Martin Ernst bloghoved

NORDEFCO, CFCS, Rigspolitiet og vores pivåbne it-dør …

Illustration: Canva.com

Jeg fik lov til at deltage inde på ”borgen” i NORDEFCO konferencen. NORDEFCO er det nordiske forsvarssamarbejde, og i år er det Danmark, som har formandskabet. Konferencen var en officiel markering af netop dette formandskab af og blev arrangeret af Folk og Sikkerhed, som er Danmarks største forsvars-, beredskabs- og sikkerhedspolitiske organisation. De havde sammensat et meget spændende program med bl.a. indlæg af forsvarsminister Trine Bramsen, forsvars- og sikkerhedspolitisk chef for DI Frank Bill, kontreadmiral Frank Trojahn, chef for Udviklings- og Planlægningsstaben, Forsvaret og mange flere.

Jeg var taget med, da jeg gerne ville høre lidt mere om, hvordan samarbejdet er mht. cybersikkerheden. Jeg har skrevet en blog på businesscase.dk, hvor jeg kort redegør for de forskellige omkostninger en organisation (privat eller offentlig) kan blive udsat for efter et cyberangreb.

Cybersikkerheden blev berørt kort. Det var egentligt fair nok, da det var det nordiske samarbejde, som var i fokus. Og vi skal huske på, at forsvar er mere end hvad vi på Verison2 tænker mest på – nemlig it.

Og dog

Der er en klar tendens til at alt, hvad vi arbejder med bliver mere og mere afhængig af software. Med indførelse af software, så bliver vi bare skrøbelig. Danmark er det 4. mest digitaliserede land i EU og verden jf. netop offentliggjorte rapporter fra EU-kommissionen (DESI 2019) og IMD World Digital Competiveness rankning .
Det gælder også forsvaret. Jeg har før været inde på, at de nye kampfly er meget software styret.

Vi ser en større og større tendens til at køretøjer bliver mere og mere software styret. Vi kender alle til Tesla og den frontløber, som de har været. De andre bilmærker følger efter for fuld skrue. Det samme kommer til at gælde for militærkørertøjerne.

Vi ser det også med IoT – og ikke mindst frygten om det. Nogle kalder IoT vores tid ´asbest´. Der har også lige været en artikel om, at den populære ringeklokke (ring.com) har adskillelige sikkerhedshuller.

Alt denne her it gør, at vi skal se på forsvaret på en helt anden måde. Traditionelt set så ser forsvaret på totalforsvaret – dvs. beskyttelse af land og dets mennesker og fysiske ressourcer. Den udfordring, som jeg gerne vil tale om, er vores forsvar af it-ressourcer, som netop bliver mere og mere relevant jf. John Michael Foley og Torben Ørting Jørgensen kronik i Version2 om ”Passes der godt nok på Danmark?”. Hvis den ikke er blevet læst, så sørg for at læse den kronik. Det kan næste ikke skrives bedre.

Hele pointen er at sikkerhedstruslen er blevet seriøs, og regeringens tiltag ikke virker som de rigtige.

Peter Michael Andersen, advokat, oberstløjtnant af reserveren og formand for Folk og Sikkerhed kom også ind på dette i hans afsluttende tale på konferencen. Cybertruslen er kommet for at blive, og det bliver kun værre fra nu af. Dette er underbygget af Tobias Liebetrau , Ph.d, Center for Militære Studier, Københavns Universitet.

Hvad er så løsningen på dette?

Som John og Torben kommer ind på i deres kronik, så ligger ansvaret hos borgerne. De bruger selv eksemplet med, at man kvajer sig og så opstår der netsvindel. Dvs. det er et privat anliggende.
Udfordringen – som forfatterne også nævner – er, at vi mangler at diskutere den form for nye muligheder og kriminalitet, som internettet også har potentiale til at levere, når alt bliver forbundet til Internettet, når alt har en sensor, når alt bliver lagret og alt bliver bearbejdet af Artificial Intelligence og Machine Learning.

Dvs. vi har brug for et offentligt initiativ. Den offentlige debat har været præget af, at man har italesat at FEs Center for Cybersikkerhed (CfCS) er det nationale center, som hjælper alle danske private og offentlige virksomheder mod kriminalitet i cyberspace. Det er ifølge John og Torben bare ikke nok – og beskriver denne indsat som langt fra nok. De lister en række problemstillinger med, at dette forsvar af vores ligger i FE regi.

Denne problemstilling skal ses sammen med den blog, som jeg skrev om, at det var uheldigt at Rigspolitiet skulle reduceres, så vi fik mere nærværende politi. Problemstillingen er Politiets afdeling for cyberkriminalitet NC3 vil skulle reduceres væsentligt.

Jeg, som troede det var det vilde forhandlingsudspil, må nu indrømme, at regeringen mener det. På trods af skriverier fra dels undertegnet, men også en kapacitet som Birgit Røn Hornbæk skriver om det i en blog i JP.

Der har allerede været en fyringsrunde i KIT (Rigspolitiets Koncern It-afdeling … og ikke til forveksling navnet på en sort bil, som David Hasselhoff kørte rundt i slut 80’erne).

Vi skal altså se handling fra regeringen omkring dette.

  • Få styrket vores sikkerhed overfor cyberkriminalitet og få sikkerheden flyttet ud af et miljø, som er lukket og ikke har oplysningspligt.
  • I mellemtiden vokser dette område. Flere virksomheder mander op på cybercrime området. Der er med garanti en grund til, at Deloitte køber et it sikkerhedsfirma – for der er penge i det.
  • Noget må der gøres … det virker som om vores Cyberforsvar er uheldigt fragmenteret og it-døren er piv åben …
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Ivo Santos

Noget af det som jeg godt kunne tænke mig er at it-enheder skal bestå en række tests, ligesom alle mulige andre produkter. Disse test burde være sikkerheds relaterede, og hvis ikke et it-enhed består disse sikekrheds test så bør det ikke være muligt at sælge enheden i EU.

Problemet i dag er at der kun stilles krav til hardwaren, men der sættes ikke krav til softwaren. Jeg mener at man fra EU niveau, skal infører en række minimums krav til den software som bland andet IOT enheder indeholder. Hvad disse minimums krav burde være er vel noget man kan tage til diskussion.

Et andet releveant spørgsmål er så hvordan hele godkendelses processen skal være.

  • Skal der være kode review af en uafhængig instans?
  • Hvordan sikrer man sig mod svindel i godkendelses processen? (Jeg kunne f.eks. tage hele 737 Max skandalen, eller Renault forureningstest skandale)
  • Hvad kunne ellers være relevant i forhold til en standard for software?
  • 1
  • 0
#2 John Foley

Tak for en god blog der også refererer til kronikken skrevet af Torben Ørting Jørgensen og mig selv. I din blog skriver du til sidst:

*"Få styrket vores sikkerhed inden cyberkriminalitet og få sikkerheden flyttet ud i et miljø, som er lukket og ikke har oplysningspligt."

Jeg forstår ikke helt hvad du mener med denne anbefaling og sætning. Venligst præciser. Jeg går ud fra at du mener at sikkerheden skal flyttes væk fra FE og CfCS, som anbefalet af Torben Øting Jørgensen og mig, og ud i et mijlø som IKKE er lukket og har oplysningspligt. Eller hvad mener du?

  • 4
  • 0
#3 Martin J. Ernst Blogger

*"Få styrket vores sikkerhed inden cyberkriminalitet og få sikkerheden flyttet ud i et miljø, som er lukket og ikke har oplysningspligt."

Tak skal du have.

Der var sket en fejl i korrekturen (som nu er rettet). Der skal naturligvis stå, at vi skal flytte det arbejde ud af et lukket miljø, som ikke har oplysningspligt. Ellers giver det ikke mening. Beklager ...

Der er sikkert også et behov i FE, som ikke skal tages fra dem. Dog skal vi have noget, som har fokus på borger og virksomheder. Og ikke som FE fokus på nationen og andre behov, som udelade info.

  • 3
  • 0
#4 Gert Madsen

"Som John og Torben kommer ind på i deres kronik, så ligger ansvaret hos borgerne" Man har italesat "tryghed" og "tillid" til de digitale løsninger, selvom de færreste har en kinamands chance for at gennemskue og håndtere risikoen. De få som kan gennemskue løsningerne påpeger at de gennemgående er sikkerhedsmæssigt svage. Her har myndighederne så sikret sig ved at flytte en større del af ansvaret over på befolkningen, i forbindelse med digitaliseringen. Så der er ingen interesse for at tale om borgernes ansvar eller deres ringe mulighed for at løfte dette ansvar.

  • 1
  • 0
#5 John Foley

Bloggens forfatter, Martin Ernst, citerer os desværre forkert, når han skriver, at vi mener at ansvaret ligger hos borgeren. Det er ikke det vi skriver i kronikken. Selvfølgelig har vi alle, også den enkelte borger et ansvar, men hovedparten af ansvaret ligger hos myndighederne, som ikke i tilstrækkeligt grad gør noget ved problemet. I stedet for peger myndighederne og især FE of CfCS, fingre af alle endre end dem selv. Og synes at alle andre end dem selv svigter og ikke gør tilstrækkeligt. Men det er dem selv der gør for lidt og forsøger at sende aben videre. Det er myndighederne og især FE og CfCS der svigter befolkningen og forsøger at bilde os ind, at de gør noget ved problemerne. Men det gør de ikke, hvilket Torben Ørting Jørgensen og jeg også gør opmærksom på i vores kronik. Derfor fremlægger vi også forslag til hvordan vi kan forbedre situationen og komme videre, hvilket slet ikke passer hverken FE og CfCS, der nidkært vogter egne interesser og ikke samfundets og befolkningens.

  • 4
  • 0
#6 Martin J. Ernst Blogger

Bloggens forfatter, Martin Ernst, citerer os desværre forkert, når han skriver, at vi mener at ansvaret ligger hos borgeren.

Det er naturligvis ikke min hensigt at værken at fejlcitere eller fordreje. Og beklager naturligvis hvis det kom sådan ud.

Pointen i denne sammenhæng er at men den måde som det er organiseret (med CFCS), så bliver Cybersikkerhed noget, hvor ansvaret kommer til at ligge hos borgeren og virksomhederne. Selv om CFCS har givet en forestilling om noget andet.

Et eller andet sted er det også fair nok, at vi har ansvar for vores eget liv. Vi kan ikke lade staten håndter alt for os. Sådan helt generelt sagt.

Dog har vi brug for et forsvar, som hjælper borgerne og virksomhederne - for det er ikke muligt at vi som enkelt personer kan opretholde en viden om det som rammer allerede i dag og ikke mindst i fremtiden.

Ser vi bort fra de sproglige knuder i denne blog, så er vi faktisk på samme side.

  • 1
  • 0
Log ind eller Opret konto for at kommentere