Dette indlæg er alene udtryk for skribentens egen holdning.

Danmarks cyberstrategi skal hvile på dyb forståelse

Af Jesper Lund Hedegaard19. april kl. 03:453
Accenture
Illustration: Accenture.
Flere penge er ikke nok – en robust cyberstrategi forudsætter solid forståelse af cyberområdet, skriver konsulent.
Artiklen er ældre end 30 dage

Den danske regering ­fremsatte i december sidste år Danmarks nye cyberstrategi, som bl.a. fokuserer på beskyttelsen af Danmarks digitale infrastruktur og it-systemer.

Vi har en strategi, men det er ikke nok bare at lægge flere penge i foretagendet. Med udbruddet af krigen i Ukraine er det mere tydeligt end nogensinde, at der er behov for en robust cyberstrategi. Og det kræver en solid forståelse af cyber for at lægge den rette strategi, som sikrer vores infrastruktur. Cybersikkerhed adskiller sig fundamentalt fra konventionel sikkerhed og er ikke bare et spørgsmål om firewalls og robuste it-systemer. Den menneskelige faktor og de politiske dilemmaer må ikke undervurderes.

Før vi går i dybden med de udfordringer, cyberstrategien ikke tager højde for, er det vigtigt at understrege, hvorfor Danmark er et særligt udsat land. Danmark er et af verdens mest digitaliserede lande. Ofte kan det slet ikke gå hurtigt nok med at digitalisere – se eksempelvis coronapasset eller det digitale kørekort.

De digitale systemer skal være så nemme at tilgå som muligt for den enkelte borger, men er det nemt at tilgå for os selv, er det også langt nemmere for en hacker. Og med så store dele af vores ­infrastruktur digitaliseret kan et alvorligt cyber­angreb lamme hele nationen på en helt anden måde end i mindre digitaliserede lande. Samtidig har vi langtfra de samme ressourcer som større lande, så der er god grund til at bruge dem helt rigtigt for ikke at blive et nemt mål.

Artiklen fortsætter efter annoncen

En af de udfordringer, som den nationale cyberstrategi skal tage højde for, er uforudsigeligheden og det brogede fjendebillede i cyber. I science fiction-­thrilleren Wargames fra 1983 hacker en teenager sig ved et uheld ind i USA’s militærsystemer og ­starter næsten en atomkrig mellem USA og Sovjetunionen. Denne film understreger meget godt uforudsigeligheden blandt aktører­ne i en cyberkrig. 

Efter Ruslands invasion af Ukraine så vi private hackergrupper som Anonymous tage kampen op på ukrainsk side, men i ­realiteten kunne det lige så godt være CIA eller andre statslige aktører, der benyttede private som skalkeskjul. Det er umuligt at vide, så hvordan forsvarer man sig, når man ikke ved, hvem man kæmper mod? Og er det en krigshandling fra en nation, hvis nogle blandt dens borgere angriber en anden nation?

Kigger man i den nuværende cyberstrategi, så savner jeg langt større fokus på internationalt samarbejde. Det bedste forsvar mod uforudsigeligheden er at dele oplysninger med allierede og stå sammen om en koordineret indsats.  

Et andet punkt, hvorpå cyberkrig og -angreb adskiller sig fra konventionel krig, er en usynlighed, der generelt kendetegner cyber. I modsætning til konventionel krig kan man ikke se, at et angreb er på vej, og ligeledes kan det efter et angreb i nogle tilfælde være umuligt at spore, hvor angrebet kom fra. Eksempelvis er der sandsynligvis allerede nu i nogle danske it-systemer installeret ‘sovende bagdøre’, som hackere kan gøre brug af til at komme ind i danske systemer, hvis der udbryder cyberkrig mod Danmark. I en konventionel krig bliver forsvaret i sig selv et angreb, fordi man møder vold med vold, men i cyber sidder fjenden på afstand og forvolder skaden. 

Den nationale cyberstrategi fokuserer hovedsageligt på proaktive tiltag, men hvad er vores reaktive strategi? Er vi defensive eller offensive? Rydder vi op, eller gør vi gengæld, som USA eksempelvis ville gøre? Og en ekstra krølle på denne hale er igen, at vi er en ganske lille nation, så vi bør samtidig overveje, hvorvidt vi kan samarbejde med andre nationer, men samtidig have in mente, at samarbejdet med andre nationer kan betyde, at vi kommer i større risiko for at blive et mål for de nationers fjender.

Det er meget kompliceret og dilemmafyldt og bør i den grad være en politisk diskussion, vi bør have som nation på linje om forsvarsforbehold og deltagelse i internationale militærmissioner.

Den nationale cyberstrategi fokuserer generelt mest på virksomheder, hvilket også er ­ganske relevant, da det som regel er virk­somheder, der rammes, og ikke den enkelte borger. Til gengæld viser undersøgelser, at 95 procent af succesfulde cyberangreb skyldes mennesker.

Derfor mener jeg, det er vigtigt at kigge på, hvordan vi ‘opdrager’ medarbejdere og borgere i it-sikkerhed. Hvis hele nationen generelt bliver uddannet til at være deres egen ‘it-dørmand’, vil vi kunne undvige en del af de cyberangreb, som sker i øjeblikket – både privat og i virksomhederne.

Hertil skal vi både på virksomhedsniveau og på lovgivnings­niveau overveje, hvorvidt vi bør højne sikkerhedsniveauet på diverse ­systemer. Man kan ­eksempelvis gøre brug af en såkaldt Zero Trust-­tilgang. Zero Trust fokuserer på, at ingen som udgangspunkt har adgang til systemer, uden at de skal verificeres.

Det vil betyde en besværliggørelse af vores digitale liv, men samtidig en bedre beskyttelse af vores systemer.  

Vores politikere bør tage et ekstra kig på den nationale cyberstrategi og ikke mindst gøre den til et nationalt anliggende frem for et nørdet hjørne af vores samlede sikkerhed. Vi kan alle være et mål og uforvarende komme til at lukke hackere ind. Og vi bør alle være med i den politiske diskussion om, hvordan vi forholder os til vores cyberforsvar.

Du kan se Jesper Lund Hedegaard i debat om cyberstrategien på V2 Securitys store scene i Øksnehallen. Det er 5. maj klokken 12.30, og du kan tilmelde dig lige her.

3 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
3. maj kl. 11:38

Udover offentlige awareness kampagner ved jeg ikke helt hvad du fisker efter. Og det kan man starte med at lære dem i skolen.

Virksomheder rundt omkring kører de kampagner de mener er nødvendige, jeg tror ikke staten kan bidrage med meget, da sådanne skal tage udgangspunkt i virksomheden kultur. Men vi ser også virksomheder der rammes, for det kræver kun et sekunds uforsigtighed.

Lap$us bruge social engineering, opkald til helpdesk. Vi har tidlihere set/hør om kampagner der består af e-mail, beskeder på eks linkedIn, fax/brev og telefonopkald. Ved at bruge flere veje, så kan angriberen øge tiltroen til den falske profil.

Vi har også set phishing/scam mails hvor en udenlandsk leverandør er hacket, og der så kommer kommunikation med kopier af nyere mails og dokumenter. Det er MEGET svært - På grænsen til det umulige - for en medarbejdere gennemskue dette.

Når alt dette er sagt, så er der så mange SME'er i DK, som ikke har IT skills overhovedet. De er sårbare, men ikke så samfundskritiske på kort sigt.

Der er identificeret en masse kritisk infrastruktur, som er underlagt særlige krav, og fødevarebutikker ved at de ligger i skudlinien lige efter. Men hvis de ikke kan få varer fordi lastbilerne løber tør, eller ikke holde varene kolde eller sælge dem fordi strømmen ryger, så er det lige meget.

Cyberangreb er iøvrigt dækket af NATO's musketer-ed. Så der kan svares igen med kinetiske våben, hvis man er sikker på hvem modstanderen er, og kan lokalisere dem.

2
2. maj kl. 20:42

Et tiltag jeg har overvejet er at få CFCS til at kigge kritiske projekter som mitID igennem, før de bliver sat i søen.

Om det hverv lige skal overlades til FE, tror jeg, flere her vil have deres tvivl om?

1
2. maj kl. 15:29

Et tiltag jeg har overvejet er at få CFCS til at kigge kritiske projekter som mitID igennem, før de bliver sat i søen. Måske lade dem være med i udviklingen når nu vi alligevel har sådan en institution.