Med NIS2’s godkendelse, og en spritny rapport, der fortæller at politiet henlægger rekordmange uopklarede cyberkriminelle sager og usædvanlig mange cyberangreb, er der kommet endnu et stort og presserende behov for nytænkning af den måde cybersikkerheden gennemføres i Danmark.
Den nuværende måde er forældet, har spillet fallit, og sikrer ikke i tilstrækkelig grad samfundet og dets befolkning mod angreb fra de personer, der stjæler vores penge, hacker systemerne, spionerer og forsøger at destabilisere vores samfund, især ikke civilsamfundet.
EU’s NIS2 beslutning udvider kredsen af sektorer fra 6 til 18, der bliver omfattet af direktivet. Mange flere instanser, myndigheder og private virksomheder end hidtil skal efterleve og implementere bestemmelserne inden oktober 2024.
Så det haster meget med at få omsat EU’s direktiv til dansk lovgivning – endda rigtigt meget.
På trods af den allerede eksisterende høje og gennemgribende regulering eksisterer der et ansvars-vacuum, når det kommer til organiseringen af den tværgående koordinering og opgave med cybersikkerhed, især på det civile område.
Manglende overblik i Danmark
Endvidere er der et manglende overblik og ansvar for den cyber-sårbare kritiske infrastruktur. I modsætning til mange andre lande vi normalt sammenligner os med, har Danmark endnu ikke fundet det betimeligt, at undersøge, hvad begrebet kritisk infrastruktur er for en størrelse eller hvordan den indkredses, defineres, prioriteres og sikres.
Summen af alle sektorers egne sårbarheder udgør ikke nationens. Det har f.eks. Estland og Finland fundet ud af ved at undersøge, hvilke samfundsvigtige kritiske infrastrukturer, der er essentielle i fred, krise og krig, og tager højde for det i deres samlede planlægning.
Derfor ses et behov for at placere et samlet tværsektorielt ansvar for cybersikkerheden, som – i modsætning til i dag - ikke præges af en militariseret dagsorden.
Ved en militariseret tilgang til cybersikkerhed, som anbefalet af Forsvarsministeriet i deres egen analyse og undersøgelse, gøres samarbejdet næsten umuligt og forhindrer åbenhed og transparens, herunder en nødvendig tværsektoriel offentlig-privat vidensdeling.
I Forsvarsministeriets rapport, ”Analyse af forankringen af den virksomhedsrettede indsats (juni 2022)”, er man kommet frem til at der måske kunne overlades dele af CFCS’s virksomhed til andre dele af Forsvarsministeriets ressort.
At den civilrelaterede opgave i det hele taget kunne varetages af andre ministerier og myndigheder end Forsvarsministeriet, FE og CFCS anbefales eller overvejes ikke. I en bacheloropgave ville en sådan analyse og undersøgelse dumpe med et brag.
Her bør det erindres, at mere end 90 procent af angrebene stammer fra cyberkriminelle, state- og non-state actors, der beriger sig ved bl.a. ransomware og anden økonomisk kriminalitet via nettet. Mindre end 5 procent har at gøre med spionage og andre alvorlige trusler mod statens sikkerhed.
Forsvarsministeriet har forudsat sig ud af opgaven ved at formulere kommissoriet på en sådan måde, at konklusionen var givet på forhånd. Man giver jo nødigt magten fra sig, sælger guldægget eller mindsker sit imperium. Så må Danmarks samlede cybersikkerhed komme i anden række, især civilsamfundets.
Betingelsen for at Forsvarsforligskredsen og Forsvarsudvalget bevilgede ekstraordinært 500 millioner kroner til Forsvarsministeriets cyberbudget var et krav om udarbejdelsen af nævnte undersøgelse. Den er på grund af valget endnu ikke behandlet i forligskredsen, så forhåbentlig er der nogle politikere m.fl., der stiller spørgsmålstegn ved Forsvarsministeriets konklusion. Det må man da håbe.
Hvad har alt dette med NIS2 at gøre, spørger læseren måske. Det har rigtigt meget med NIS2 at gøre, efter min mening.
Sektorerne står overfor stor opgave
De 18 udpegede sektorer skal nu hver især til at finde ud af, hvordan de har tænkt sig at efterleve og strukturere deres organisation, herunder afsætte ressourcer og midler til ansættelse af personel og etablering af CSIRTS og CERTS m.v. Hertil skal lægges alt det der skal klargøres som nævnt i min første blog (de 9 punkter).
De fleste af de i NIS1 udpegede 6 sektorer har allerede i nogen grad gjort det, med store omkostninger til følge. Omkostninger som sektorerne selv må betale af eget budget på bekostning af andre opgaver, de ikke længere har råd til løse.
Intra- sektorielt har erfaringerne hidtil stort set været ret gode, men tværsektoriel koordinering har været mangelfuld eller slet ikke eksisterende. Der er derfor et ansvarsvacuum, som skal udfyldes, ikke ved mere militarisering af området, men ved løsninger der i større grad kan sikre samfundet og dets befolkning bedre end hidtil.
Hvordan det kan gøres kommer jeg nærmere ind på i næste blog, hvor konkrete løsningsmuligheder beskrives og argumenteres for.
Stay tuned.
Vil du bidrage til debatten med et synspunkt? Så skriv til vores PRO debatredaktion på pro-sekretariat@ing.dk
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
