Cybersikkerhed er en alvorlig blind vinkel

Dette er en kronik skrevet af en ekstern kronikør. Jyllands-Posten skelner skarpt mellem journalistik og meningsstof. Vil du skrive en kronik? Læs hvordan her.

Danmark er i fuld gang med at opruste det danske forsvar. Det er der god grund til med tanke på de geopolitiske stridigheder, verden står over for. Stridigheder, som også skaber øget usikkerhed i Danmark. Den nye sikkerhedspolitiske virkelighed er, at Danmark står midt i en hybrid krig.

Center for Cybersikkerhed vurderer, at »hackergrupper tilknyttet fremmede stater forbereder sig på at kunne udføre destruktive angreb med kort varsel« i Danmark. Ifølge Center for Cybersikkerhed bruger stater blandt andet cyberspionage til at forberede destruktive cyberangreb. Truslen for cyberspionage vurderes at være meget høj og kommer især fra Kina og Rusland.

EU forsøger at hæve barren for cybersikkerhed på tværs af medlemslandene med et nyt cybersikkerhedsdirektiv kaldet NIS 2.

Direktivet er en direkte konsekvens af den voksende cybertrussel og en stigning i cyberangreb. Det introducerer minimumskrav for, hvordan virksomheder, organisationer og myndigheder, der udgør samfundskritiks infrastruktur, håndterer cybersikkerhed – og sanktioner i form af bøder og straffe for dem, der ikke lever op til kravene.

Alligevel fremstår cybersikkerhed som en blind vinkel i Danmark. I denne måned meldte Forsvarsministeriet ud, at det danske arbejde med direktivet er forsinket. Danmark kommer således til at overskride EU’s deadline for implementeringen af direktivet, som er oktober 2024.

Cyber indgår allerede i den hybride krig, der føres i Danmark. Forleden kom det frem, at Netcompany, der er leverandør af en række statslige it-systemer, var blevet hacket. Hackergruppen bag påstår at have password til statens systemer, som hackere i værste fald kan udnytte til at tiltuske sig adgang og forårsage stor skade på vigtige statslige systemer.

Sidste år var et cyberangreb ved at lamme dele af den danske energisektor, herunder el, varme og vand. SektorCERT udarbejdede en rapport i kølvandet på angrebet, og konstaterede at »dansk, kritisk infrastruktur er under konstant cyberangreb fra fremmede aktører«, og »at der bruges cybervåben mod vores infrastruktur, som kræver nøje monitorering og avanceret analyse at opdage«.

Den danske forsvarskonference DDAC løb af stablen i København for nylig. Her var mere end 300 deltagere fra Forsvaret og den danske forsvars- og sikkerhedsbranche samlet for at se nærmere på Danmarks rolle i Nato og EU. Cybersikkerhed var ét af tre spor på agendaen, og Morten Bødskov belyste problematikken i sin tale på konferencen. Cybersikkerhed er også et af kerneområderne for indkøb og logistik i Forsvaret, så dem, der i bogstaveligste forstand står i frontlinjen, tager truslen meget alvorligt.

Hvad er der egentlig på spil, hvis et cyberangreb rammer vores kritiske infrastruktur? Konsekvenserne er enorme og har direkte indflydelse på samfundets sammenhængskraft.

Forestil dig, at strømforsyningen svigter på grund af et cyberangreb. Det kan lamme virksomheder, stoppe produktionslinjer og forstyrre dagligdagen for almindelige danskere. Ingen elektricitet, ingen gadebelysning, køleskabe og frysere virker ikke, og livsvigtige maskiner på hospitalerne bliver sat ud af spil.

Vandforsyningen er også sårbar over for cyberangreb, og aktører kan enten lukke helt for vandforsyningen eller indstille vandværkerne, så vandet ikke bliver renset ordentligt eller ligefrem bliver sundhedsskadeligt.

Det har store konsekvenser for den enkeltes helbred og kan føre til alvorlig smittespredning af sygdomme.

Rammer et cyberangreb et økonomisk system såsom dankort-terminaler, kan det sætte en stopper for økonomiske transaktioner og gøre det svært for virksomheder at handle og for borgere at få fat i varer som mad og medicin.

I byområder som København, hvor intelligente systemer regulerer lyskurvene, kan et angreb føre til trafikkaos og farlige forhold, som forstyrrer folk, der bevæger sig ud i byen. Og hvis beredskabskøretøjer ikke kan nå frem til ulykkessteder, kan det koste menneskeliv.

Kort sagt går cyberangreb på kritisk infrastruktur ud over danskernes livskvalitet. Især når det danske samfund er så digitaliseret og teknologiafhængigt, som det er.

Spørgsmålet er, hvem der tager ansvar for at beskytte vores kritiske infrastruktur mod cyberangreb. Her kunne man pege på en række aktører, der burde. Politikere eller de organisationer, der udgør den samfundskritiske infrastruktur, for eksempel.

Det danske lovforslag, som skal implementere cybersikkerhedsdirektivet i Danmark, skulle have været fremsat i denne måned, men kommer nu i oktober i stedet. Det er i sig selv ærgerligt.

DI Digital peger på, at udskydelsen vil resultere i et implementeringskaos. Derfor foreslår de en overgangsperiode, hvor virksomheder ikke vil blive straffet, hvis de ikke lever op til de nye krav.

Men det er mig magtpåliggende at understrege, at det hverken er i virksomhedernes eller borgernes interesse. Det vidner tværtimod om, at brancheorganisationen har misforstået opgaven. Sagens kerne er ikke at undgå straffene eller bøderne. Den er at sikre den kritiske infrastruktur, som vi alle er afhængige af, for at samfundet fungerer.

DI Digital efterspørger desuden vejledning og klare krav, så virksomheder ved præcis, hvordan de skal efterleve cybersikkerhedsdirektivet. Med rette.

Danmark er bagud på det punkt. Når vi ser mod allierede som USA og England, så har de en række gode råd og konkrete vejledninger til, hvordan organisationer kan styrke cybersikkerheden. Men det er ganske enkelt for sent i processen at bede om vejledninger.

Direktivet er ikke en opgave for opgavens skyld – det er dybt alvorligt. Og retningen for, hvad der skal leveres, er ikke ukendt.

Derfor er min klare opfordring til politikerne, at de ikke giver efter for DI Digitals forslag. Virksomheder har haft mulighed for at orientere sig i direktivet, siden EU offentliggjorde det i slutningen af 2022. Både direktivet, konsekvenserne af cyberangreb og truslen fra Rusland har været bredt dækket i årevis, og vi bør kunne forvente, at de virksomheder, der leverer samfundskritiske ydelser eller tjenester, er deres ansvar voksent.

Virksomheder bør ikke indstille sig på en udskydelse eller lempelse. Det er ikke i deres interesse at købe sig mere tid til at styrke deres cybersikkerhed, og det ville være at gøre dem en bjørnetjeneste.

I stedet skal de virksomheder, der endnu ikke har sat sig ind i, hvad cybersikkerhedsdirektivet indebærer, til at gøre det. Der findes en række eksisterende standarder, som virksomheder kan læne sig op ad, og som klargør dem i ret vid udstrækning.

Konsekvensen af at vente på lovforslaget er enorm og et udtryk for, at man misforstår det egentlige formål med direktivet: At højne sikkerhedsniveauet til gavn for virksomheder, den brede befolkning og vores samfunds sammenhængskraft.