Det er jo her den virkelige rootcause til mange af de problemer vi ser ligger.

For IT-sikkerhed er ikke en 100m spurt og så er det fixet. Det er en kontinuert fokuseret indsats med et holistisk perspektiv.

Igen hvis man ser tilbage på de bygninger, som man i byggede til Datacentralen og Kommunedata under den kolde krig, så er disse bygninger delvist forsvarbare. Det vil sige, at de var byggede til kunne forsvares længe nok mod russerne til, at man kunne destruere data således at en angriber ikke kunne få fat i vigtige data om de danske borgere m.m. Det var en holistisk tilgang til IT-sikkerhed, der strakte sig helt ind i den 'rigtige fysiske verden'.

I dag er situationen en ganske anden, der er systemer forbundet til internettet, og en fjende behøver ikke trænge fysisk ind med Kampvogne og soldater for, eller stjæle fysiske medier og smugle dem ud, for at få fat på dine data.

Men det betyder ikke, at man skal tænke mindre holistisk i dag, at man ikke også stadig skal lave fysisk sikring. Men mange steder halser man stadig efter og prøver at lukke hullerne efter salget af de store Offentlige IT-selskaber.

F.eks. er det først nu, at man begynder at kunne se enden på monopolbrudet, efter salget af KMD.

// Jesper

Michael Cederberg

Jeg ser på ingen måde Nato som en del af den ligning.

NATO er en del af ligningen i form af at NATO kan identificerer angreb og afskrække fremmede magter fra at ramme medlemstaterne fordi modsvaret vil være lammende. Vi har brug for et stærkt cyber-militær og det ligger godt i NATO regi.

Men vi sætter ikke militæret ind på at fange lommetyve, opsætter dørlåse, etc. Derfor skal vi ikke heller ikke sætter militæret ind på at sikre vores IT systemer.

Desværre vågner vi først op og opdager hvor galt det står til, den dag et fuld-digitaliseret vestligt land vågner op uden strøm, telekommunikation, massemedier, digitale penge, patientjournaler/sundheds-IT etc. Den dag vil vi opdage hvor sårbare IT har gjort os og derefter vil vi handle.

Det vigtigste vi kan gøre er at adskille systemer. Når fx. kommuner fortæller at de har fået malware på medarbejdernes computere og at samme computere har adgang til centrale IT systemer, så er der med garanti blevet lækket følsom information (også selvom kommunerne siger noget andet). Hvis i stedet medarbejdernes computere ikke havde adgang til internettet, så vil et angreb skulle være meget mere komplekst.

Desværre skal der lig på bordet før der sker noget ...

Log ind eller Opret konto for at kommentere