Danmarks cyberstrategi skal hvile på dyb forståelse
Den danske regering fremsatte i december sidste år Danmarks nye cyberstrategi, som bl.a. fokuserer på beskyttelsen af Danmarks digitale infrastruktur og it-systemer.
Vi har en strategi, men det er ikke nok bare at lægge flere penge i foretagendet. Med udbruddet af krigen i Ukraine er det mere tydeligt end nogensinde, at der er behov for en robust cyberstrategi. Og det kræver en solid forståelse af cyber for at lægge den rette strategi, som sikrer vores infrastruktur. Cybersikkerhed adskiller sig fundamentalt fra konventionel sikkerhed og er ikke bare et spørgsmål om firewalls og robuste it-systemer. Den menneskelige faktor og de politiske dilemmaer må ikke undervurderes.
Før vi går i dybden med de udfordringer, cyberstrategien ikke tager højde for, er det vigtigt at understrege, hvorfor Danmark er et særligt udsat land. Danmark er et af verdens mest digitaliserede lande. Ofte kan det slet ikke gå hurtigt nok med at digitalisere – se eksempelvis coronapasset eller det digitale kørekort.
De digitale systemer skal være så nemme at tilgå som muligt for den enkelte borger, men er det nemt at tilgå for os selv, er det også langt nemmere for en hacker. Og med så store dele af vores infrastruktur digitaliseret kan et alvorligt cyberangreb lamme hele nationen på en helt anden måde end i mindre digitaliserede lande. Samtidig har vi langtfra de samme ressourcer som større lande, så der er god grund til at bruge dem helt rigtigt for ikke at blive et nemt mål.
En af de udfordringer, som den nationale cyberstrategi skal tage højde for, er uforudsigeligheden og det brogede fjendebillede i cyber. I science fiction-thrilleren Wargames fra 1983 hacker en teenager sig ved et uheld ind i USA’s militærsystemer og starter næsten en atomkrig mellem USA og Sovjetunionen. Denne film understreger meget godt uforudsigeligheden blandt aktørerne i en cyberkrig.
Efter Ruslands invasion af Ukraine så vi private hackergrupper som Anonymous tage kampen op på ukrainsk side, men i realiteten kunne det lige så godt være CIA eller andre statslige aktører, der benyttede private som skalkeskjul. Det er umuligt at vide, så hvordan forsvarer man sig, når man ikke ved, hvem man kæmper mod? Og er det en krigshandling fra en nation, hvis nogle blandt dens borgere angriber en anden nation?
Kigger man i den nuværende cyberstrategi, så savner jeg langt større fokus på internationalt samarbejde. Det bedste forsvar mod uforudsigeligheden er at dele oplysninger med allierede og stå sammen om en koordineret indsats.
Et andet punkt, hvorpå cyberkrig og -angreb adskiller sig fra konventionel krig, er en usynlighed, der generelt kendetegner cyber. I modsætning til konventionel krig kan man ikke se, at et angreb er på vej, og ligeledes kan det efter et angreb i nogle tilfælde være umuligt at spore, hvor angrebet kom fra. Eksempelvis er der sandsynligvis allerede nu i nogle danske it-systemer installeret ‘sovende bagdøre’, som hackere kan gøre brug af til at komme ind i danske systemer, hvis der udbryder cyberkrig mod Danmark. I en konventionel krig bliver forsvaret i sig selv et angreb, fordi man møder vold med vold, men i cyber sidder fjenden på afstand og forvolder skaden.
Den nationale cyberstrategi fokuserer hovedsageligt på proaktive tiltag, men hvad er vores reaktive strategi? Er vi defensive eller offensive? Rydder vi op, eller gør vi gengæld, som USA eksempelvis ville gøre? Og en ekstra krølle på denne hale er igen, at vi er en ganske lille nation, så vi bør samtidig overveje, hvorvidt vi kan samarbejde med andre nationer, men samtidig have in mente, at samarbejdet med andre nationer kan betyde, at vi kommer i større risiko for at blive et mål for de nationers fjender.
Det er meget kompliceret og dilemmafyldt og bør i den grad være en politisk diskussion, vi bør have som nation på linje om forsvarsforbehold og deltagelse i internationale militærmissioner.
Den nationale cyberstrategi fokuserer generelt mest på virksomheder, hvilket også er ganske relevant, da det som regel er virksomheder, der rammes, og ikke den enkelte borger. Til gengæld viser undersøgelser, at 95 procent af succesfulde cyberangreb skyldes mennesker.
Derfor mener jeg, det er vigtigt at kigge på, hvordan vi ‘opdrager’ medarbejdere og borgere i it-sikkerhed. Hvis hele nationen generelt bliver uddannet til at være deres egen ‘it-dørmand’, vil vi kunne undvige en del af de cyberangreb, som sker i øjeblikket – både privat og i virksomhederne.
Hertil skal vi både på virksomhedsniveau og på lovgivningsniveau overveje, hvorvidt vi bør højne sikkerhedsniveauet på diverse systemer. Man kan eksempelvis gøre brug af en såkaldt Zero Trust-tilgang. Zero Trust fokuserer på, at ingen som udgangspunkt har adgang til systemer, uden at de skal verificeres.
Det vil betyde en besværliggørelse af vores digitale liv, men samtidig en bedre beskyttelse af vores systemer.
Vores politikere bør tage et ekstra kig på den nationale cyberstrategi og ikke mindst gøre den til et nationalt anliggende frem for et nørdet hjørne af vores samlede sikkerhed. Vi kan alle være et mål og uforvarende komme til at lukke hackere ind. Og vi bør alle være med i den politiske diskussion om, hvordan vi forholder os til vores cyberforsvar.
Du kan se Jesper Lund Hedegaard i debat om cyberstrategien på V2 Securitys store scene i Øksnehallen. Det er 5. maj klokken 12.30, og du kan tilmelde dig lige her.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
