Dette indlæg er alene udtryk for skribentens egen holdning.

NIS2 er Danmarks chance for at forbedre data-, It- og cybersikkerheden. Hvorfor vente?

16. februar kl. 10:304
NIS2 Frøer
NIS2-direktivet fra EU stiller skærpede krav til en lang række danske virksomheder og organisationer. Det mangler dog stadig at blive implementeret i dansk lov, og mange virksomheder er derfor usikre på, hvilke krav de skal overholde. Illustration: Julia Sommer.
Artiklen er ældre end 30 dage

Det er efterhånden blevet hverdagskost, at aviserne skriver om brud på data-, It- og cybersikkerheden, herunder også om alvorlige hacker og cyberangreb. Hændelserne giver ofte overskrifter i aviserne, både i de elektroniske og papirudgaverne.

Men det er, som om store dele af befolkningen og politikerne alligevel er blevet immune og til dels ligeglade, selvom det koster kassen og ærgrelser for rigtigt mange, både i det offentlige og private.

Ligesom historien med frøen, der langsomt og gradvist koges uden at mærke det, før det er for sent, så er befolkningen blevet lullet i søvn og bedøvet med udsagn om, at myndighederne gør alt, hvad de kan, for at beskytte samfundet og befolkningen mod trusler og angreb. 

Historien om frøen i gryden

Der sad en frø i en gryde med koldt vand…
Frøen kunne sagtens hoppe ud, hvis den ville, men den havde det fint, hvor den var.
Så blev der tændt under gryden, og vandet blev langsomt varmere og varmere.
Men frøen blev stadig i gryden, skønt vandet blev varmere. Den tilpassede sig langsomt til temperaturen. Desværre for frøen…
For med tiden blev vandet kogende, og det endte med, at frøen blev kogt – og døde af det. Selv om den bare kunne være hoppet ud, inden det gik så galt.

Når en ændring forekommer langsomt og over længere tid, undslipper det vores opmærksomhed. Hændelserne formår derfor ikke at forårsage nogen form for større reaktion, forargelse eller modstand.

Artiklen fortsætter efter annoncen

Helt dertil er vi nok ikke kommet endnu, men der går længe imellem, at især mainstream TV dækker historierne med de alvorlige It- og cybersikkerheds-angreb. 

Når det sker, er det med en kort – næsten intetsigende - stribe forneden på Tv-skærmen eller en sporadisk og ikke særlig god journalistisk dækning. 

Et indslag på max 10-15 sekunder er ofte, hvad det kan blive til med dårlige forklaringer, der vidner om manglende indsigt og forståelse for, hvad der egentlig er foregået, og hvad der gøres for at undgå, at det sker igen.

Til kamp mod cyberangreb

Med NIS2 får Danmark måske chancen for at vågne op af Tornerosesøvnen? Der er i hvert fald lagt i kakkelovnen med de nye krav i EU’s direktiv, som omtalt i mine tidligere indlæg.

Artiklen fortsætter efter annoncen

Hvad er det, som der kan og bør gøres? 

Først og fremmest skal den måde Danmark har organiseret og struktureret kampen mod de formastelige nytænkes. De cyberkriminelle og de kræfter der ønsker at spionere, stjæle, chikanere og destabilisere vores samfundet og befolkningen, skal ikke længere have let spil. 

Med udpegning af en Digitaliseringsminister og oprettelsen af et Digitaliseringsministerie samt oprettelsen af et Digitaliseringsudvalg, i kombination med NIS2 direktivet, ses muligheden for at der måske langt om længe kan komme lys for enden af tunnelen.

Egentlig så jeg helst, at hele området med digitalisering, it og cybersikkerhed blev varetaget samlet i Statsministeriet, men det er der vist ikke nogen udsigt til. 

Statsministeren skal helst kunne holde armslængde til problemerne og henvise til et eller flere ressortministerier, når det går galt. 

Vi så dog undtagelser under Covid-epidemien og Minkskandalen, hvor man greb styringen i 12. time fra allerhøjeste niveau, da andre ministerier svigtede, eller handlede for langsomt.

Behov for et tværsektorielt ansvar

Den offentlige debat har hidtil været præget af, at man har italesat, at CFCS er det nationale center, som hjælper alle danske private og offentlige virksomheder mod trusler og angreb i cyberspace. Det er en sandhed med modifikationer for at sige det pænt.

Efter denne debat og forskellige nye lovinitiativer fremstår CFCS gerne som den danske autoritet på cyberområdet og medarbejdere fra centret optræder i forskellige sammenhænge og på konferencer, hvor de fremstår som dem med det nationale cyber-ansvar og med løsninger på problemerne. Men det er et falsum. 

Det evner de ikke og især ikke i et ordentligt og respektfuldt samarbejde med civile instanser, herunder udveksling af viden og erfaringer om diverse cyberangreb med mere. 

Et alvorligt eksempel blev afsløret i forbindelse med Solar Winds hacket, hvor CFCS var de sidste til at opdage angrebet og fremkomme med oplysninger. Det var de private, der måtte træde til og afsløre de alvorlige angreb for den måbende befolkning.

Så der skal helt andre boller på suppen fremover. Der er en række svagheder ved den danske organisering, som vanskeliggør en effektiv håndtering af den fortsat udviklende trussel fra cyberspace.

Derfor ses et behov for at placere et samlet tværsektorielt ansvar for data-, It - og cybersikkerhed, som hverken præges af en militariseret sikkerhedsdagsorden (som ved CFCS) eller af en omkostnings-minimerende og økonomisk dagsorden som ved Digitaliseringsstyrelsen.

Det kan efter min mening bedst gøres ved at samle en række opgaver i det nye Digitaliseringsministerie, der bør omfatte både digitalisering, It- og cybersikkerhed.

Overførsel af Digitaliseringsstyrelsen til det nye ministerium er et godt første skridt, men der skal meget mere til. Også Datatilsynet bør flyttes med, og der må etableres en Havarikommission, der kan registrere og undersøge de angreb og brud, der forekommer og dele den viden bredt i samfundet og befolkningen.

Også Statens IT skal indgå i det nye ministerium, og der bør samme sted oprettes en styrelse for cybersikkerhed med et tilhørende DCIS-element.

Derved kan man centralisere ansvaret uden at gøre op med sektoransvarsprincippet, der videreføres. Et organisatorisk greb som vil klarlægge ansvaret, styrke samspillet mellem sektorerne og minimere sårbarheder fra tværgående angreb. 

Prioritér cybersikkerhed nu

EU’s NIS2 direktiv udpeger som bekendt i alt 18 sektorer, der omfattes af krav og bestemmelser, der har til hensigt at forbedre cybersikkerheden i medlemslandene. 

Det initiativ hilses velkommen, men kan ikke stå alene. Dels skal direktivet omsættes hensigtsmæssigt til dansk lovgivning uden unødige, dyre og ikke realiserbare krav fra myndighedernes side, og dels skal direktivet kunne håndhæves og de nødvendige tilsyn gennemføres. 

Det kan gøres ved at lade sektorerne selv organisere og tilrettelægge arbejdet decentralt, herunder opstille regler for tilsyn og eksempelvis etablere CSIRTS og DCIS’ere samt gennemføre sektorspecifikke beredskabsøvelser, hvor både private og offentlige aktører deltager.

Men det overordnede ansvar og koordinationen på tværs skal gennemføres centralt ved Digitaliseringsministeriets foranstaltning, herunder blandt andet ved gennemførelse af tværsektorielle- og nationale cyber-beredskabsøvelser og udstikke fælles regler for sektorernes efterlevelse af kravene i NIS2 direktivet. 

Det kan og bør ikke overlades til hver enkelt af de 18 sektor selv at finde frem til at fortolke NIS2 direktivets krav til sikkerheden, herunder fastsættelse af sanktionering- og bødestørrelserne. 

I samme omgang vil man fra centralt hold kunne identificere kritisk infrastruktur, som i dag falder mellem forskellige sektorer og ikke i tilstrækkelig grad koordineret. 

Det er beskæmmende, at Danmark, i modsætning til de lande vi normalt sammenligner os med, endnu ikke har formået at definere, prioritere eller indkredse, hvad der er samfundsrelevant eller hvad der er kritisk infrastruktur - hverken i fred, krise eller krig.

NIS 2 sammenholdt med det nye ministerium med de tilføjelser og løsninger som ovenfor beskrevet kan blive den chance og mulighed, Danmark så længe har haft brug for, og som kan sikre samfundet og dets befolkning bedre end hidtil. 

Hvorfor vente?

Vil du bidrage til debatten med et synspunkt? Så skriv til vores debatredaktion på debat@ing.dk

4 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
4
17. februar kl. 13:19

Godt brølt, John. NIS står ikke kun for Network Informantion Service, som jeg i '87 troede. Jeg valgte i gynmasiet (1972-75) at fokusere på YdeEvneProblematikken, YEP, og lod hele min tid (1987-92) i European Technical Center (DEC) specialister tage sig af netværk (WAN) og sikkerhed. Det var åbenbart ikke nok.

Da jeg vendte hjem (til DK) i '92 ville ingen ansætte mig (Custumer Service Engineer, da: chefkonsulent), så jeg måtte være kreativ. Jeg fandt på at ville arbejde for min "kontanthjælp" i kommuner og på DPU (Emdrup).

Så trådte DTU til og lod mig et halvt års tid være SW/GIS-konsulent for nogle PhD- og MSc-studerende; indtil der gik YEP i den pga studerendes behov for mere effektive programmer, men min mors lig var knap nok koldt, før professoren fyrede mig.

Det var måske dumt, ligeså dumt som at tage ulønnet orlov for at løse YEP, som vi nu skal bruge for at have muskler til praktisk IT-sikkerhed og lidt til.

Skammen må tilhøre dem, der troede, at gratis open source var svaret på alt!

Nu skal vi have rettet op på IT-Danmark og YEP; det vi forhåmtlig nå inden vi bliver kvalt i AI-junk. Det er nok for sent at bremse smartphone/app-bølgen, så må begynde med datacentre og servere. så bug'en stopper et sted. Så må vi have opdraget brugeradfærden, så de ikke tror, at fuld-fart-derudad er godt nok. Som min far sagde: den slags må begynde i toppen.

Så jeg glæder mig allerede til næste kapitel i Johns saga og vi får overblik over de 18 sektorer. Mette behøver måske ikke udskifte Barbara; han skal bare efteruddannes en smule, så hun kan læse manualer og ikke bringer sin chef i knibe pga misforståelser.

3
17. februar kl. 10:27

Hørt John - jeg kunne ikke vœre mere enig.. Vi er i en sørgelig tilstand, som er seriøst farlig desto mere vores hverdag afhœnger af at tingene fungerer og som jeg kun frygter hvornår falder fra hinanden, som er ganske muligt med tingenes nuvœ®ende tilstand.

2
16. februar kl. 13:49

Nu vil jeg provokere:

Danmark må gerne blive hacket.

Jeg har mit på det tørre, jeg ved hvilke lidelser jeg har, jeg har kontakter klar, jeg har mad og vand til mindst en uge. Jeg har reduceret mængden af data som Staten har om mig, til det mindst mulige.

Måske kunne jeg være så heldig at hackerne fjerne flere af de data om mig som jeg ikke har selvbestemmelse over.

1
16. februar kl. 10:52

Herlig tegning!