Altinget logo
Digital
27. september 2021 kl. 01.00
Debat

Dansk IT om cybertruslen: Behov for klare sikkerhedskrav håndhævet via lovgivning

Ingen betvivler længere, at vi skal blive bedre til at håndtere cybertruslen – ikke mindst i den offentlige sektor. Alt for mange it-sikkerhedsspørgsmål flagrer i vinden, skriver Thomas Kristmar.

Uden klare krav til sikkerhedsniveau, bliver et lavt niveau ofte risikoaccepteret af økonomiske årsager. Derfor er der behov for håndfaste krav, siger Thomas Kristmar fra Dansk IT.
Uden klare krav til sikkerhedsniveau, bliver et lavt niveau ofte risikoaccepteret af økonomiske årsager. Derfor er der behov for håndfaste krav, siger Thomas Kristmar fra Dansk IT.Foto: Kacper Pempel/Reuters/Ritzau Scanpix
Thomas Kristmar

Thomas Kristmar

Medlem, fagrådet for informationssikkerhed, Dansk IT og Director, PwC
Dette indlæg er alene udtryk for skribentens egen holdning. Alle indlæg hos Altinget skal overholde de presseetiske regler.

Vi hører igen og igen, at cybertruslen stiger, og at cyber- og informationssikkerhed er vigtigt. På Dansk IT’s netop afsluttede konference OffDig blev det i åbningsdebatten sagt, at (cyber)sikkerhed er en forudsætning for fortsat, offentlig digitalisering.

Temadebat

”Vores virksomheder, myndigheder og borgere er dagligt udsat for cyberangreb fra kriminelle, stater og organisationer. Spionage, infiltrering af vores digitale netværk og mulige fjendtlige angreb er daglige trusler.”

Sådan lød vurderingen fra de partier, der den 24. juni nåede til enighed om udmøntning af cyberreserven.

For 500 millioner kroner skal der blandt andet oprettes et cyber-indsatshold, som skal rykke ud, når samfundsvigtige virksomheder og myndigheder angribes, samt et cyber-hjemmeværn bestående af borgere med ”særlige evner” inden for it.

Siden aftalen blev indgået den 24. juni, er indholdet blevet kritiseret fra flere fronter. Christian Wernberg-Tougaard, direktør og chef for KPMG’s cyberpraksis i Danmark, frygter således, at vi kommer til at se ’opgavetyveri’ på cybersikkerhedsområdet.

Altinget spørger: Hvordan skal vi håndtere cybertruslen?

Her er panelet

  • Rikke Zeberg, branchedirektør, DI Digital
  • Annette Lind, cybersikkerhedsordfører, Socialdemokratiet
  • Philip Sandahl Johansen, cyberkonsulent, Ernst & Young
  • Niels Bertelsen, formand, Prosa
  • Thomas Kristmar, medlem af fagrådet for informationssikkerhed, Dansk IT
  • Johan Busse, formand, Dataetisk Råd
  • Janus Sandsgaard, digitaliseringspolitisk chef, Dansk Erhverv
  • Tobias Liebetrau, cybersikkerhedsforsker, DIIS
  • Cecilia Bonefeld-Dahl, generaldirektør, Digitaleurope
  • Jørn Guldberg, it-sikkerhedsekspert, IDA

Men hvordan arbejder Danmark i dag med at beskytte samfundet mod truslerne?

Der er ikke en enkelt aktør, som har dette ansvar, men ansvaret er spredt ud på en række offentlige myndigheder og private virksomheder. Det officielle trusselsbillede udgives af staten, hvor myndigheder indsamler informationer om truslerne og udgiver trusselsvurderingerne og anbefalinger om imødegåelse af truslerne.  

Det er tanken, at trusselsvurderingerne omsættes til konkrete sikkerhedsinitiativer i de samfundskritiske sektorer og offentlige myndigheder, herunder regioner og kommuner.

Denne brede kreds skal ”gennem passende tekniske og organisatoriske foranstaltninger” opretholde en beskyttelsesevne som både varetager egen, sektorens og samfundets behov. 

Forskellige vurderinger
Det er hér, det begynder at blive vanskeligt, for hvad er passende sikkerhed? Og kan man antage, at en virksomhed, en myndighed eller endda en tilsynsmyndig har samme vurdering af, hvad acceptabel risiko er for en samfundskritisk sektor?

Det korte svar er, at virksomheder, myndigheder og sektorer vurderer forskelligt, hvad passende sikkerhed er, og hvad en acceptabel risiko er.  

Det er min påstand, at konsekvensen er, at steder, hvor der burde være et éns sikkerhedsniveau, er der forskelle.

Et eksempel: Staten skal efterleve ISO 27001 og ufravigeligt efterleve de tyve tekniske minimumskrav. Kommuner og regioner har aftalt at ”følge principperne i ISO 27001” og de tyve tekniske minimumskrav er ikke ufravigelige for kommuner og regioner.

Årsagen til denne forskel er, at hvis staten stiller krav til kommuner og regioner, skal staten betale for kravene. Derfor fedtspiller Finansministeriet, KL og Regionsforeningen om regningen.  

En anden udfordring ved håndtering af cybertrusler kommer fra, at niveauet for cyber- og informationsikkerhed er uklart på tværs af sektorer og myndigheder.

Det virker ikke overbevisende, at staten har ufravigelige sikkerhedskrav og kommune og regioner mere eller mindre kører på frihjul

Thomas Kristmar
Medlem af fagrådet for informationssikkerhed i Dansk IT, Director i PwC inden for cybersikkerhed, tidl. afdelingschef i Center for Cybersikkerhed

Vurdering af sikkerheden hos myndigheder og i samfundskritiske sektorer, herunder leverandørsikkerhed, beror i vid udstrækning på selverklæring, hvor hver virksomhed og myndighed selv skal vurdere, om selverklæringen er tilstrækkelig.

Statslige myndigheder erklærer sig sikre ved at efterleve ISO 27001. Leverandører erklærer sig sikre ved at henvise til egenkontroller og lignende. Al erfaring tilsiger, at en uafhængig vurdering af et sikkerhedsniveau har højere sandhedsværdi end selverklæringer.

Det kunne for eksempel ske ved at kræve ISO 27001-certificeringer eller en uafhængig gennemgang af sikkerhedsniveauet. 

Kommuner kører på frihjul
For det første skal stat, regioner og kommuner i den kommende, fælles-offentlige digitaliseringsstrategi blive enige om, hvordan regningen for et sammenhængende, offentligt sikkerhedsniveau skal fordeles.

Det virker ikke overbevisende, at staten har ufravigelige sikkerhedskrav og kommune og regioner mere eller mindre kører på frihjul.

For det andet er der behov for flere obligatoriske minimumskrav for sikkerhed, som også skal gælde for virksomheder i de kritiske sektorer, samt kommuner og regioner.

Virkeligheden er, at kommer der ikke krav som håndhæves via lovgivning, bliver et lavt sikkerhedsniveau ofte risikoaccepteret af økonomiske årsager. Bare tænk på GDPR, som skabte business-casen for mange sikkerhedsinvesteringer. 

For det tredje er der i den offentlige sektor behov for bedre leverandørstyring, hvor der stilles skarpere krav til kontrollen af sikkerhedsniveauet end i dag.

Konkret kan man udbrede den britiske model, hvor sikkerhedsmyndigheden inspicerer en virksomhed som forudsætning for, at virksomheden kan levere til de kritiske sektorer. Det vil også sikre, at det ikke bliver en individuel vurdering fra en myndighed eller virksomhed, hvorvidt et selverklæret sikkerhedsniveau er tilstrækkeligt.

Som det blev sagt på Dansk IT’s OffDig 2021, er cyber- og informationssikkerhed en forudsætning for den fortsatte digitalisering. Skal vi så ikke benytte lejligheden til hæve niveauet fra skåltaler til et verificeret sikkerhedsniveau?

Læs også

Politik har aldrig været vigtigere

Få GRATIS nyheder fra Danmarks største politiske redaktion

Thomas Kristmar

Thomas Kristmar

Medlem, fagrådet for informationssikkerhed, Dansk IT og Director, PwC
Seneste
0:000:00

Altinget logo
København | Stockholm | Oslo | Bruxelles
Politik har aldrig været vigtigere
AdresseNy Kongensgade 101472 København KTlf. 33 34 35 40[email protected]CVR nr.: 29624453ISSN: 2597-0127
Ansv. chefredaktørJakob NielsenDirektørAnne Marie KindbergCFOAnders JørningKommerciel direktørMichael ThomsenFormand og udgiverRasmus Nielsen
Copyright © Altinget, 2024