Interview: Opfordringen fra Center for Cybersikkerhed er helt klar og utvetydig:
"Rammes din virksomhed af et sikkerhedsbrud, så skal du fortælle os om det," siger afdelingschef i Center for Cybersikkerhed Thomas Kristmar.
Oplysninger fra både offentlige myndigheder og private virksomheder om cyber-sikkerhedshændelser kan i dag foregå uden risiko for aktindsigt, men mange virksomheder vælger stadig at holde kortene tæt ind til kroppen.
Muligheden for at undtage underretninger fra aktindsigt blev igangsat 1. juli 2016, men der har endnu ikke været den store tilslutning til underretningsordningen.
"Hvis du fortæller os om en cyber-hændelse, vil du ikke være underlagt aktindsigt. Det betyder i praksis, at kun dig og centeret ved, at du er berørt af en hændelse , men også, at vi får informationer, der kan skabe et overblik over hvilke sikkerhedsproblemer, der plager Danmark."
"Foreløbig har kun op mod 12 virksomheder indrapporteret om cyber-sikkerhedshændelser, hvilket næppe er udtryk for, hvor mange der er blevet ramt i perioden. Vores vurdering er, at det tal er væsentligt højere."
Ifølge vurderingen fra Thomas Kristmar er der således stadig rigtig mange mørketal.
Hvorfor vil I gerne have disse tal?
"Vi vil gerne have de hårde fakta. Vi har fået skabt den efterspurgte mulighed for underretning uden risiko for aktindsigt. Nu mangler vi bare, at de danske firmaer også er klar til at spille med og det er vigtigt," siger han.
"Med undtagelsen fjernes en væsentlig årsag til bekymring og øger dermed muligheden for både at yde bistand til virksomhederne ved cyber-angreb samt at få kastet lys på et område, der er præget af et betydeligt mørketal."
Men hvorfor kommer virksomhederne så ikke?
"Jeg tror, at mange ikke er bekendt med muligheden. Vi skal have promoveret ordningen, men der er nok også en periode, hvor firmaerne lige skal vænne sig til tanken og blive trygge ved at aflevere oplysningerne."
Derfor er det vigtigt, at du snakker
Ordningen er sat i verden, fordi underretninger fra myndigheder og private virksomheder blandt andet sætter Center for Cybersikkerhed i stand til at varsle hurtigere og bedre om trusler.
"Vi har to konkrete formål med ordningen. Vores operative enhed vil få information om, der er en trend, der skal reageres på. Eksempelvis mange igangværende ransomware-angreb. Den anden er til vores offentlige trusselsvurderinger, som virksomhederne selv kan bruge i deres egne risikovurderinger," siger Thomas Kristmar.
Sandhedens engel
Det handler altså om at dokumentere de mange påstande om sikkerhedsproblemer, som man eksempelvis møder fra sikkerhedsfirmaer, der forsøger at sælge sikkerhedsprodukter.
"Helt nede på jorden, så er vi interesseret i at indsamle informationerne for at have helt konkrete tal på hændelser i landet. På den måde ved vi, hvad der sker og skal altså ikke gætte os frem. Vi vil gerne være sandhedens stemme."
Øget underretning fra en bred vifte af virksomheder i forskellige erhvervssektorer vil således gøre Center for Cybersikkerhed bedre i stand til at yde rådgivning og bistand om cyber-risici og passende sikkerhedstiltag, lyder vurderingen.
Hvornår vil I karakterisere ordningen som en succes? Rapportering fra 10 til 12 firmaer på et halvt år giver vel ikke valide tal?
"Det er svært at sætte konkrete tal på. Lige nu handler det om at øge volumen, så vi kan få et bedre overblik, men det er umuligt at sætte faste tal på, hvornår det er en succes."
Center for Cybersikkerhed opfordrer derfor offentlige - og private virksomheder til at underrette om større it-sikkerhedsmæssige hændelser i den digitale infrastruktur, som virksomhederne er ansvarlige for.
Det gælder aktører inden for it- og tele, transport, finans-, energi- og forsyningssektoren eller leverandører til forsvaret.
Du kan finde Center for Cybersikkerheds vejledning her.
Læs også:
Center for Cybersikkerhed: Sådan kommer du på fode efter ransomware