Gæstebloggen

Nye cybersikkerhedsstrategier: Sektoransvar rejser tvivl om statens historiske sikkerhedsmonopol

I mandags præsenterede regeringen seks nye sektorstrategier med fokus på at styrke Danmarks informations- og cybersikkerhedsniveau. De seks sektorer, der offentliggjorde strategier i mandags, var sundheds-, finans-, tele-, søfarts-, transport- og energisektoren.

Strategierne har udspring i den forsinkede nationale strategi for cyber- og informationssikkerhed, som regeringen præsenterede i foråret 2018.

Jeg er blevet bedt om at give mit besyv med, hvilket både går på strategierne og den kritik, der har været fremsat af dem indtil nu.

Ph.d. Tobias Liebetrau, Institut for Statskundskab, Københavns Universitet, forsker i, hvordan cybersikkerhed håndteres i Danmark og EU, herunder hvordan de to organer spiller sammen. Han er tidligere ansat i Center for Cybersikkerhed ved Forsvarets Efterretningstjeneste (FE), hvor han bl.a. var med til at udforme Danmarks første nationale cyber- og informationssikkerhedsstrategi. Illustration: Privatfoto

En strategi er en strategi er en ...?

En væsentlig del af den kritik, der er blevet rettet mod samtlige sektorstrategier, er, at de er papirtigre og derfor ikke tilstrækkeligt handlingsanvisende. Et eksempel:

Tirsdag den 8. januar udtalte Niels Bertelsen, formand for Prosa, til Information: »Der er en masse ord i dem, men meget lidt handling. De indeholder ikke aktiviteter, men hensigtserklæringer, så vi er ikke kommet meget tættere på, hvad de gerne vil med cybersikkerhed.«

Nu hersker der ikke en definition af, hvad en strategi er, som vi alle sværger til. Ikke desto mindre så har strategier normalt fokus på langsigtet planlægning, som fører til eller mod et mål.

Jeg synes derfor, at det er påfaldende, at så mange kritikere har læst strategierne ikke som strategier, men som mangelfulde konkrete handlingsplaner.

Formålet med en strategi er som udgangspunkt at sætte en overordnet retning. Det gør strategierne (mere eller mindre præcist, formfuldendt og dybdegående).

I samme artikel efterspørger Niels Bertelsen svar på, hvad det er for nogle gamle it-systemer, der kan være problemer med - og hvordan de skal opgraderes.

Relevante spørgsmål at få besvaret, men ikke i de sektorspecifikke strategier.

Cyberisbjerge

Strategierne er de politisk-strategiske toppe af sektorernes informations- og cyberisbjerge, hvis resterende dele - forventeligt og forhåbentligt - udgøres af konkrete handlingsplaner, uddybede initiativbeskrivelser, arbejdspapirer o.lign.

Dele af disse undervandsisbjerge er givetvis allerede udarbejdet og besluttet. Andre dele udestår sikkert. Det stiller krav til, hvordan man evaluerer og måler på strategierne og deres overordnede målsætninger.

Især da strategierne skal sætte retning på et område, hvor udvikling går utroligt stærkt, hvorfor der kan være større behov for overordnede mål og en vis fleksibilitet til at evaluere, prioritere og justere undervejs.

Endvidere er sektorernes informations- og cyberpolitiske undervandsisbjerge som regel skjult for offentligheden, medmindre man søger aktindsigt, men det er en anden diskussion.

Uskøn blanding

Det fritager imidlertid ikke hverken sektorstrategier eller den overliggende nationale informations- og cybersikkerhedsstrategi for kritik, da de også fremstår som en uskøn blanding af strategi og taktik.

Her kunne man ønske sig, at der fra centralt hold var blevet tænkt mere i, hvordan en sektorstrategi ser ud; hvordan opstilles mål og succeskriterier, hvilken type mål skal og kan den sætte, hvordan sikres gennemførsel af implementering, opfølgende arbejde osv.

Det ville have skabt en fælles ramme for strategierne, men fortsat levne plads til sektorernes forskelligheder.

Skåret ind til benet er min pointe, at der mangler en klar ramme samt klare succeskriterier for de strategiske tiltag i både den nationale strategi og sektorstrategierne. Desuden bør der være handlingsplaner og andre anskueliggørende underliggende tiltag, der udpinder, hvordan de enkelte sektoraktører konkret vil nå de strategiske mål, hvem der er ansvarlige for at nå hvilke mål etc.

Finansiering eller fidusmageri?

Det er ikke kun konkretiseringen af strategiernes initiativer, der har modtaget kritik. Også manglende finansiering af initiativerne er blevet diskuteret og kritiseret heftigt. Især branchefolk fra it- og cybersikkerhedsindustrien har været på banen og forlangt flere penge.

Desuagtet at jeg et langt stykke ad vejen er enig, så synes jeg, at det tenderer mikrofonholderi, når en lang række medier ukritisk kalder branchefolk 'eksperter' og citerer dem for (nærmest udelukkende) at påpege, at der mangler penge og finansiering.

Branchefolk, der må siges at have forholdsvis store interesser i, at der tildeles yderligere øremærkede midler til it- og cybersikkerhed (jeg skal gerne indrømme, at vi forskere har samme tendens. Det er sjældent, at yderligere forskning ikke er påkrævet. Det gælder naturligvis også på cybersikkerhedsområdet.)

Baggrunden for kritikken af manglende finansiering er primært, at regeringen i det seneste forsvarsforlig afsatte 1,4 milliarder kroner til den forsvarsmæssige del af cybersikkerhed, mens man kun har kunnet afse 100 millioner kroner til sektorerne.

De tildelte 100 millioner kroner er et engangsbeløb, der primært skal dække tværsektorielle aktiviteter – ikke sektorernes interne udgifter og den løbende drift.

Løbende opgave i at finde midler

Hovedparten af ressourcerne til at udvikle, indføre og opretholde de øgede krav til sektorerne i form af de pålagte tiltag, foranstaltninger, kontroller osv., som den nationale cyberstrategi, sektorstrategierne og NIS-direktivet medfører, skal stadig findes i konkurrence med de offentlige myndigheder og de private virksomheders øvrige opgaver.

Det vil derfor fremover være en løbende opgave for de respektive aktører i sektorerne selv at finde de påkrævede midler, og der skal således løbende tages politisk, forretningsmæssig og/eller administrativ stilling til fordeling af udgifter.

Det er fuldt ud legitimt at diskutere, hvorvidt regeringens overordnede fordeling af midler mellem Forsvaret og sektorerne er passende. Det er et politisk spørgsmål.

Men det synes diskuterbart at hævde, at f.eks. strategien for sundhedssektoren er ufinansieret, eller at hele initiativer er det.

Der er nogle initiativer, hvor en eller flere konkrete aktiviteter forudsætter, at forskellige parter i fællesskab aftaler, hvordan de finansieres. F.eks. i forbindelse med etablering af overvågning af aktiviteten på sektorens systemer og infrastruktur.

Men at initiativerne er ufinansierede som sådan er et spørgsmål om perspektiv.

Kæmpe diskrepans

Når det er sagt, så mener jeg, at centraliseringen af midler til cybersikkerhed under Forsvaret er i uoverensstemmelse med både den ansvarsfordeling og det trusselsbillede, som Danmark står over for på cyberområdet.

Sektoransvarsprincippet synes at være i direkte modstrid med den centralistiske tildeling af midler i forsvarsforliget. Der er simpelthen en kæmpe diskrepans mellem finansiering og ansvar.

De penge, der blev afsat til cybersikkerhed på forsvarsområdet burde i højere grad have været delt ud på sektorerne med det formål at øge offentlig-privat og offentlig-offentlig videndeling, styrke sammenhængskraften i og imellem de samfundsvigtige sektorer samt yderligere fokus på struktureret og langsigtet kapacitetsopbygning.

Regeringen, ministerier og sektorer

Flere steder er sektorstrategierne af kritikerne blevet fremlagt som regeringen/statens strategier.

Det er nærliggende, når de blevet præsenteret af regeringen, men alle strategierne er, såvidt jeg kan læse mig til, alle udarbejdet i et samarbejde mellem flere aktører – det værende sig offentlige såvel som private.

Det er altså ikke regeringens strategier som sådan, men sektorernes.

Samtlige afsendere på telesektorstrategien er endda brancheforeninger og private virksomheder. Her står hverken Center for Cybersikkerhed eller Forsvarsministeriet som medafsendere.

At det er sektorernes ansvar rejser en række andre spørgsmål vedrørende statens historiske monopol på sikkerhedspolitik.

Statens historiske monopol på og ansvar for den nationale sikkerhed er kraftigt udfordret på informations- og cybersikkerhedsområdet, hvor vi inden for flere sektorer i højere og højere grad er tvunget til at fæste lid til, at markedsdynamikker sikrer et tilstrækkeligt højt niveau af informations- og cybersikkerhed.

Mere politisk debat

Dette bør foranledige mere politisk debat om, hvem der ejer og driver vores infrastruktur, hvor vi placerer vores sikkerhedspolitiske beslutninger, og hvem der har ansvar for deres implementering.

Tænk her på de pågående diskussioner af Huaweis infrastrukturrolle i store dele af den vestlige verden. Eller cybersikkerhedshændelserne Petya og WannaCry, der i 2017 udstillede flere af dilemmaerne i forhold til placeringen af ansvaret for cybersikkerhed i en stadigt mere digitaliseret og forbundet verden.

En verden, hvor ansvaret for cybersikkerhed er fragmenteret og kan placeres hos flere og flere modsatrettede og overlappende autoriteter.

Ansvaret er ikke blot delt mellem det offentlige og det private, men også på tværs af landegrænser.

Andre landes politikere og efterretningstjenester samt multinationale selskaber har i dag stor indflydelse på Danmarks digitale sikkerhed.

Infrastruktur, styring og strategisk udblik

Det er stadig uklart, hvad der vurderes som værende kritisk eller samfundsvigtig infrastruktur.

Der kan være gode grunde - såsom teknologiudviklingens fart, omfang og sammenkædninger - der gør det nødvendigt at have en dynamisk forståelse af, hvad der er kritisk infrastruktur.
Men det udelukker ikke, at man udfærdiger en ikke-udtømmende definition/liste over, hvad der enten er kriterierne for eller udgør kritisk dansk infrastruktur.

Endvidere er det uklart, hvem der definerer, hvad der er kritisk infrastruktur. Er det Center for Cybersikkerhed på tværs af sektorerne eller de enkelte sektoransvarlige myndigheder, eller udbyderne selv?

Det er f.eks. interessant i forhold til spørgsmålet om, hvem der vurderer, hvornår CFCS kan og bør supplere sektorernes hændelseshåndtering.

Spørgsmålet bliver ikke mindre relevant at få besvaret med den netop foreslåede nye lovgivning for Center for Cybersikkerhed, der tilsyneladende barsler med at give centeret rettigheder til at installere sikkerhedssoftware i privatejet kritisk infrastruktur.

Har fravalgt centralt koordinerende myndighed

Spørgsmålene udestår: Hvem og hvordan definerer vi kritisk eller samfundsvigtig infrastruktur?

Slutteligt er det ikke lykkedes mig at finde information om, hvem der sidder i den »national styregruppe for cyber- og informationssikkerhed, hvor arbejdet i de enkelte sektorer knyttes sammen med den nationale indsats på området« (jævnfør Forsvarsministeriets pressemeddelse fra mandag den 7. januar).

Ej heller hvad det vil sige, at arbejdet i sektorerne knyttes sammen. Desuden er det uklart for mig, hvorvidt, hvordan, hvor meget og i hvilket regi sektorernes decentrale informationssikkerhedsenheder (DCIS’s) koordinerer, videndeler osv. Er det via trusselsvurderingsenheder i CFCS og den indstationerede medarbejder?

Summa summarum lader det til, at vi i Danmark fortsat og i modsætning til mange andre lande har fravalgt at have en centralt koordinerende myndighed på cyberområdet samt en klar definition af, hvilke industrier og funktioner der udgør Danmarks kritiske infrastruktur.

Desuden savner jeg en tilstrækkelig åben strategisk-politisk prioritering, når det kommer til at tænke teknologiudvikling, teknologibrug og cybersikkerhedsområdet sammen, hvilket en sådan myndighed burde varetage.

Det kunne ske gennem udvidelse af 'Den nationale styregruppe for cyber- og informationssikkerhed'. Det er imidlertid tvivlsomt, hvorvidt en styregruppe for en specifik strategi er det rette sted at forankre de helt store, tværgående strategisk-politiske diskussioner om informations- og cybersikkerhed i Danmark.

Tværgående digitaliseringsdagsorden

Alternativt kunne være oprettelse af et stærkt cybersikkerhedsråd (eller en anden tværgående instans) med inddragelse af en række offentlige og private aktører. Det kunne måske også være på tide at tænke seriøst over at oprette et decideret digitaliserings- eller teknologiministerium.

Med sidstnævnte model ville vi blive i stand til at tænke informations- og cybersikkerhed, dataetik, brugen af kunstig intelligens m.m. som en del af den tværgående digitaliseringsdagsorden, der i forvejen godt kunne bruge politisk-strategisk styring, der ikke baserer sig på forventninger om kortsigtet økonomisk gevinst.

Hvad vil vi med den fortsatte digitalisering og teknologiudvikling? Hvor skal det bringe os hen, hvorfor og hvordan? Hvad er faldgruberne og mulighederne? Hvordan skal vi prioritere mellem vækst, velfærd, sikkerhed – for samfundet såvel som for den enkelte?

Relateret indhold

Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

"Summa summarum lader det til, at vi i Danmark fortsat og i modsætning til mange andre lande har fravalgt at have en centralt koordinerende myndighed på cyberområdet samt en klar definition af, hvilke industrier og funktioner der udgør Danmarks kritiske infrastruktur.​"

Det er godt nok både skræmmende og uforståeligt, at dette narrespil kan blive ved. Det er svært at forstå, hvis ikke man tænker i en eller anden skjult dagsorden.

Gad vide, hvad der ville ske, den dag et folketingsvalg så ud til at ville bringe andre end de sædvanlige politiske kræfter (de sædvanlige skiftende magthavere) til magten? Ville de få lov?

John Foley

Det kan ikke siges bedre og mere tydeligt end det Tobias Liebetrau gør i sin fremragende blog. Det burde være pligtlæsning for alle der arbejder og interesserer sig for informations- og cybersikkerhed samt forsvars- og sikkerhedspolitik i et nationalt og internationalt perspektiv.
Tobias Liebetrau formår at gøre et meget vanskeligt og komplekst stof forståeligt og overskueligt, så alle kan være med. Tobias behersker til fulde formidlerkunsten i et smukt og forståeligt sprog, der vidner om et dybt og indgående kendskab til emnet.
Især formår han at sætte fokus på alle de vanskelige spørgsmål og kommer med gode forslag til forbedringer.
Det der især undrer mig, er, at man efter mere end 6 år efter CFCS’ oprettelse endnu ikke har fundet ud af at definere, indkredse og prioritere, hvad der forstås ved kritisk og samfundsvigtig infrastrukur. I samtlige FE’s risiko- og trusselvurderinger, står der at forsvaret og beskyttelsen af kritisk (informations) infrastruktur er et af deres højst prioriterede opgaver. Det er jo selvmodsigende, idet man ikke i de mange år der er gået har formået at løse opgaven med at finde ud af dette. Mange andre lande vi normalt sammenligner os med har for længst gjort deres hjemmearbejde.
Det er på høje tid at få etableret et nationalt civilt offentligt-privat cybersikkerhedsråd, der kan tage hånd om og løse de udfordringer og opgaver, der udestår, og gerne i regi af Statsministeriet eller i et decideret digitaliserings- eller teknologiministerium, som anbefalet. Der er nok af at tage fat om - kom nu igang. Den nationale cyberstrategi og de sektorspecifikke strategier kan ikke gøre det alene.

Bjarne Nielsen

Jeg er meget enig i, at den manglende afgrænsning i kraft af at man ikke får taget stilling til hvad "kritisk infrastruktur" er, er en væsentlig mangel. Hvis man vil beskytte noget, så er absolut første trin, at finde ud af, hvad det er, at man vil beskytte! (...og andet trin er imod hvad, så det giver ikke megen mening uden trin et)

Hvis man kan formå at se bort fra Claus Hjorth Frederiksens opførsel (personligt synes jeg at han fremstår arrogant og magtfuldkommen, hvilket sikkert virker fint, hvis man forvalter en intern lederrolle i et politisk parti, men ellers næppe er en fordel), så ligger der efter min mening et godt budskab i dette: At man faktisk mener det, når man siger at vores kritiske infrastruktur er truet af den måde, hvorpå vi anvender IT, og at der skal gøres noget ved det.

Førhen har det været skåltaler ("højeste sikkerhedsniveau" og hvad man eller kunne finde på at sige), og ikke meget andet. Og første betingelse for at kunne bidrage til at få gjort noget bedre, er at man selv tror på, at der er et problem.

Så forhåbentlig er vi på vej væk fra den naive opfattelse af IT sikkerhed, som ellers har været grundtonen fra Regering og Folketing. Det kommer helt sikkert til at koste på budgetterne rundt omkring, at man nu i højere grad er villige til at erkende den reelle pris (om man har forstået, hvor stor den fulde pris er, kan jeg godt tvivle på, men hey, det er et skridt på vejen).

Og jeg synes godt, at vi kan tillade os at være skeptiske overfor både, hvad vi får ud af de mange penge vi sender efter FE i videste forstand, specielt når vi ser på, hvad man kan præsentere af resultater, og hvor lang tid man har brugt på det.

Og tillade os at være meget forbeholdne over de trojanske net-bokse, som man ikke kunne få os til at hoppe på frivilligt, og nu vil tvinge igennem. Det er givetvist nødvendigt med en langt mere aktiv lytten efter tegn på fjentlig aktivitet, men det virker som om, at man er sprunget i mål uden de store overvejelser hvorfor det ikke blev en frivillig succes, og nu prøver med en beordret succes. Det vil meget nemt kunne gøre væsentlig større skade end gavn.

Også uden at skulle lægge øre til beskyldninger om at være konspirationsteoretiske sølvpapirshatte. Hvis man på forhånd afviser at lytte til enhver form for feedback, så risikerer vi nemt at komme til at stå med noget, som får IC4 og andre offentlige katastrofe projekter til at blegne i sammenligning. Det er det IMHO alt, alt for vigtigt til.

Log ind eller Opret konto for at kommentere