08.03.2019

Danmark er verdensmestre i digitalisering. Men vi er til gengæld langt bagud, når det kommer til cybersikkerhed. Politikerne er nødt til at tage ansvar for at beskytte befolkningen i cyberspace.

Af John Michael Foley

Der går næsten ikke en dag, hvor vi fra politisk hold ikke får fortalt om den store succes, Danmark har haft med digitaliseringen af stort set alt i samfundet. Danmark er af FN ovenikøbet blevet udråbt som verdensmestre i digitalisering, som politikere og embedsmænd længe har prædiket som svaret på alle samfundets bønner. Bagsiden af digitaliseringsmedaljen nævnes dog sjældent: Danmark ligger på en pinlig 34.-plads i verden, når det kommer til cybersikkerhed og evnen til at beskytte befolkningen i cyberspace. Det lyder paradoksalt, at verdens mest digitaliserede samfund ikke er i stand til at beskytte sig selv og sin befolkning i cyberspace – og det er det også.

Jeg er hverken teknologi- eller digitaliseringsforskrækket. Nærmest tværtimod. Jeg har gennem et langt liv beskæftiget mig med digitaliseringens og teknologiens muligheder, men jeg har også set begrænsningerne. Problemet har været – og er fortsat – at digitaliseringen er foregået hovedkulds uden den nødvendige omtanke. Mange politikere indrømmer gerne, at de slet ikke har forstået, hvad de har igangsat, og fortæller, at de for længe har sovet i timen, når det kommer til cybersikkerhed.

Sagens kerne er, at vi griber problemstillingen helt forkert an. Og i frustration har forsvarsminister Claus Hjort Frederiksen nu forsøgt at vise handlekraft ved at fremsætte et fuldstændig forfejlet lovforslag, hvor han tager metoder i brug, der ikke hører hjemme i et demokrati. Regeringen vil tillade, at det statslige Center for Cybersikkerhed under Forsvarets Efterretningstjeneste i det skjulte kan sende digitale lokkeduer ind i private virksomheder for at få dem til at gå i en fælde, der kan afsløre potentielle sikkerhedsbrister. Regeringen vil give det statslige center lov til at bryde ind og operere i private virksomheders it-netværk, hvis virksomheden skønnes at have særlig interesse.

Lovforslaget leder tanken hen på den måde, det kinesiske styre forsøger at gøre alle dets borgere til cyberslaver gennem massiv overvågning. Fornuftigt nok har alle høringssvar været næsten entydigt kritiske og fordømmende.

I forbindelse med cyberhøringen “Mind the Gap”, som blev afholdt på Christiansborg den 18. september 2018, ramte den tidligere kommunikations- og presseansvarlige for Forsvarets Efterretningstjenestes Center for Cybersikkerhed Tobias Liebetrau plet i sit oplæg. Han fortalte, at det ikke er uden grund, at cybertruslen i dag regnes for en af de absolut største trusler mod Danmark, hvis ikke den største. Den opfattelse gælder både i et nationalt sikkerhedspolitisk perspektiv såvel som i det danske erhvervsliv. Cybertruslen udfordrer på den måde en række af de traditionelle skillelinjer, som vi normalt bruger til at indrette vores samfund og sikkerhedspolitik efter, herunder skellet mellem offentlig og privat: Statens og forsvarets historiske monopol på den nationale sikkerhed er kraftigt udfordret på cyberområdet. Det skyldes dels, at truslen går på tværs af mange af de skillelinjer, som vi normalt organiserer rigets sikkerhed på baggrund af, dels at hovedparten af den kritiske (informations)infrastruktur er privat ejet og drevet.

 

Cybertruslen udfordrer på den måde en række af de traditionelle skillelinjer, som vi normalt bruger til at indrette vores samfund og sikkerhedspolitik efter, herunder skellet mellem offentlig og privat
_______

 

Det lukkede cyberforsvar
I de sidste år er der igangsat en række initiativer, der har til hensigt at sikre samfundet og befolkningen mod de mange og næsten daglige angreb fra banditterne i cyberspace. Men initiativerne er en lukket fest og et bureaukratisk kafkask makværk, som er dømt til at mislykkes. Det skyldes, at det overordnede ansvar for sikring af vores samfund er lagt i hænderne på Center for Cybersikkerhed, som er kendetegnet ved lukkethed. I FE arbejdes der bag hermetisk lukkede døre og bag nedrullede gardiner. Og man har nu opbygget et gigantisk bureaukratisk set-up med en militær myndighed – Forsvarets Efterretningstjeneste – som en ”edderkop i spindelvævet”, der samler både militær og civil information og data såvel indenfor som udenfor rigets grænser. Vel at mærke uden de sædvanlige kontrolmekanismer, love og regler, der er gældende for andre myndigheder.

Det ligger ikke i en efterretningstjenestes DNA at være åben, og sådan må det nødvendigvis være. Det giver for så vidt god mening, at vi har en efterretningstjeneste, der arbejder i det skjulte, men vi har også brug for viden og indsigt fra den civile verden, der kan gå sammen om at løse de opgaver, der kan og skal foregå i det åbne, herunder vidensdeling om angreb og igangsættelse af modforanstaltninger. Ganske lidt har med alvorlige cyberangreb at gøre, mens hovedparten vedrører cyberkriminalitet, som i lang større grad berører den enkelte borger og samfundet som helhed.

Derfor er der brug for andre løsninger, der muliggør, at befolkningen kan føle sig tryg og inddrages i kampen mod de kræfter, der vil os det ondt. Inddragelse af hele befolkningen er nødvendigt, netop fordi størstedelen af angrebene – op mod 90 pct. – er rettet mod den enkelte borger og de systemer, som borgernes oplysninger ligger (tvangs)oplagret i. Næsten dagligt kan man læse om de mange sikkerhedshændelser og fejl, som befolkningen udsættes for. Angreb som dag for dag er med til at undergrave befolkningens tillid. Og som i værste fald kan betyde en undergravning af tilliden til vores myndigheder og institutioner og dermed underminere demokratiet, som vi kender det.
Den største udfordring er fraværet af en samlende og koordinerende instans, der kan bringe alle relevante aktører til at arbejde sammen, ligesom en dirigent, der evner at få et orkester til at spille harmonisk sammen.

Udgangspunktet for etableringen af Center for Cybersikkerhed i 2012 var frygten for, at fremmede magter skulle undergrave det danske samfund igennem et velorkestreret cyberangreb eller spionage mod myndigheder og virksomheder. Efter et internt rivegilde i centraladministrationen blev det besluttet, at Center for Cybersikkerhed skulle placeres under Forsvarsministeriet i rammen af Forsvarets Efterretningstjeneste. Politikerne og beslutningstagerne blev ikke præsenteret for andre muligheder, idet kampen alene foregik mellem Justitsministeriet og Forsvarsministeriet. Andre åbenlyse løsningsmodeller, som benyttes af andre lande, vi normalt sammenligner os med, kom ikke på tale.

I kraft af den organisatoriske placering er fokus blevet rettet mod fremmede staters aktiviteter på cyberområdet, herunder sikring af statslige områder efter sektoransvarsprincippet, der næppe reflekterer den mest optimale ressourceudnyttelse. Sektoransvarsprincippet er ikke optimalt, når det drejer sig om cybersikkerhed, der i stor udstrækning kræver håndtering og koordination på tværs af sektorerne. Sektorerne skal naturligvis sikre sig inden for eget område, men cybersikkerhed egner sig ikke til silotænkning og vandtætte skotter imellem sektorerne.

 

Sektorerne skal naturligvis sikre sig inden for eget område, men cybersikkerhed egner sig ikke til silotænkning og vandtætte skotter imellem sektorerne
_______

 

Ikke mindst forsvarsministerens retorik efterlader indtryk af, at udfordringen hovedsageligt kommer fra Rusland og Kina. Det giver også indsatsen på cyberområdet en i al væsentlighed militær og sikkerhedsmæssig karakter. Og mens alle Center for Cybersikkerheds bestræbelser synes at have været rettet imod bestræbelserne på at cementere sin egen position i centraladministrationen, så har det set sløjt ud med konkrete resultater overfor den offentlighed og de virksomheder, det skulle servicere.

For at kunne forsvare Danmark er det først og fremmest nødvendigt at gøre sit hjemmearbejde. I modsætning til stort set alle andre lande, vi normalt sammenligner os med, har Center for Cybersikkerhed og Forsvarets Efterretningstjeneste hverken indkredset eller defineret, hvad der forstås ved samfundsvigtig og samfundskritisk infrastruktur. Det kan undre, at dette arbejde ikke for længst er blevet gjort, taget i betragtning at centeret har eksisteret i seks år og i samtlige trussels- og risikovurderinger understreger, hvor vigtigt det er.

I stedet for har Center for Cybersikkerhed vilkårligt udpeget seks sektorer (transport, søfart, tele, finans, energi og sundhed), som værende kritiske. Udpegningen er vilkårlig, fordi der ikke er fastsat regler for, hvor mange eller hvor få sektorer der betegnes som kritiske. Nogle lande har udpeget færre, andre mange flere. Men det vigtigste er ikke de enkelte sektorer, men derimod hvilke systemer og services, der må betragtes som væsentlige for samfundets overlevelse i en krise- eller krigssituation. I EU’s NIS-direktiv, der er grundlaget for de nationale cyberstrategier, defineres begreberne. Her understreges det, at det er systemer og services, der er det væsentligste at identificere inden for de sektorer, man vælger. I Danmark har man fx valgt ikke at tage vandforsyningen med som en kritisk sektor, hvilket kan undre. Derfor har FE og CFCS ikke gjort deres hjemmearbejde i de seks år, centeret har eksisteret.

Det er at springe over, hvor gærdet er lavest. En sektor kan ikke som helhed udpeges, men der skal i stedet for arbejdes på at finde ud af, hvad der helt konkret er kritisk i sektoren. Det har man gjort i andre lande, det burde også kunne lad sig gøre i Danmark.

 

Imødegåelsen af cyberkriminaliteten forudsætter en langt bredere og samfundsforankret indsats end det, Center for Cybersikkerhed kan præstere og ønsker at bidrage til
_______

 

Danmark bør lade sig inspirere af udlandet
Imødegåelsen af cyberkriminaliteten forudsætter en langt bredere og samfundsforankret indsats end det, Center for Cybersikkerhed kan præstere og ønsker at bidrage til. Skal vi have et godt og robust sikkerhedsmiljø på cyberområdet, så skal der helt andre boller på suppen.

Her kunne man med fordel inddrage de erfaringer, der blandt andet er høstet i Israel. Det israelske cyberforsvar startede også under efterretningstjenesten, men i erkendelse af, at det ikke var den rette placering, blev det samlede ansvar overdraget til en nyoprettet civil myndighed, placeret direkte under den israelske premierminister kontor.

Det betød ikke, at den israelske efterretningstjeneste ikke længere beskæftiger sig med området. Der er naturligvis behov for at opretholde kapaciteten til både offensive og defensive cyberoperationer, men det foregår nu under det samlede ansvar som den nye civile enhed udøver. Det er både tankevækkende og inspirerende at se, hvorledes man i Israel på denne måde har formået at udnytte landets samlede ressourcer – statslige, private, universiteter mv. – til at etablere sikkerhed på cyberområdet uden at sætte landet i en permanent undtagelsestilstand. Myndigheden har formået at samle alle gode kræfter under én hat, så både civile og militære aktører trækker på samme hammel. Cybersikkerhed er gjort til en folkesag.

Cybersikkerhed skal derfor gøres til en folkesag, hvor alle landets borgere skal føle et konkret medansvar for, at vi opretholder en god og ansvarlig adfærd på de digitale netværk. Vi skal endvidere udnytte de dygtige virksomheder, der gør en indsats for at imødegå cyberkriminalitet og styrke cybersikkerheden.

Derudover skal vi være i stand til at samarbejde internationalt. Der er ingen nationer, der har interesse i at lade cyberkriminelle berige sig ved kriminel aktivitet. Alle nationer, herunder USA, Rusland, Kina og EU-landende, har en fælles interesse i, at pengestrømme og samhandel forløber effektivt og uden problemer. Denne målsætning opnås kun ved internationalt samarbejde, og det skal naturligvis forestås af en myndighed, der er i stand til at samarbejde bredt – også med Rusland og Kina.

Man skal derfor være mere end politisk tonedøv, hvis man ikke kan se, at vi er på helt gal kurs på området med cyberforsvar. Det kan undre, at vi i et valgår ikke hører nogen indvendinger fra oppositionen imod regeringens lovforslag om øgede beføjelser til Center for Cybersikkerhed. Det bestyrker indtrykket af, at oppositionen har set, at cyberområdet er en bekostelig affære.

Da vi samtidig skal hæve forsvarsbudgettet for at imødekomme vores tilsagn i NATO om at betale 2 pct. af BNP til forsvaret, så står det klart, at det gustne overlæg på tværs af de politiske fløje er, at man placerer cyberområdet under Forsvarsministeriet således, at investeringerne kommer til at tælle på forsvarsbudgettet. På den konto er demokratiske partier tilsyneladende villige til at give vores militære efterretningstjeneste så vidtrækkende beføjelser, at det er mere end bekymrende.

Danmark skal være i stand til at forsvare sig på cyberområdet. Men det forudsætter tillige evnen til internationalt samarbejde, hvis indsatsen skal bære frugt. Det nytter ikke noget at blande hele problemstillingen sammen i én pærevælling, hvor alle agerer på krigsretslignende præmisser. Derfor skal der findes en helt anden måde at organisere området på.

 

Danmark skal være i stand til at forsvare sig på cyberområdet. Men det forudsætter tillige evnen til internationalt samarbejde, hvis indsatsen skal bære frugt
_______

 

Behov for en koordinerende instans på cyberområdet
Hvordan gør vi så lige det? Det er det helt relevante spørgsmål.* For at nå dertil er det nødvendigt at bringe alle aktører sammen og indlede en grundlæggende drøftelse af, hvorledes man mest hensigtsmæssigt kan strikke en holdbar og bæredygtig organisation sammen, der ikke tilsidesætter normale demokratiske frihedsrettigheder, men gennem et konstruktivt og forpligtende samarbejde finder de bedste løsninger på de udfordringer, vi står overfor. Umiddelbart forekommer flere løsningmuligheder relevante:

I regi af Statsministeriet oprettes – med departementschefen som formand – et nationalt strategisk cybersikkerhedsråd. Det skal bestå af repræsentanter fra det offentlige og private samt forskningsverdenen, et særligt videnscenter og et operativt center. Opgaven er at sikre det tværsektorale, nationale og internationale samarbejde. Man kunne også overveje etablering af et egentligt IT-, Teknologi og Cybersikkerhedsministerium med flere underlagte og specialiserede styrelser. Som næstbedste løsning kunne det overvejes at udpege Ministeriet for offentlig innovation, der er underlagt Finansministeriet, til at være det koordinerende organ. Her ligger i forvejen Digitaliseringsstyrelsen, der er dybt inde i cybersikkerhedsproblematikken, og derfor ville det også være en udmærket mulighed, hvis man ikke opretter et særskilt ministerium.

I alle løsninger begrænses CFCS’s opgaver til at varetage egentligt efterretningsarbejde, varsling i forhold til fremmede staters aktiviteter på cyberområdet samt etableringen af en egentlig kapacitet til gennemførelse af offensive og defensive cyberoperationer.

Det er nødvendigt, at det går op for vores politikere, at der skal sadles om, hvis vi skal finde den rigtige løsning. Cybersikkerhed er en folkesag. Det taler for et effektivt, men bredt samarbejde mellem alle aktører og interessenter, der grundlæggende er fælles om ønsket om at opretholde en sikker digital infrastruktur. ■

 

Cybersikkerhed er en folkesag. Det taler for et effektivt, men bredt samarbejde mellem alle aktører og interessenter, der grundlæggende er fælles om ønsket om at opretholde en sikker digital infrastruktur
_______

Apropos denne artikel:

Rasmus Emborg: Vi må se i øjnene, at Ruslands gamle imperiedrømme er ved at blive til virkelighed

Jens Ladefoged Mortensen: Trumps toldkrig viser, at tyngdepunktet har flyttet sig væk fra Vesten – hvis det overhovedet findes længere

Vil Silicon Valley redde eller smadre Vesten? Mikkel Vedby med Anders Theis Bolman i Lille Land, Hvorhen

Pâkzâd og Lindstad: Trump indleder en global toldkrig – Norden viser en bedre vej

Interview med Helen Thompson: Her er rationalet bag Trumps tariffer

Tao Bjørn & T. N. Sørensen i RÆSON SØNDAG: Trump tager fejl, hvis han tror, at Kina ikke kan gengælde handelskrigen. Beijing er klar og forberedt til tænderne