Gæstebloggen

Den nye cyber-strategi er en ommer

De fleste har sikkert allerede opdaget at Finansministeren, Justitsministeren og Forsvarsministeren i sidste uge, på regeringens vegne, lancerede den nye nationale strategi for cyber- og informationssikkerhed.

Forventningerne var store og skuffelsen derfor så meget større, da den endelig og langt om længe landende her kort før jul. En julegave jeg godt kunne være foruden. Ligesom med den foregående strategi indledes med et forord, der skamroser og fortæller hvor vigtigt et produkt man selv synes der er udarbejdet.

Taget i betragtning af hvor vigtigt det faktisk er, at Danmark og den danske befolkning sikres bedre end hidtil mod de mørke kræfter i cyberspace, er det beskæmmende og alvorligt, at strategien ikke leverer det nødvendige, der kunne imødegå og håndtere alvorlige angreb på vores samfund og dets kritiske infrastruktur.

John Foley er it- og cybersikkerhedsekspert med mere end 37 års tjeneste i Forsvaret, derefter 5 år i It- og Telestyrelsens It-sikkerhedskontor og derefter med til at opbygge det, der i dag er blevet til Center for Cybersikkerhed (CFCS) under Forsvarets Efterretningstjeneste. Illustration: Privatfoto

Angreb der i værste fald kan destabilisere, ødelægge og undergrave det samfund, vi kender og ønsker at beskytte.

Usammenhængende plan

Med strategien har man endnu engang misset en god mulighed for at gøre en indsats, der kunne gøre en tiltrængt forskel. Og man har nu opbygget et gigantisk, usammenhængende og dyrt bureaukratisk set-up med Digitaliseringsstyrelsen og Center for Cybersikkerhed som hovedaktører, der har førttil et produkt, der ikke ses at gavne eller højne cybersikkerheden i Danmark væsentligt.

Strategien er et stort sammensurium af løse initiativer, der hver især kan lyde rimelige nok, men som slet ikke hænger sammen.

Strategien er af mange modtaget med blandede følelser og kommentarer, herunder også med alvorlig kritik af dens mangler og uhensigtsmæssigheder.

Regeringens plan for at styrke it- og cybersikkerheden over de næste tre år får ikke armene i vejret hverken i erhvervslivet eller hos en række cybersikkerhedseksperter, der efterlyser langt bedre og større fokus på at få alle med, såvel offentlige som private.

Den 52 sider lange ”National strategi for cyber- og informationssikkerhed”, der skal gælde for 2022 til 2024, rummer 34 hovedtiltag, som der er afsat 270 millioner kroner til. Pengene kommer oven i de 500 millioner kroner til Forsvarets Efterretningstjeneste og Center for Cybersikkerhed, som blev afsat i forsvarsforliget i juni til at styrke Danmarks cyberforsvar.

”Det haster med at få styrket det samlede danske cyberforsvar, så vi havde nok håbet, at strategien indeholdt nogle mere klare og bindende mål,” lød reaktionen fra Bjarke Alling, der er formand for brancheorganisationen IT-Branchens it-sikkerhedsudvalg og koncerndirektør i Liga ApS. Han efterlyser desuden, at kommunerne og deres indsats bliver tænkt ind i den nye strategi.

Dalende tillid

I den tidligere regerings nationale strategi for kunstig intelligens blev der fastlagt et mål om, at 90 procent af danskerne skal have tillid til myndighedernes håndtering af personlige
oplysninger. Sidste år viste en opgørelse fra Danmarks Statistik, at målet var indenfor rækkevidde, da 81 procent af danskerne svarede, at de havde tillid til myndighedernes håndtering af personlige oplysninger.

I en ny undersøgelse, som Digitaliseringsstyrelsen netop har offentliggjort, er danskernes tillid faldet dramatisk. Kun 51 procent af danskerne er nu enige eller meget enige i, at det
offentlige passer godt på deres personlige oplysninger.

Og befolkningen har noget af have mistilliden i.

Den spritnye rapport fra The International Telecommunications Union (ITU), Global Cybersecurity Index, udarbejdet for FN, har placeret Danmark på en kedelig 32. plads, når det kommer til cybersikkerhed. En placering lige efter Kasakhstan, og dårligst placeret af de nordiske lande.

Samtidig er Danmark udpeget som Europamester og noget nær verdensmester, når det kommer til Digitalisering.

Der er en tankevækkende og alvorlig uoverensstemmelse.

Hvad gør vi forkert?

Der må være noget vi i Danmark gør helt forkert, især når det kommer til at passe på – eller rettere ikke passe på - samfundet og dets befolkning. mod de mørke kræfter der forsøger at udnytte svagheder i opbyggede strukturer og systemer og samtidig stjæle vores penge.

Min vurdering af den nye cyberstrategi er klar og éntydig. Den viser sig, ligesom den tidligere, at være spredt fægtning og må betegnes som værende et makværk. En gennemgang af strategien understreger endnu engang behovet for nytænkning og omorganisering af den måde hvorpå it- og cybersikkerheden gennemføres i Danmark.

I den nye strategi er der heller ikke udpeget en koordinerende instans, der samlet har det overordnet ansvar og overblik, der kan sikre samfundet og dets befolkning imod de mange former for cyberangreb Danmark dagligt udsættes for.

I bladet Ingeniørens leder dateret den 13. december 2019 står der, at det er at føje spot til skade at man har man etableret endnu et cybersikkerhedsråd, som er ikke mindre end det 18. i rækken af offentlige instanser, der har til opgave i en eller anden grad at højne it- og datasikkerhed i Danmark for offentlige midler.

Og der fortsættes: »Derfor duer det ikke, at indsatsen mod angrebsivrige kriminelle, der både vil rane vores penge og industrielle ideer, er for svag og ukoordineret - og at for mange enheder parallelt udøver de samme opgaver (...) Uanset hvilken afkrog man kigger i, er vi truet af cyberangreb. I dag fremstår beredskabet så fragmenteret og grotesk ukoordineret, at de kriminelle utvivlsomt griner af vores organisering. De ryster i hvert faldikke i bukserne«.

Den nye strategi har ikke adresseret de væsentligste udfordringer, Danmark står overfor, og løser langt fra problemerne, der kun bliver værre og være dag for dag.

Det og meget mere skrev og advarede Torben Ørting Jørgensen og jeg om allerede for et lille års tid siden i vores kronik Passes der godt nok på Danmark?.

Men både Finansministeren, Justitsministeren og Forsvarsministeren har igen-igen sovet i timen og benyttet sig af en strudsepolitik, der kun kan sammenfattes som værende dybt uansvarlig og har leveret en strategi, der ikke kan bruges til ret meget.

Kommentarer (25)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Kim Schulz

Man plejer at sige at "det er nemt at kritisere andre, hvis man ikke selv laver noget". Det ville klæde dette blogindlæg umådeligt meget, hvis hr Foley rent faktisk kom med konkrete forslag til forbedringer i stedet for tom kritik.

Er det noget makværk de har lavet? uden tvivl! Er den nye strategi værre end de tidligere? nææe egenligt ikke! Er det noget der let kan gøres bedre? Ganske givet hvis man sidder med ved det bord, så hvorfor gjorde hr Foley ikke noget ved det dengang hvor han havde muligheden sammen med CFCS?

  • 10
  • 23
#2 Torben Ørting Jørgensen

De, der har fulgt John Foleys indsats på cyberområdet, herunder i den offentlige debat er ikke i tvivl om, at der er fremkommet mange og konstruktive forslag til forbedringer af den statslige varetagelse af cyberområdet fra John Foleys side.

Kim Schulz ligegyldige kommentar bidrager ikke med noget som helst i debatten om det påtrængende behov for, at få cyberområdet organiseret på en hensigtsmæssig måde. Tværtimod.

  • 22
  • 2
#3 John Michael Foley

For ca. en et år siden, da den nye strategi var under udarbejdelse, skrev Torben Ørting Jørgensen (pens. kontreadmiral) og jeg en kronik her i Version2, med overskriften "Passes der godt nok på Danamrk?, i håbert om at de instanser, der havde ansvaret for skrivning af strategien, ville inddrage vores forslag til forbedringer af cybersikkerheden, og tage det med i deres overvejelser. Det gjorde man så desværre ikke. Til trods for vi i rigtig god tid viste rettidig omhu. Så din kritik preller af som vand på en gås, du er langt ude Kim Schultz. Læs omtalte kronik, og bliv klogere. Endvidere kan jeg oplyse, at jeg som ansat i CFCS, på det kraftigeste og indædt forsøgte at overbevise daværende chef for FE og chefen for CFCS, at det var bydende nødvendigt at skrive en national cyberstrategi. Samtidig afleverede jeg også en disposition og forslag til hvad en sådan skulle indholde, herunder tilbød jeg min hjælp med at skrive strategien. Desværre afslog de to herrer mit tilbud. Men jeg fik gennetrumfet, med andre stærke kræfter, at den alligevel blev skrevet. Dengang som nu var det desværre også et makværk. Så de såkladt ansvarlige har intet lært og fortsætter deres strudsepolitik. Læs gerne den føromtalte kronik, som du kan finde i Version2 arkivet. Læs den og få røde ører, for din kritik er uberettiget og skudt helt ved siden af.

  • 23
  • 2
#4 Claus Bobjerg Juul

hvorfor gjorde hr Foley ikke noget ved det dengang hvor han havde muligheden sammen med CFCS?

Jeg forstår din tanke, men det er længe siden at John har været ansat. Yderligere er arbejdet der kan udføres begrænset af økonomien.

Den nye strategi er også begrænset af økonomi. Det er svært at få digitaliseringsstyrelsen øge budget med høje procentsatser da det ikke er karrierefremmende og svært at få forbi direktøren m.fl.

Kort sagt det sidder nogle personer med en vis magt/vetoret som mener at det går godt nok.

  • 13
  • 0
#5 Ivo Santos

Hvad gør vi forkert? Eller hvad kan vi gøre bedre!.

  1. Alt infrastruktur skal være bag ved en VPN, og meget gerne et som kræver et klient certifikat.

  2. De mest kritiske VPN indgange skal være konfigureret så ledes at de sender en email eller meddelelse således at et vagt eller lign. bliver opmærksom på at noget benytter en given VPN indgang. Det burde da kunne højne sikkerheden.

  3. Kontor personale og andre der håndtere emails og lig. bør sendes på et sikekerhedskursus hvor de blandt andet lærer om falske emails og lign.

Disse forslag burde højne sikkerhedes i det danske land

  • 3
  • 10
#6 Kim Schulz

Jeg læste jeres kronik dengang og den var ganske udemærket - det er dette blogindlæg ikke. Du kunne have nøjes med at skrive "det er noget makværk" og så var indholdet det samme. Det er DET jeg klandrer dette blogindlæg for. Du kommer med et udsagn og følger det ikke op. Hvad er makværket? hvordan kunne det konkret have været bedre? Det er den slags der er interessant for læserne her på V2 - ellers kunne det ryge på EBs Nationen hvor niveauet er "jeg synes det er noget lort". Du er eksperten som afsender dette, så opfør dig som en.

Man kan ikke leve højt på en år gammel kronik, for denne branche er altså langt videre siden da (også selv om regeringens strategi ligner noget der er 10år for sent på den).

Her er nogle konkrete og simple forbedringsforslag som du kunne være kommet med (alle udsprunget af mangelfuldt indhold i den nye strategi):

  • undervisning i cybersikkerhed og færden på nettet i folkeskolen skal ikke varetages af den almindelige lærer men af et uddannet, nationalt, fagpersonale der rent faktisk forstå det materiale der er på området. Det skal være tvungen undervisning fra 2-3 klassetrin og op gennem alle klassetrin.
  • Der skal ses på lovgivningen og strafferammerne for cyber-relateret kriminalitet så også dette er bedre dækket. Den nuværende mangelfulde dækning i f.eks. post og telegraf lovens brevhemmelighed skal udvides så den bedre dækker den digitale tidsalder.
  • Der skal være mere fokus på krypteret og sikker kommunikation frem for den nuværende linje hvor det hele helst skal være ukrypteret så alle let kan "lytte" med.
  • Danmarks "ledelse" (regering, embedsværk, folketingets medlemmer mm) skal være underlangt langt strengere krav til sikkerhed end i dag. Der skal etableres flere aflytningssikrede rum, telefon (både tale og skrift) skal ske via 100% krypterede linjer og al dataopbevaring (journaliseret data mm) skal være varetaget på dansk jord af danske instanser.
  • De danske cyber-forsvars instanser skal underlægges skærpet kontrol for at sikre de danske borgeres rettigheder såvel som at sikre at de varetager landets bedste ud fra de givne ressourcer.

Dine kritikpunkter og ideer til forbedringer er uden tvivl nogle andre og netop derfor havde de været relevante at nævne her og ikke blot spilde læsernes tid.

  • 15
  • 3
#7 Klavs Klavsen

Alt infrastruktur skal være bag ved en VPN, og meget gerne et som kræver et klient certifikat.

Alle offentligt tilgængelige services kan jo i sagens natur ikke stå låst bag vpn :) Og kun at have et vpn fokus er det man kalder perimeter sikkerhed.. Det er langt fra nok.. Man skal opdele og adskille langt mere præcist - så hver enkelt enhed KUN kan snakke med det, den SKAL snakke med.. Det er faktisk ikke "vildt svært" - og skal nok lære driften lidt om afhængigheder de ikke vidste de havde.. ISÆR mht. adgange til internettet skal INGEN server (dvs. ikke bruger-pc) havde adgang - på nær de centrale servere der benyttes til at mirror opdateringer fra internettet (WSUS server eller APT/YUM repo servere)

Sådanne ting synes jeg godt man kunne tage ind - at alle som minimum skulle have fokus på sikkerhed på netværksniveau - og kun åbne op for specifikke adgange og IKKE have undtagelser til internetadgang fra servere.

Det alene ville blokere 99% af alle angreb vil jeg påstå. (log4j typen ihvertfald).. Hvis du har et website med så ringe kode så man kan få en shell uden at skulle hente noget fra internettet først - så er du selvf. ilde stedt uanset - men den skal igen så IKKE have tilladelse til at kunne nå andre servere på netværket og designes så det ikke er nødvendigt (push changes ud istedet) - og vigtigst af ALT - ALARMER - når firewall DENY regler rammes fra egne servere.

  • 11
  • 0
#8 Christian Nobel

Alt infrastruktur skal være bag ved en VPN, og meget gerne et som kræver et klient certifikat.

For lige at følge op på hvad Klavs skriver, så kan det jo ikke lade sig gøre, da infrastrukturen jo lige præcis er en .... infrastruktur.

Sammenlign det med vejnettet, det er jo heller ikke låst af - men alle de containere der bliver transporteret rundt på vejnettet bør være låst og lukkede (uden nøglen ligger i førerrummet!), dvs. i overført betydning krypterede.

Og så er det et punkt mere, som jeg synes i den grad er beskæmmende, nemlig at vi stadigvæk ikke her i landet har en rigtig digital signatur - så man kan godt logge ind på offentlige systemer med Nets' "nemme" SSO system, men jeg kan ikke sende en krypteret mail til Klavs og Ivo - og det er et kæmpe problem for sikkerheden.

  • 9
  • 0
#9 Klavs Klavsen

Og så er det et punkt mere, som jeg synes i den grad er beskæmmende, nemlig at vi stadigvæk ikke her i landet har en rigtig digital signatur - så man kan godt logge ind på offentlige systemer med Nets' "nemme" SSO system, men jeg kan ikke sende en krypteret mail til Klavs og Ivo - og det er et kæmpe problem for sikkerheden.

Som jeg forstår det ER MitID baseret på gpg - og dermed HVIS de kommer med den på en nøgle a la yubikey (som de har lovet engang) - så burde det være ligetil at justere diverse gpg email krypteringsplugins til at checke (og hente) public delen af nøglerne fra en offentlig service - og checke CRL ligeså - så det vil kunne gøres.

Det kræver selvf. at MitID certifikatet knyttes til email adresser på brugerne - så man kan slå en email adresse op og finde det rette cert at kryptere med eller til at dekryptere hash med - for at verificere at indhold er uændret undervejs.

Man har lov at håbe, omend det ikke virker som om det har nogens fokus :(

  • 4
  • 0
#10 Morten Nielsen

@Kim

Du behøver ikke undre dig, desværre har John formået at gøre sig selv persona non grata for store dele af det offentlige når det kommer til sikkerhed og cyber, og derfor kan han umiddelbart kun stå udefra og råbe og skrige, uden at nogen gider lytte til ham.

Han er dog stadig god til at tage æren for ting og sager, selvom han nok havde meget lidt med det at gøre, som fx "Men jeg fik gennemtrumfet, med andre stærke kræfter, at den alligevel blev skrevet", hvilket vist kun er sandheden i hans eget hoved.

John har udspillet sin rolle, men bliver stadig hevet frem, når nogen gerne vil have en eller anden skarp/skør/kontroversiel kommentar på noget, men det er vist også det.

Jeg forstod udmærket hensigten med deres kronik, og er også enig i, at den havde et fornuftigt indhold. Den var også bare belastet af, at Johns navn stod på den, og lidt for mange steder, trækker det så meget ned, at indholdet bliver irrelevant.

  • 3
  • 12
#11 John Michael Foley

Min væsentligste anke og årsagen til at jeg betragter den nye cyberstrategi som værende noget makværk, skyldes det forhold, at man endnu engang ikke har formået eller evnet at udpege en overordnet ansvarlig instans, der på hensigtsmæssig vis kan samle trådene og sikre gennemførelsen af de mange initiativer, der sættes i søen. Ligesom sidst vil det ikke ske og de få penge der er afsat til at implementere de nye mange initiativer, batter som en snebold i helvede. Det synspunkt fremgår klart og éntydig af min blog og tidligere skrivelser og indlæg, bl.a. i Version2. Men også i TV og andre medier, hvor jeg har fremsat min kritik af den uhensigtsmæssige måde vi i Danmark håndterer og organiserer indsatsen mod de cyberkriminelle og andre banditter i cyberspace. Jeg mener ikke en blog er velegnet til oplistning af alle de mange emner og forhold der burde medtages i en cyberstrategi, så ville den blive rigtig omfattende og uoverskuelig. Jeg harderimod peget på det væsentlige og refereret til hvad andre eksperter også har kritiseret strategien for. Nogle af dine forslag kunne måske godt være relevante at medtage i en strategi, men er langt fra udtømmende og tilstrækkelige. Ligesom den nye strategi er de usammenhængende og uigennemtænkte enkeltpunkter og en blandet landhandel.

  • 9
  • 0
#12 John Michael Foley

Foreslår at du kontakter Thomas Ahrenkiel og Thomas Lund Sørensen og får bekræftet, at de indledningsvist var store modstandere af at der overhovedet skulle skrives en national cyberstrategi. De skulle trækkes hen til truget og forsatte længe med ikke at drikke af vandet. Men de blev efter et par år klogere og bibragt en anden holdning, og satte nødtvunget arbejdet i gang, Sådan forholder det sig og det kan ikke gradbøjes. Selv havde jeg en væsentlig aktie i at strategien blev til noget. Det er sådan det forholder sig. Dine kommentarer om min indflydelse og muligheder for at præge debatten er helt hen i skoven og grebet ud af luften. Din fantasi om hvad der er op og ned fotæller at du ikke ved hvad der foregår eller har fattet en brik af hvad sagen drejer sig om. Personlige angreb bider ikke på mig, det gør saglige argumenter derimod, men dem leverer du ikke, tværtimod.

  • 10
  • 0
#13 Christian Nobel
  • 4
  • 0
#14 Sidsel Jensen Blogger

Jeg kunne godt tænke mig at vi vendte debatten her til at folk kom med nogle konkrete bud på hvilke emner og initiativer, som de GERNE så at den nye nationale cybersikkerheds strategi skulle indholde - altså positivlisten.

Hvilke af de 34 hovedtiltag skal ud og hvad skal ind istedet for?

Strategien kan læses her: https://fm.dk/media/25359/national-strategi-for-cyber-og-informationssik...

  • 17
  • 0
#16 Bjarke Alling

@John og V2 redaktionen.

Taget i betragtning at ovenstående blog indlæg er en privat persons egne holdninger havde det været på sin plads at mit citat var aftalt inden. Mit citat i Berlingske var allerede klippet til at passe i en negativ vinkel, hvorimod den oprindelige pressemeddelsese giver et andet billede på den nye strategi end det John vinkler mig til.

Kritikpunktet ift. kommuner og regioner er iøvrigt siden blevet irrelevant, idet de siden strategiens offentliggørelse er blevet inkluderet i det nye Cybersikkkerhedsråd. Noget jeg ikke vidste da strategien blev offentliggjort. John ved også at kommuner og regioner er medlemmer i det nye råd. Det har jeg informeret ham om i en debattråd på LinkedIn.

Link til original pressemeddelelse: https://itb.dk/maerkesager/etik-privacy-og-sikkerhed/270-mio-kr-skal-giv...

  • 3
  • 3
#18 John Michael Foley

@Bjarke Alling, Der er én af de tre formænd for Det Nationale Cybersikkerhedsråd, der har rådgivet vedr. cyberstrategien. De to andre formænd er fra Digitakiseringsstyrelsen og Center for Cybersikkerhed.

Jeg kan godt forstå, at Bjarke Alling helst ikke vil citeres for at have udtalt noget negativt om den nye strategi. Det vil nok ikke falde i god jord hos de to andre formænd. Bjarke Alling har, trods alt haft en stor aktie i at strategien har fået det indhold den har, og er blevet til det makværk, jeg omtaler. Jeg har citeret Bjarke Alling som det står i Berlingke. Mig bekendt er det ikke forbudt at citere, hvad der står offentligt i medierne, uden i forvejen at skulle indhente tilladelse, fra den man citerer. Hvis det ikke forholder sig sådan, så sig gerne til, og henvis til hvor det står, at det må man ikke. Også andre i samme aviser udtaler sig kritisk, bl.a. Rikke Hougaard Zeberg, der er branchedirektør i DI Digital. Udover sin kritik siger hun bl.a, at myndighederne ikke ønsker erhvervsorganisationer som DI repræsenteret i regeringens Cybersikkerhedsråd, så man får mulighed for at se rådets materiale. Se det er jo en kritik der vil noget, alt den stund at det er Digitaliseringsstyrelsen og Center for Cybersikkerhed, der indstiller og bestemmer hvem der må sidder med i Rådet, bl.a. også Bjarke Alling. Man kan med rette stille krtiske spørgsmålstegn ved den måde medlemmerne udpeges til Rådet. Uvildigt er det i hvert fald ikke. Også Christian Wernberg-Tougaard, der sidder med i det Nationale Cybersikkerhedsråd udtaler kritik, ”Noget af det der ligger mig på sinde er, at skabe et “fuldstændigheds”-overblik af “hvem gør hvad hvornår hvorfor og hvordan” når vi rammes af en national cyber-krise. Det er glædeligt at den nationale strategi taler om en national beredskabs-indsats, men vi skal videre end det - vi skal have regioner og kommuner med i ligningen.” Det er netop det der påpeges i min blog og i V" kronikken "Passes der godt nok på Danmark?" I både den første og den anden cybersikkerhedsstrategi er derheller ikke taget højde for regioner og kommuner. Det er korrekt, at der nu, langt om længe er udpeget repræsentanter fra hver af disse til at sidde med i Rådet. Men om det får nogen indflydelse på hvad den næste strategi skal indholde, der først skal skrives i 2024, er svært at sige. Fakta er, er at muligheden er misset, nu i mere end 6 år, hvor de ikke tilgodeses, hverken i den første eller den anden strategi. Det og meget andet er en alvorlig fejl, som bl.a. gør at jeg fastholder at produktet er et makværk og en ommer.

  • 7
  • 0
#19 John Michael Foley

@Sidsel

Noget af det der efter min mening skal ind i strategien er en nytænkning og en omorganisering af den måde hvorpå cybersikkerheden varetages i Danmark. Som det måske er dig bekendt er Danmark netop udpeget som Europamestre og noget nær Verdensmestre, når det kommer til digitalisering. Men når det kommer til cybersikkerhed forholder det sig ganske anderledes, idet Danmark nu er placeret på en kedelig 32. plads, lige efter et land som Kasakhstan, jf. ITU´s Global Cybersecurity Index, og dårligst placeret i en sammenligning ´med alle de andre nordiske lande. Det synes jeg er tankevækkende og en uoverensstemmelse der burde undersøges og gives en forklaring på.

  • 4
  • 1
#20 Rune Hansen

Når jeg lige har skimmet forslagende overordnet, kunne jeg godt frygte at der hurtigt kunne gå rigtig meget compliance i den (masse folk uden IT kendskab med Excel ark i hånden). Og regler der er lavet af alle mulige andre end folk med "fingeren i jorden".

Og for at tale rent ud af posen, så vil jeg sige at debatten her inde om Open Source er et godt sted at starte. Samt det at insisterer på en Windows monokultur svare til at insisterer på ikke at benytte prævention. Vi har pt. et problem med at vi ikke engang kan får det offentlige til at efterleve GDPR lovgivningen.

Det konstruktive: 1.4: Større fokus på it-sikkerhed ved offentlige it-indkøb og udbud (God ting) 1.5 Fælles tekniske løsninger (Vær yderst forsigtig med hvad dette betyder, det kunne godt risikere at bryde med "Least Priviledged" princippet) 1.7 Styrkelse af politiets indsats mod it-kriminalitet (Dette kan kun blive bedre, jeg har ofte indgivet anmeldelser i udlandet hvis jeg har sporet kunstige profiler i dk på DBA/Guloggratis, der har man typisk bare en online formular man udfylder og vedhæfter bevismateriale. Anmeldelserne bliver oven ikøbet taget seriøst af nationalt og lokal politi i eks. vis England) Jeg kunne aldrig drømme om at spilde min tid på at indgive en anmeldelse til det Danske politi, desuden gider jeg heller ikke de fornærmelser man ofte oplever hvis man prøver at anmelde noget her hjemme. 1.10 Hjemmel til at imødegå brede og forstyrrende destruktive cyberangreb (Have et krav om en kort TTL på specielle domæner og indgå en aftale med Akamai. Se her hvordan GitHub afværgede "The great canon" fra den Kinesiske regering: https://github.blog/2018-03-01-ddos-incident-report/ det hidtil største DDoS angreb) 1.11 Udvidet analyse af national kritisk it-infrastruktur. (Man burde fra centralt hold naturligvis arbejde på log-management løsninger der kan give et overblik, meen det gør jeg alerede i privaten og det mener jeg også at have hørt at man gør i det offentlige)

Resten af punkterne ville jeg slette, enten fordi det er forventeligt i dag (backup og recovery) efter alle de ransomware angreb der har været. Eller også fordi det er selvindlysende eller andre allerede gør det.

Slet alt under punkt 2. Folk uden IT faglig viden skal ikke være dem der træffer beslutningerne, det er en af årsagerne til at vi står hvor vi står idag. Tving komnunerne til at efterleve loven og lad vores børn få IT kompentancer uden at tvinges til at level i Googles univers af "tryghed". Alt under punkt 2. giver ikke så meget mening for nogen IT ansvarlig. (Det sker allerede eller er utopisk)

3.1 Bedre hjælp til borgere og virksomheder via en cyberhotline (RIGTIG GODT FORSLAG) 3.6 Et styrket værn om statens informationer (Især vores sundhedsdata) 3.7 Styrket sikkerhedstilsyn med systemleverandører og databehandlere (Mener dog stadig vi skal have det offentlige til at efterleve de konklusioner som løbende kommer fra EU omkring dette. De største skurkene er dog pt. dem som står bag papiret, altså regeringen.). Der er ingen grund til at regeringen forsøger om de kan renvaske Facebook eller Google med deres "sikkerhedtilsyn" i strid med EU.

4.3 Styrket kapacitet til at kunne imødegå statslige og ikke-statslige aktørers cyberangreb (Det kunne være fint) 4.4 Styrket afskrækkelse af cyberangreb (Hvis det sker i det "åbne" kan dette også være interessant) De resterende punkter i 4. har jeg svært ved at se kommer til at ske, nogen sinde.

Drop alle punkterne om ledere og topledere, som skal opkvalificere til at tilegne sig specielle IT-færdigheder. Gør det istedet til et krav at der skal sidde nogen i bestyrrelsen/ledelsen i SMV < med IT erfaring og fingeren på pulsen.

  • 5
  • 0
#21 Bjarke Alling

@John, jeg står naturligvis ved mine egne citater og min mening til den nye strategi er også klar. Der er en masse positive elementer og nogle negative.

Min pointe var, at jeg gerne ville have været blevet spurgt inden. Det er normal høflighed og ofte også kutyme blandt journalister og andre skribenter. Og det vil jeg også forvente fra din hånd.

  • 0
  • 7
#22 John Michael Foley

@Sidsel

Jeg kan udmærket godt forstå hvad du mener, men en cyberstrategi er ikke et spørgsmål om oplistning af en række af tiltag og ønsker. Så det er ikke et spørgsmål om at vælge til og fra de 34 tiltag som du foreslår. Det er en misforståelse.

En cyberstrategi er så meget mere, hvilket kan læses i ENISA's guideline og best practise til hvad en cyberstrategi bør indeholde og se ud. Se vejledningen her: https://www.enisa.europa.eu/publications/cyber-security-strategies-paper Den danske strategi er ikke i nærheden af at opfylde kravene til at være en god strategi, jf. skabelonen og vejledningen fra EU.

Ud fra strategien skal der identificeres, hvad der bør gøres, men det er ikke det man gør i Danmark. Der opllster man i stedet for en række tiltag, som ikke hænger sammen og er derfor blevet til en usammenhængende produkt, der efter min mening ikke forbedrer cybersikkerheden i Danmark.

Desværre har de der har været ansvarlig for udarbejdelsen af strategien ikke været tilstrækkelig opmærksom på, hvad en god strategi burde indholde. Og ses ikke at have haft kendskab til den best practice, der burde være fulgt ved udfærdigelsen af den danske udgave. Mange andre lande vi normalt sammenligner os med i Europa har forstået hvad en god strategi er for en størrelse. Det kan du også læse om via linket ovenfor.

  • 2
  • 1
#23 Aslak Stage

@ Bjarke Alling.

Det er absolut ikke kutyme og ej heller normal høflighed hverken blandt journalister eller skribenter iøvrigt at spørge den som citeres i et offentligt medie eller lignende, med mindre at man ønsker en kommentar eller uddybning af det, som man er citeret for.

John M. Foley gør præcist det som er kutyme og praksis. Han citerer fra et medie og henviser til hvor han citerer fra.

At du synes han citerer dig forkert, er dit problem og har ikke noget med kutyme og normal høflighed at gøre. Du har muligheden for at svare igen. Og John M. Foley svarer på din kommentarer. Og det er normal kutyme og høflighed.

Hvis ikke du kan lide at blive citeret uden at have forhåndsbesked når folk citerer fra dine udtalelser, så skal du lade være med at udtale dig skriftligt og mundtligt. Sværere er det ikke.

  • 9
  • 0
#25 Lars Pedersen
  • 1
  • 0
Log ind eller Opret konto for at kommentere