Artiklen er sponseret af Forsvaret.

De sikrer Forsvarets digitale infrastruktur

De sikrer Forsvarets digitale infrastruktur
Illustration: Jeppe Carlsen.
I Danmark er der fredeligt, men på nettet er der krig konstant. Cybertruslerne bliver flere og flere. På den baggrund, blev Cyber og Informationssikkerheds Divisionen (CID) etableret i 2020 for at styrke cyber- og informationssikkerheden i koncernen.
Claus Wiid Jakobsen er chef for Forsvaret digitale forsvarsværn. De sørger både for, at webmailen er sikker, og at kampvognen ikke bliver hacket.

CID er godt halvandet år gammel, og er et resultatet af det høje niveau af cyber- og informationssikkerhedstrusler. Divisionen ledes kyndigt af Claus Wiid Jakobsen, der sidder som Chief Information Security Officer (CISO) på toppen af organisationen. Ikke nok med, at CID sikrer hele Forsvaret i forhold til cybersikkerhed, så har de også ambition om at blive rollemodel for resten af det offentlige Danmark i forhold til informationssikkerhed. »I januar 2020 var vi fem ansatte,« fortæller han og fortsætter. »Nu er vi 65 og har fået kritisk masse. I den kommende måneds tid slår vi 12-15 nye stillinger op, oveni de stillingsopslag vi allerede har ude lige nu. I løbet af næste år runder vi de 80 ansatte.« Udover at opbygge organisationen, har vi øget bevidstheden om og modenheden af informationssikkerheden. Hele vejen fra det processuelle til det tekniske. CID arbejder med både informationssikkerhed og GDPR, fra implementering af ISO27001 sikkerhedsstandarden, over hjælp til hændelseshåndtering og til procedurer for korrekt behandling af personoplysninger. ## Teknik og processer CID’s arbejdsområde ligger typisk i krydsfeltet mellem teknik og processer. Det kan være teknisk sikkerhed, hændelseshåndtering, scanningsresultater, styrelsernes risikobilleder og -håndtering samt foranstaltninger, leverandørstyring, tilsyn og tekniske minimumskrav på tværs af hele koncernen. Derfor skal man både have omfattende teknisk viden og samtidig være udadvendt og have talent for at videreformidle og rådgive. ”Som medarbejder i CID skal du ikke kode eller kun rode med teknik. Du skal kunne tale teknikernes og specialisternes sprog og hjælpe med at sætte tingene op, så de er compliant,” fortæller Boris Russel, CISO i Forsvarsministeriets Koncern IT. En CID-medarbejder hjælper f.eks. en it-driftsorganisation med at arbejde efter faste rammer og procedurer for sikkerhed. En typisk opgave kunne være at foretage risikovurderinger eller på anden måde rådgive forretningen om hvordan cyber- og informationssikkerheden kan forbedres. Medarbejderen analyserer et system eller en service og kigger på opbygningen og snitflader til andre systemer. Der analyseres, hvordan data flyder i systemet, og vurderes sårbarheder og trusler og sandsynligheden for, at der opstår en sikkerhedsbrist. Specifikationer og analyser gøres ud fra en sikkerhedsvinkel, hvordan systemet er sat op. Samtidig er det centralt om systemet lever op til kravene med hensyn til governance. Alt det foregår i tæt samarbejde med de mere tekniske medarbejdere. En sådan teknisk risikovurdering indgår bl.a., hvis systemet skal akkrediteres til videre brug. Akkrediteringen foretages af Center For Cybersikkerhed.

Boris Russel er CISO i Forsvarsministeriets Koncern IT, hvor klassificerede netværk og andre usædvanligheder er en del af hverdagen.

## I fred, krise og krig Ifølge Claus Jakobsen og Boris Russel er Forsvaret et spændende sted at arbejde. Ikke kun fordi man får chancen for at komme tæt på F-16 jagerfly og kampvogne fra tid til anden. Og heller ikke kun fordi man bidrager til at sikre Danmark ”i fred, krise og krig”, som det hedder i Forsvarets lingo. Men fordi de opgaver som CID løser kan være et par grader mere komplekse end dem man for eksempel møder i en gennemsnitlig dansk virksomhed, bl.a. fordi Forsvaret rummer en række klassificerede netværk. Desuden er der løbende fokus på at skabe overblik, fremdrift og forbedring. For hver styrelse er der lavet planer, der yderligere skal højne modenheden sammen med cyber- og informationssikkerheden. »Vi har nogle rammer og principper vi arbejder efter. Dem vil vi gerne gøre endnu bedre,« forklarer Claus Jakobsen og uddyber. »Vi vil gerne være den bedste statslige organisation inden for informationssikkerhed. Vi skal være en rollemodel, som man i Finansministeriet eller Udenrigsministeriet bliver inspireret af. Allerede nu understøtter vi andre ministerier på it-tekniske områder.« ## Fem lokationer CIDs medarbejderne arbejder enten på CIDs hovedkontor i Forsvarsministeriets departement eller tilknyttet de større styrelser i ministeriet. I alt er CID fordelt på fem lokationer: København, Hvidovre, Ballerup, Hjørring og Karup. Lige meget hvor man er placeret, vil man komme til at møde både medarbejderen ”på gulvet” og generalen i hjørnekontoret. »Vores medarbejdere navigerer på alle niveauer i organisationen. De skal kunne tale med om alt, hvad der har et sikkerhedsaspekt. Det kan være alt fra leverandør- og kontraktstyring til fysisk sikkerhed. Man skal kunne omgås folk, og jobbet stiller krav til folks formidlingsevne. Samtidig med at man har en udadvendt consulting-profil, skal man have en ret stor og bred teknisk faglighed,« siger Claus Jakobsen. »Jeg er klar over, at vi stiller store krav til vores kommende medarbejdere. Men jeg hæfter mig ved, at det allerede er lykkedes at samle en flok rigtig dygtige medarbejdere i CID. Og jeg ved af erfaring, at dygtige folk tiltrækker flere dygtige folk.« ## Alsidige baggrunde og kompetencer Der er mange forskellige baggrunde, som er relevante for CID. Mangfoldighed i erfaringer og kompetencer styrker løsningerne, og ifølge Claus Jakobsen er det helt bevidst: »Det er en bred vifte af medarbejdere vi leder efter. Det er både folk med viden om informationssikkerhed, risk managers, jurister og folk med en mere teknisk baggrund. Derfor vil ansøgernes faglige baggrund være meget forskellig.« »Vi har allerede og ser gerne f.eks. flere ingeniører og dataloger, men også gerne folk med en administrativ eller humaniora-baggrund, eller HK’ere. Det vi leder efter, er folk med engagement og passion. De skal have en positiv can do attitude og brænde for at arbejde sammen med andre om at løse den store opgave vi har sat os selv.«

 

Billede fjernet.

I CID handler cyber- og informationssikkerhed om meget mere end compliance. Her anvendes teoretisk viden og praktisk erfaring til at understøtte den strategiske sikkerhedsudviklingen af Forsvarsministeriets områder og samtidig opretholde det ønskede sikkerhedsniveau i både drift og udvikling af it.


SE LEDIGE STILLINGER HER

Programme manager - Se job
Cyber sikkerhedsekspert - Se job
Risk manager - Se job
Audit manager - Se job
Senior Information Security - Se job
Technical Risk Manager - Se job
Debatten er slået fra på dette indhold