Når staten svigter cybersikkerheden, svigter den os
Staten skal være det stærkeste – ikke det svageste – led i vores digitale forsvar. Lige nu er det desværre omvendt. Det er et samfundsproblem. Og det kan få konsekvenser for os alle.
Dette er et debatindlæg: Indlægget er udtryk for skribentens holdning. Alle holdninger, som kan udtrykkes inden for straffelovens og presseetikkens rammer, er velkomne, og du kan også sende os din mening her.
Når centrale systemer bryder sammen, eller data kommer i de forkerte hænder, er det borgere, virksomheder og hele samfundsfunktioner, der står med regningen. Det er alvorlige ord. Men de forpligter også. For hvis truslen er så omfattende, bør statens egen modstandskraft afspejle det.
Det gør den ikke i dag.
Tallene understreger alvoren som beskrevet i JP. Over halvdelen af alle offentlige instanser har inden for det seneste år været ramt af cyberangreb, der direkte har påvirket driften. Stort set alle ud af de mange tusinde stykker netværksudstyr, som Statens It driver, mangler kritiske systemopdateringer. Og næsten alle kommunale it-chefer vurderer, at cybertruslen overstiger kommunens cybersikkerhedsressourcer.
Der er altså ikke tale om enkeltstående fejl, men systematiske svigt. Svigt, vi har kendt til længe – men uden reelle konsekvenser for de myndigheder, der ikke lever op til kravene.
Det sender et farligt signal. Cybersikkerhed ender som noget, man kan udskyde, når der er travlt, eller man mangler ressourcer. Det er ikke acceptabelt.
Problemet er ikke mangel på viden. Rigsrevisionen og talrige eksperter har gentagne gange påtalt udfordringerne. Der er givet anbefalinger og udarbejdet handlingsplaner.
Men når myndigheder ikke lever op til selv de mest basale sikkerhedskrav – uden konsekvenser – bliver alvoren udhulet.
Danmark er et af verdens mest digitaliserede lande. Vi har indrettet vores samfund efter, at digitale løsninger virker. At data er tilgængelige. At systemer fungerer. Netop derfor er sårbarheden også større, hvis den digitale rygsøjle knækker.
Når borgere og virksomheder investerer massivt i digital sikkerhed, må vi forvente det samme af staten. Tillid er en forudsætning for det digitale samfund. Men tillid forudsætter ansvar. Og ansvar kræver handling.
Derfor skal cybersikkerhed ikke reduceres til et teknisk anliggende langt nede i organisationerne. Det er et ledelsesansvar og et politisk ansvar.
Når myndigheder ikke lever op til gældende krav, skal det have klare konsekvenser. Ikke for at straffe, men for at sikre, at sikkerhed prioriteres på linje med økonomistyring og retssikkerhed.
Cybersikkerhed skal bygges ind i staten – ikke lappes på. En stat, der ikke kan beskytte sine egne systemer, kan ikke forvente borgernes fulde tillid. Det ansvar må tages alvorligt. Nu.
Det her handler derfor ikke kun om, at cybersikkerhed er teknisk svært. Det handler om ansvar. Når vi kan finde ressourcer til nye strategier og flotte powerpoints, men ikke sikre, at de mest kritiske systemer har grundlæggende opdateringer på plads, er der noget galt med prioriteringen.
Vi må indse, at det ikke er et spørgsmål, om angrebene kommer, men hvornår – og hvor hårdt de rammer næste gang. Cybersikkerhed er en forudsætning for, at velfærdssamfundet fungerer, og at borgerne kan have tillid til staten.
Hvis staten vil stille krav til virksomheder og borgere om digital ansvarlighed, må staten være det stærkeste – ikke det svageste – led i vores digitale forsvar.