Det fremhæves ofte, at det danske samfund er verdens mest digitaliserede. Vores liv kan ikke længere adskilles fra informations- og kommunikationsteknologi. Danmark er en såkaldt IKT-afhængig stat - og vi er IKT-afhængige borgere.
Det er derfor ikke uden grund, at cybertruslen i dag regnes for en af de absolut største trusler, hvis ikke den største. Det gælder i et nationalt sikkerhedspolitisk perspektiv såvel som i det danske erhvervsliv.
Den teknologiske udbredelse og udvikling er med til at gøre cybersikkerhed til en kompleks, dynamisk og diffus udfordring.
Grænserne mellem det digitale, fysiske og biologiske opblødes, udviskes og forvitrer. Geografisk og tidslig bundethed opfattes som en saga blot. Cybertruslen synes ubegrænset af tid og rum.
Det udvider drastisk de sikkerhedspolitiske sårbarheder og antallet af potentielle mål – fra stater over private virksomheder til individuelle brugere.
Cybertruslen udfordrer således en række af de traditionelle skillelinjer, som vi normalt bruger til at indrette vores samfund og sikkerhedspolitik efter, herunder skellet mellem offentlig og privat.
Kraftigt udfordret
Statens og forsvarets historiske monopol på den nationale sikkerhed er kraftigt udfordret på cyberområdet.
Det skyldes dels, at truslen som nævnt går på tværs af mange af de skillelinjer, som vi normalt organiserer rigets sikkerhed på baggrund af, dels at meget af den kritiske (informations) infrastruktur er privat ejet og drevet.
Den uforudsigelighed og usikkerhed, der er forbundet med den fortsatte udvikling i og brug af IKT, samt den private sektors mellemkomst gør traditionel politisk styring, organisering og lovgivning vanskelig. Håndtering af cybertruslen kræver, at sikkerhedspolitik og kriminalitetsbekæmpelse tænkes ud over den klassiske politimæssige og forsvarspolitiske styring.
Mere end nogensinde før ser vi således i dag et opbrud i grænserne mellem statens ansvar for nationens sikkerhed og borgerens ret til beskyttelse. Grænsen mellem den offentlige og den civile sfære ændres.
Der er i Danmark fortsat et fravær af både koordinerende myndighed og en tilstrækkelig åben strategisk-politisk prioritering på cybersikkerhedsområdet. Danmark har i modsætning til mange andre lande fravalgt at have en centralt koordinerende myndighed på cyberområdet samt en klar definition af, hvilke industrier og funktioner der udgør Danmarks kritiske infrastruktur.
Stor uklarhed
Der er kort sagt stadig stor uklarhed på området. Hvem der skal gøre hvad hvornår i forhold til cybertruslen er stadig indhyllet i tåge. Man kan håbe, at tågen letter i takt med implementeringen af den nationale cyber- og informationssikkerhedsstrategi fra tidligere i år, herunder når de sektorspecifikke strategier fremlægges før nytår.
Men det er fortsat uvist, hvor det ender, og strategien sætter ikke ret klare mål for, hvilket cybersikkerhedsniveau vi skal have nået om 4-5 år. Hverken bredt set eller for de enkelte sektorer.
De manglende politisk-strategiske prioriteringer og den manglende koordinering øger Danmarks sårbarhed over for cyberangreb. Samtidig svækkes det danske demokrati, da grænserne for dansk sikkerhedspolitik forbliver uklare og dermed nemmere undviger den demokratiske offentligheds blik.
WannaCry og NotPetya
Som vi har oplevet på det seneste, kan cybersikkerhedshændelser som ransomware-angrebene NotPetya og WannaCry få alvorlige konsekvenser, i takt med at infrastruktur, hospitalsudstyr og teknologi helt ind i de mest intime aspekter af vores dagligdag i stigende grad bliver koblet op til internettet.
NotPetya og WannaCry udstillede flere af dilemmaerne i forhold til placeringen af ansvaret for cybersikkerhed i en stadig mere digitaliseret og forbundet verden. En verden, hvor ansvaret for cybersikkerhed er fragmenteret og kan placeres hos flere og flere modsatrettede og overlappende autoriteter.
NSA, Microsoft, hackergruppen Shadow Brokers, Nordkorea, Rusland samt private og offentlige systemejere stod alle for skud. Det er ikke nemt at placere entydigt ansvar for en sådan hændelse. Hvem kan vi stille krav til beskyttelse fra? Hvem kan vi holde ansvarlige, når det går galt og konsekvenserne er fatale?
Det risikere at svække vores demokratiet og tilliden til det, hvis vi ikke bliver bedre i stand til at besvare disse spørgsmål.
Derfor bør vi i langt højere grad efterspørge klare politiske strategiske prioriteringer, forskning og mediedækning, der med udgangspunkt i store spørgsmål om teknologiens samfundsforandrende potentiale fokuserer på, hvad cybersikkerhed er, kan og bør være. På den måde kan vi komme tættere på at besvare spørgsmålene om, hvem der kan holdes ansvarlige af hvem og for hvad.
Som borgere og civilsamfund er det nødvendigt, at vi kræver en demokratisk og sikkerhedspolitisk organiserings- og beslutningsform, der holder den politiske ledelse, efterretningstjenesterne, infrastrukturudbyderne og it-konglomeraterne ansvarlige og gør dem til genstand for politik, diskussion og kritik.
Der er vi ikke i dag.
Situationen i Danmark
Med det seneste forsvarsforlig samt den nationale cyber- og informationssikkerhedsstrategi synes regeringen at have fastholdt en forsvarsdomineret tilgang til cybersikkerhed. Især når man ser på finansiering.
Ud af 1,5 milliarder går 1,4 milliarder forventeligt til forsvarspolitiske bindinger. Det betyder, at der kun er afsat 100 millioner kroner til strategiens øvrige områder over fire til fem år.
De tildelte 100 mio. kr. er et engangsbeløb, der primært skal dække tværsektorielle aktiviteter – ikke sektorernes interne udgifter og den løbende drift. Hovedparten af ressourcerne til at udvikle, indføre og opretholde de øgede krav til sektorerne i form af de pålagte tiltag, foranstaltninger, kontroller osv., som den nationale cyberstrategi, sektorstrategierne og NIS-direktivet vil medføre, skal stadig findes i konkurrence med ministeriernes øvrige opgaver.
Det vil derfor fremover være en løbende opgave for de respektive sektorer selv at finde midlerne, og der skal således løbende tages administrativ eller politisk stilling til fordeling af udgifter.
Der er god ræson i at samle viden samt specifikke og sparsomme kompetencer på cybersikkerhedsområdet. Men prioritering af og økonomisk støtte til forsvarets mere eller mindre lukkede kredsløb skaber ikke alene den nødvendige cybersikkerhed. Regeringen risikerer at ramme forbi målet.
Centraliseringen af ressourcerne under forsvaret er nemlig i uoverensstemmelse med både den ansvarsfordeling og det trusselsbillede, som Danmark står over for på cyberområdet.
Som nævnt er cybertruslen og ansvaret for cybersikkerhed om noget kendetegnet ved, at begge dele går på tværs af mange skillelinjer, som vi normalt organiserer forsvars- og sikkerhedspolitik på baggrund af. På tværs af ministre og myndighedsområder. På tværs af sektorer. På tværs af offentlige og private aktører.
Regeringen har valgt at stå vagt om sektoransvarsprincippet. En beslutning, der synes at være i direkte modstrid med den centralistiske tildeling af midler på forsvarsforliget. Der er simpelthen en kæmpe diskrepans mellem finansiering og ansvar.
Endvidere er regeringen nærmest gået baglæns til arbejdet.
Man har først fordelt midler (med forsvarsforliget), så har man lavet strategi. I stedet er der er behov for, at finansiering og ansvar går hånd i hånd. Fordelingen af midler burde være sket på baggrund af en gennemarbejdet national cybersikkerhedsstrategi, hvis formål det havde været at sikre en gennemsigtig og inddragende tilgang til at styrke den nationale cybersikkerhed.
En sådan strategi skulle have haft øget fokus på offentlig-privat og offentlig-offentlig videndeling, styrket sammenhængskraft i og imellem de samfundskritiske sektorer, herunder styrket offentligt-privat samarbejde, især hvad angår beskyttelse af samfundsvigtig og kritisk infrastruktur samt yderligere fokus på struktureret og langsigtet kapacitetsopbygning.
Lad mig slutte med, hvordan det kan ske, og dermed give noget input til den fortsatte debat i dag og i fremtiden.
Anbefaling: Sektoransvar, cyberråd og teknologiministerium
Jeg advokerer ikke for et opgør med sektoransvarsprincippet.
Det er i dag vanskeligt at forestille sig, at det offentlige har ekspertise og information til at detailsikre den kritiske digitale infrastruktur. Dertil er videnniveauet i de enkelte sektorer og virksomheder for specifikt, tempoet i teknologiudviklingen for højt, og kompleksiteten af systemer og sammenkædninger for uoverskuelig. Sektorerne har det bedste indblik, men de har ikke nødvendigvis det bedste strategiske overblik.
Der er derfor behov for at en koordinerende myndighed til at styrke den fælles forståelse, videndeling og –opsamling. Både strategisk og operativt. Den samme myndighed bør sørge for, at der sættes klare, langsigtede, målbare pejlemærker for det nationale arbejde med cybersikkerhed.
Det kunne ske gennem udvidelse af 'Den nationale styregruppe for cyber- og informationssikkerhed', oprettelsen af et cybersikkerhedsråd (eller en anden tværgående instans) eller måske gennem oprettelse af et decideret digitaliserings- eller teknologiministerium.
Med sidstnævnte model ville vi blive i stand til at tænke cybersikkerhed som en del af digitaliseringsdagsordenen, der i forvejen godt kunne bruge politisk-strategisk styring. Hvad vil vi med den fortsatte digitalisering og teknologiudviklingen? Hvor skal det bringe os hen, hvorfor og hvordan? Hvad er faldgruberne og mulighederne? Hvordan skal vi prioritere mellem vækst, velfærd, sikkerhed – for samfundet såvel som for den enkelte?
I alle tilfælde ville en stærkere koordinerende myndighed kunne forbedre den tværsektorielle koordination ved at sikre, at en myndighed har centralt strategisk-politisk overblik og kan vejlede, kontrollere og om nødvendigt beordre de sektoransvarlige myndigheders implementering og forvaltning af cybersikkerhed i Danmark.
I forbindelse med implementering af den nationale strategi, udarbejdelsen af sektorspecifikke strategier samt implementeringen af NIS-direktivet er det f.eks. vigtigt, at identifikation af kritisk infrastruktur sker i dialog med private aktører i de respektive sektorer.
For at sektorerne kan identificere, hvad der er kritisk i deres ressortområde, må man først have defineret en række strategiske kriterier for, hvad det vil sige, at noget er kritisk. Sektorerne kan kun fungere som mere eller mindre selvorganiserende robuste netværk, hvis der er klare mål at selvorganisere indsatsen hen imod.
Det er et vigtigt element i et demokrati, at det debatteres i en politisk-demokratisk proces, hvad der prioriteres som kritisk, og hvad der f.eks. kan nedprioriteres i en krisesituation. Det kan en overliggende myndighed være med til at sikre.
Derfor bør staten med udgangspunkt i en sikkerhedspolitisk, social og økonomisk vurdering samt en transparent debat med private aktører og NGO’er formulere klare mål og prioriteter for cybersikkerhedsarbejdet på tværs af og i sektorerne.
Anbefaling: Forventningsafstemning og formålsafklaring af offentligt-privat samarbejde
Zoomer vi ind på det konkrete og snævre offentligt-private og offentlige-offentlige samarbejde er det nødvendigt, at man bliver bedre til at afklare, hvad formålet med det offentligt-private og offentlige-offentlige cybersikkerhedssamarbejde er.
Forventningsafstemningen på tværs af det offentlige og det private skal styrkes. Det er nødvendigt at diskutere, hvad parterne forventer at få ud af samarbejdet. Hvorfor de hver især vil afsætte tidslige, menneskelige og økonomise ressourcer til det.
Svarene vil givetvis være forskellige. Både internt i det offentlige - på tværs af CFCS, NC3, Digist og de sektoransvarlige myndigheder - og mellem det offentlige og det private.
Der er forskel på at skulle levere national sikkerhed og business continuity. De strategiske prioriteringer og mål er forskellige. Det kan vi udnytte, ved at alle parter lytter til og forsøger at forstå hinanden, så vi på den baggrund kan skabe det bedst mulige grundlag for et samarbejde bygget på forskellighed.
Det vil desuden kunne være med til at skabe yderligere gennemsigthed med tilgang til det offentligt-private samarbejde således at blive klarere på, hvem der samarbejder med hvem og hvorfor.
Tobias Liebetrau holdt oplæg på en høring om den nationale cyberstrategi, Mind the Gap, arrangeret af Folk & Sikkerhed, 18. september på Christiansborg.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
