Der er for mange huller i osten

Dette er en kronik skrevet af en ekstern kronikør. Jyllands-Posten skelner skarpt mellem journalistik og meningsstof. Vil du skrive en kronik? Læs hvordan her.

Meldingen om, at truslen for destruktive cyberangreb er steget, slår fast, at cybersikkerhed ikke kun handler om at beskytte computere og tekniske systemer. Det er handler om at beskytte vores samfund.

Danmark har længe nydt godt af digitaliseringsfremskridt og har i mange år brystet sig af at være blandt verdens mest digitaliserede lande. Men særligt i lyset af den geopolitiske usikkerhed og Ruslands mere dristige adfærd i Vesten er vores udbredte digitalisering blevet en sårbarhed. Det har fået både Forsvarets Efterretningstjeneste og Politiets Efterretningstjeneste til at varsle om skærpet trussel mod Danmark ad flere omgange.

Forsvarsminister Troels Lund Poulsen slog da også fast på Folkemødet for en uge siden, at Danmark står i en alvorlig situation, da han præsenterede de længe ventede beredskabsråd til danskerne. Råd, som netop er vigtige i tilfælde af kriser og hybridkrig, som omfatter cyberangreb på kritisk infrastruktur og destruktive angreb på vores forsyningskæder, herunder transportsektoren, lagerinfrastruktur og trafik.

Spørgsmålet er så, hvordan man bør forberede og forbedre sig på nationalt plan for at gøre systemerne mere robuste og beskytte vores land mod angreb, som påvirker vores sammenhængskraft.

Vi har nu fået konkrete råd til borgerne om, hvordan de skal forberede sig på angreb og kriser. Men der mangler stadig konkrete råd og vejledninger til de virksomheder og myndigheder, som varetager den kritiske infrastruktur, og som rent faktisk har en mulighed for at afværge destruktive cyberangreb, enten direkte eller gennem forsyningskæden. Et eksempel på sidstnævnte er, at hvis distributionskørslen bliver forhindret, så løber supermarkeder, apoteker og butikker tør for varer før eller siden.

Sofistikerede, destruktive cyberangreb er en længere proces, hvor trusselaktørerne befinder sig i systemerne i en rum tid, før de ”trykker på knappen”.

Det betyder, at der rent faktisk er et vindue til at opdage dem og forhindre angreb. Men det kan være svært for organisationer og myndigheder at opdage de ubudne gæster i systemerne, før det er for sent. Enten fordi de ikke har ressourcerne, fordi de ikke har de nødvendige værktøjer eller processer, eller fordi de ikke får afgørende viden om udvikling i trusselsbilledet.

Her er det vigtigt at få etableret en eller flere varslingstjenester, som kan informere it- og sikkerhedsansvarlige om aktuelle trusler, og hvad det specifikt er, de skal kigge efter i systemerne for at opdage eventuelle sikkerhedsbrud. I forlængelse heraf er det vigtigt, at de også ved, hvordan de rent teknisk sørger for, at det er muligt at opdage og efterforske en sikkerhedshændelse.

Det er også afgørende at få uddannet flere i cybersikkerhed. Der mangler simpelthen mennesker med kompetencerne til at opdage og efterforske cybertrusler – og dermed til at stoppe angreb.

Ifølge Rådet for Digital Sikkerhed vil Danmark mangle mellem 15.000 og 20.000 fagfolk inden for cyber- og informationssikkerhed i 2030. Det betyder, at selvom viljen til at styrke cybersikkerheden for vores samfunds sikkerheds skyld er der, så er det ikke altid muligt at gøre på en fyldestgørende måde. Derfor kan det også undre, at f.eks. IT-Universitetet har måttet skære i optaget på sin uddannelse. Og at der tilmed er et politisk ønske om at gøre dem kortere, hvilket går ud over uddannelseskvaliteten.

En ting er sikkert. Vand finder vej, og det gør de fjendtlige cyberaktører også. Særligt med de begrænsninger, den proaktive cybersikkerhed står over for i dag. Her kan man med fordel se på, hvilke tiltag der kan hjælpe organisationer og myndigheder med at komme effektivt igennem et cyberangreb, hvor cyberaktører er lykkedes med at spionere eller kryptere, manipulere eller destruere data.

I dag er organisationer og myndigheder overladt til sig selv, når de opdager et igangværende angreb. Men vi kan ikke overlade noget så vigtigt som sammenhængskraften i vores samfund til tilfældighederne. Det er hverken fair over for de organisationer og myndigheder, der bliver ramt af angreb, eller resten af samfundet, som kommer til at lide under det, når strømmen går, butikkerne må lukke, eller officielle kommunikationskanaler bryder ned.

Der er behov for at etablere en central, hvor it- og sikkerhedsansvarlige kan gå hen og få rådgivning til at stoppe et igangværende angreb, efterforske omfanget af det og rydde op efter skaderne. Vi ved alle sammen, hvem vi skal ringe til, hvis nogen bryder ind i vores private hjem, eller hvis der er indbrud på vores arbejdsplads.

Det samme burde være tilfældet, når det er brud på sikkerheden i it-systemer. Især nu, hvor truslen for destruktive angreb er steget.

Heldigvis står det ikke stille på det politiske område. På EU-niveau har man forsøgt at styrke robustheden på tværs af medlemslandene med det såkaldte NIS 2-direktiv. Direktivet introducerer minimumskrav for håndteringen af cybersikkerhed og skal være implementeret senest i oktober i år. Det danske lovforslag er forsinket og bliver først præsenteret i oktober. Energistyrelsen har dog sendt et forslag til lov om styrket beredskab i energisektoren i høring, så arbejdet er i gang.

Der er også andre gode initiativer. SektorCERT, som startede med at være et cybersikkerhedscenter for energisektoren, dækker i dag en række kritiske sektorer. De udgiver trusselsvurderinger, analyser og rapporter og driver et sensornetværk, der overvåger medlemmernes trafik og derfor kan opdage cyberangreb.

SektorCERT opdagede og afværgede f.eks. det historisk store angreb på energisektoren sidste år og udarbejdede en rapport, som kortlagde forløbet, så andre kunne blive klogere.

Center for Cybersikkerhed (CFCS), som er den øverste nationale myndighed på cybersikkerhedsområdet, udgiver også gode, overordnede vejledninger og trusselsopdateringer, men de er ikke konkrete nok, og de giver ikke rådgivning til erhvervslivet. CFCS ligger i dag under Forsvarets Efterretningstjeneste, og det betyder, at de har fokus på, hvad andre stater og aktører gør, og mindre på, hvad danske organisationer og myndigheder bør gøre. De har simpelthen ikke mandat til at hjælpe mere, end de gør i dag.

Der er altså gode takter i forhold til at styrke vores robusthed, men de er fragmenterede og siloinddelte. Det betyder, at der kommer huller i osten. Og det er huller, som f.eks. Rusland kan målrette og prioritere deres aktiviteter ud fra og opnå en relativt høj effekt.

Det nytter f.eks. ikke at have stærke tiltag til beskyttelse af energisektoren, når Statens IT ikke får midlerne til at rette op på den manglende sikkerhed på kritiske offentlige systemer, som Rigsrevisionen gentagne gange har rettet skarp kritik af. Statens IT leverer it-servicer til 21 ministerområder, herunder Forsvarsministeriet, Erhvervsministeriet og Statsministeriet, så det burde i den grad prioriteres.

De gode initiativer bør bredes meget længere ud og forankres nationalt. Det kan gøres ved at give CFCS et særskilt civilt mandat til at dække bredere, end de gør i dag, eller man kan etablere en central enhed hos politiet.

Fra politisk side er man nødt til at etablere et beredskab, der rent faktisk øger cyberrobustheden og minimerer risikoen for, at danskerne rent faktisk skal gøre indhug i deres (nye) lager. Og det kræver bedre rammebetingelser for organisationer og myndigheder, så de kan opdage og reagere effektivt på cybertrusler.