Spredt fægtning i Danmarks it-forsvar

Illustration: MI Grafik

Forsvarsminister Trine Bramsen er ved at lægge sidste hånd på et kommissorium for det nye Cybersikkerhedsråd. Det etableres som følge af et bredt forlig i Folketinget og skal drives af Center for Cybersikkerhed og Digitaliseringsstyrelsen i fællesskab.

Rådet skal - som det hedder - arbejde dedikeret for et mere digitalt sikkert Danmark og rådgive regeringen om udvikling af strategier på it-sikkerhedsområdet, ligesom det skal dele viden, vejlede og rådgive private og offentlige aktører om cybersikkerhed.

Rådet er i sig selv ikke nødvendigvis en dårlig ide. Slet ikke hvis det faktisk lykkes rådet at etablere et fortroligt rum, hvor private såvel som offentlige organisationer kan varsle hinanden om it-angreb, dele viden om bl.a. nye angrebstyper og udvikle best practice i forhold til beredskab og genopretning af driften efter angreb.

Problemet er imidlertid, at rådet er ikke mindre end det 18. i rækken af offentlige instanser, der har til opgave i en eller anden grad for at højne it- og datasikkerhed i Danmark for offentlige midler.

Mangler handlekraft

Myndighederne har efterhånden smurt indsatsen så tyndt ud på så mange forskellige parter og instanser, at den bliver ineffektiv. Handlekraften står slet ikke mål med angrebstrykket fra de tusindvis af cyberkriminelle, der hver dag sætter angreb ind mod offentlige og private organisationer, eller kan følge med den stigende risiko for lækage af persondata, som vores digitaliserede samfund medfører.

I dag har vi således Erhvervsstyrelsens Virksomhedsråd for IT-sikkerhed der 'skal fremme høj IT-sikkerhed og ansvarlig datahåndtering' og Center for Cybersikkerhed, der er Danmarks nationale it-sikkerhedsmyndighed og 'udgør Danmarks nationale forsvar mod cybertrusler, og arbejder for et sikkert digitalt Danmark', og som i øvrigt huser Strategiske Samarbejdsforum for brancheorganisationer og virksomheder. Dertil er der Datatilsynet, der skal 'føre tilsyn med reglerne om databeskyttelse' og rådgive og vejlede.

Ikke mindre end syv særligt såkaldte samfundskritiske sektorer inden for bl.a. energi, finans, sundhed og forsyning har eller er i gang med at etablere sektorbestemte cyber- og informationssikkerhedsenheder kaldet DCIS'er, der hver især skal foretage trussels-, sårbarheds- og risikovurdering og altså kommunikere, analysere og rådgive.

Rigspolitiet har etableret NC3Skyt, der er et samarbejdsorgan mellem Rigspolitiets Nationale Cyber Crime Center (NC3) og virksomheder, som skal sikre bedre videndeling for at højne den generelle it-sikkerhed i virksomhederne.

Nationalbanken har Finansielt Sektorforum for Operationel Robusthed (FSOR) som skal øge cyberrobustheden. Forsknings- og undervisningssektoren har DKCert, der skal udbrede 'viden om it-sikkerhed skabt gennem samarbejde med den offentlige og private sektor' og endelig er der det nye Dataetisk Råd, der skal fremme en 'ansvarlig og bæredygtig dataanvendelse'.

For at det ikke er nok, så huser Digitaliseringsstyrelsen også Statens Informationssikkerhedsforum, SISF, der skal følge udviklingen, drøfte best practice og komme med forslag til tiltag, og desuden har man Forum for fællesoffentlig koordinering af informationssikkerhed, der står for videndeling, koordination, hændelseshåndtering og initiativer inden for informationssikkerhed.

Endelig er der medlemsorganisationen Rådet for Digital Sikkerhed som udbreder 'viden og erfaring om cyber,- informations og datasikkerhed', men som organisationer fra både stat, regioner og kommuner også betaler til.

it-banditter diskriminerer ikke

Der skal ikke herske tvivl om at de mange instanser på it- og datasikkerhedsområdet engagerer mange dygtige rådsmedlemmer og sikrer beskæftigelse til professionelle it-sikkerhedsfolk.

Der er heller ikke tvivl om, at der er forskel i lovkrav og vilkår for samfundets enkelte sektorer. Men en meget stor del af vidensbehovet om f.eks. angrebstyper og basal it-sikkerhed går på tværs. Ransomware-banditter diskriminerer hverken sygehuse, elselskaber eller produktionsvirksomheder.

Det må altså være tydeligt for enhver, at vi inden for it-sikkerhed har etableret absurd mange enheder der grundlæggende arbejder med det samme formål. Der er virkelig brug for en solid forårsoprydning, som konsoliderer og samordner de alt for mange råd og enheder, der parallelt samler viden ind, deler viden og arbejder for best practice for øget cyber- og datasikkerhed.

Lav en national myndighed

Danmark er blandt verdens mest digitaliserede lande, og cybercrime er derfor blandt de største trusler mod vores velfærd. Derfor duer det ikke, at indsatsen mod angrebsivrige kriminelle, der både vil rane vores penge og industrielle ideer, er for svag og ukoordineret - og at for mange enheder parallelt udøver de samme opgaver.

Der er behov for at etablere en stærk national sikkerhedsmyndighed med et offentligt-privat sikkerhedsråd som ‘bestyrelse’, der uafhængigt af forsvar og andre samfundssektorer sikrer topprofessionel overvågning af de kriminelle aktiviteter, vidensindsamling, vidensformidling og uddannelse af det danske samfunds mange grene.

Uanset hvilken afkrog man kigger i, er vi truet af cyberangreb. I dag fremstår beredskabet så fragmenteret og grotesk ukoordineret, at de kriminelle utvivlsomt griner af vores organisering. De ryster i hvert fald ikke i bukserne.

/hm

Emner : It-sikkerhed
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bidrag med din viden – log ind og deltag i debatten