Konsulent: Regeringen skal fokusere på proaktiv cybersikkerhed
Det ultimative mål for regeringens cyberudspil bør være at støbe et fundament for en sikkerhedskultur i danske virksomheder, som er mere proaktiv end reaktiv, skriver Philip Sandahl Johansen.
Philip Sandahl Johansen
Cyberkonsulent, Ernst & YoungDet er efterhånden ikke længere en nyhed for nogen, at samfundet bliver mere og mere digitalt. Det ved vi alle.
Forståelsen, som de fleste fortsat kæmper med er, hvordan digitalisering kan ske på en sikker og forsvarlig måde.
”Vores virksomheder, myndigheder og borgere er dagligt udsat for cyberangreb fra kriminelle, stater og organisationer. Spionage, infiltrering af vores digitale netværk og mulige fjendtlige angreb er daglige trusler.”
Sådan lød vurderingen fra de partier, der den 24. juni nåede til enighed om udmøntning af cyberreserven.
For 500 millioner kroner skal der blandt andet oprettes et cyber-indsatshold, som skal rykke ud, når samfundsvigtige virksomheder og myndigheder angribes, samt et cyber-hjemmeværn bestående af borgere med ”særlige evner” inden for it.
Siden aftalen blev indgået den 24. juni, er indholdet blevet kritiseret fra flere fronter. Christian Wernberg-Tougaard, direktør og chef for KPMG’s cyberpraksis i Danmark, frygter således, at vi kommer til at se ’opgavetyveri’ på cybersikkerhedsområdet.
Altinget spørger: Hvordan skal vi håndtere cybertruslen?
Her er panelet
- Rikke Zeberg, branchedirektør, DI Digital
- Annette Lind, cybersikkerhedsordfører, Socialdemokratiet
- Philip Sandahl Johansen, cyberkonsulent, Ernst & Young
- Niels Bertelsen, formand, Prosa
- Thomas Kristmar, medlem af fagrådet for informationssikkerhed, Dansk IT
- Johan Busse, formand, Dataetisk Råd
- Janus Sandsgaard, digitaliseringspolitisk chef, Dansk Erhverv
- Tobias Liebetrau, cybersikkerhedsforsker, DIIS
- Cecilia Bonefeld-Dahl, generaldirektør, Digitaleurope
- Jørn Guldberg, it-sikkerhedsekspert, IDA
Den generelle trend indenfor cybersikkerhed har været, at virksomheder har en primær reaktiv tilgang til sikkerhed, hvor initiativer implementeres på baggrund af trusler, som allerede har manifesteret sig.
Grunden til dette kan være, at det er svært at måle værdien af proaktiv sikkerhed på forhånd – for hvad er det værd, at en hændelse ikke indtræffer?
Det er et noget nært umuligt spørgsmål at besvare, hvorfor det også er noget en ledelse eller bestyrelse kan have svært ved at retfærdiggøre og prioritere.
Regeringen skal sikre retning
Jeg vil gerne se et ambitiøst mål fra regeringen med fokus på proaktiv sikkerhed og på at støbe et fundament, der hjælper danske virksomheder med at prioritere de rette initiativer forud for, at en sikkerhedshændelse indtræffer.
Det er naturligvis op til den enkelte virksomhedsleder at være risikobevist og prioritere sikkerhed i rette tid, men jeg savner at regeringen kan sætte en retning her ved at sikre en generel vidensdeling og sikkerhedskampagner tiltænkt danske virksomheder, som alle er udsat for cybertrusler af varierende grad.
Rikke Zeberg skriver, at ”vi skal etablere et videns- og overvågningscenter, der skal hjælpe den mest udfordrede gruppe af virksomheder, når vi taler cybersikkerhed – de små og mellemstore virksomheder.”
Det er en udmelding, som jeg kan tilslutte mig.
Dette taler delvist ind i regeringens udspil, da initiativet Digital Krisehjælp indeholder aspekter heraf: ”Virksomheder og borgere kan få rådgivning på telefon og mail, hvis de fx udsættes for cyberangreb eller systematiske phishing-forsøg.”
Det er svært at måle værdien af proaktiv sikkerhed på forhånd – for hvad er det værd, at en hændelse ikke indtræffer?
Philip Sandahl Johansen
Cyberkonsulent, Ernst & Young
Forhåbentlig prioriteres et passende antal ansatte til dette initiativ, så telefonerne bliver besvaret rettidigt.
Tvivl om effekten af cyberhjemmeværn
I regeringens udspil står der endvidere, at: ”Skal vi stå stærkt i cyberspace, kræver det ikke bare avanceret teknik, men også skarpe hoveder.”
Jeg kunne ikke være mere enig.
Der er et voksende behov for, at relevante uddannelser inden for cybersikkerhed vinder frem og bliver mere synlige såvel som attraktive.
Regeringen ligger også op til, at der skal etableres et cyberhjemmeværn, hvor man vil ”organisere borgere med særlige evner eller interesse for IT, så de kan hjælpe med cyberrelaterede opgaver i krisesituationer og udbrede forståelsen af cybersikkerhed.”
Ambitionen er at kunne udnytte civile it-kompetencer og ikke mindst tiltrække dygtige folk.
Desværre nævnes det ikke hvordan dette operationelt eksekveres.
Jeg sår tvivl om henholdsvis tiltrækningskræften for civile, it-kompetente borgere, samt effekten af et generelt cyberhjemmeværn. Intentionen er påskønnet, men jeg savner en konkret handlingsplan for dette område.
Dertil er det uvist, hvad der menes med ”krisesituationer”, samt hvorvidt det betyder at civile it-kompetente borgere, kan risikere at skulle smide alt hvad de har i hænderne og stimle sammen under hjemmeværnsfanen?
Mit håb er, at vi med dette udspil, og den debat det har medført, får et skærpet fokus på cybersikkerhed og særligt, hvordan danske virksomheder kan arbejde med det proaktivt.
'%3e%3cpath%20d='M174.5%205.49985C138.877%20-19.5379%20106.875%2013.5814%2091.8511%2029.6115C65.0748%2058.1778%2099.1498%2080.3465%20117.152%2037.3094C135.153%20-5.72759%2022.8866%200.0578454%2015.1662%2097.217'%20stroke='%23EA1718'%20stroke-width='3'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M3.65346%2080.8587L15.109%2097.3301L29.6131%2086.6665'%20stroke='%23EA1718'%20stroke-width='3'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_627_569'%3e%3crect%20width='163.796'%20height='107.816'%20fill='white'%20transform='matrix(-0.999973%20-0.00733143%20-0.00733143%200.999973%20164.582%201.24609)'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
