Trods en bevilling på 1,4 mia. kr. til Center for Cybersikkerhed mangler den meget store del af Danmarks kritiske infrastruktur, som varetages af private virksomheder, stadig et centralt og troværdigt sted at hente oplysninger, når næste cyberangreb rammer. Vi har mere end nogensinde brug for et centralt råd for IT-sikkerhed, lyder det fra nordisk chef i IT-sikkerhedsbranchen.
Da en række store hackersager ramte danske virksomheder og offentlige myndigheder i 2017, kom IT-sikkerhed for alvor på den politiske dagsorden. Indtil da havde emnet mest været noget, som primært sikkerhedseksperter og IT-chefer kunne snakke længe om – men ofte for døve ører.
Mange forestillede sig, at hackerne koncentrerede sig om andre lande, og IT-sikkerhedsbranchens bekymring blev betragtet som let paranoide dommedagsprofetier.
Så ramte WannaCry og senere NotPetay og det stod klart, at hackere kan anrette skader for milliarder af kroner – også i Danmark. Hos IT-sikkerhedsbranchen oplevede man, at offentlighed, medier og virksomheder havde svært ved at få svar fra myndighederne, men måtte søge mod private udbydere af IT-sikkerhed for at få et overblik over situationen.
Penge er i sig selv ikke nok
”Angrebene har sat gang i en nødvendig proces, hvor IT-sikkerhed nu tages alvorligt af politikere og direktioner. Angrebet på Mærsk, der blev tacklet yderst professionelt, viste offentligheden, hvor store skader et angreb kan anrette og hvor dyrt, det kan være,” konstaterer Leif Jensen, nordisk direktør for Kaspersky Lab.
”Fra IT-sikkerhedsbranchens side har vi advaret om denne type storskalaangreb i mange år. Men først nu ser vi, at det bliver taget seriøst,” tilføjer han.
En god begyndelse – men…
Paradigmeskiftet har blandt andet betydet, at der er afsat 1,4 mia. kr. til IT-sikkerhed. Det er – erkender Leif Jensen – en rigtig god begyndelse og vidner om den politiske vilje til at tage hånd om problemerne. Han tilføjer dog, at det i sig selv ikke er nok at få IT-sikkerhed på finansloven.
”Fra politisk hold har man har valgt at tildele hele beløbet Forsvarets til Center for Cybersikkerhed, og det er problematisk af flere grunde. Først og fremmest har Center for Cybersikkerhed et entydigt fokus på at sikre den kritiske, offentlige infrastruktur, mens private virksomheder lades i stikken. Og her glemmer man lidt, synes jeg, at mange private virksomheder har et stort samfundsansvar og løser opgaver, der med rette kan beskrives som kritisk infrastruktur. De skal blot ikke regne med Center for Cybersikkerhed, der flere gange har udtalt, at de ikke beskæftiger sig med private virksomheder. Det er en farlig tilgang,” siger Leif Jensen.
En risikabel tilgang til IT-sikkerhed
I flere andre lande har man valgt at lægge opgaven med at indsamle og koordinere sikkerheds-information hos en uvildig instans. Vel at mærke en instans med en bredere formålsparagraf, der er i stand til at assistere alle dele af landets kritiske infrastruktur – herunder også de private virksomheder.
”Et fremtidigt fjendtlig angreb mod danske interesser vil kunne anrette stor skade, også selvom det kun rammer private virksomheder. Tænk på, hvor skadeligt det vil være, hvis banker, kommunikation, energi og medier lægges ned i blot kort tid. Derfor er den ensidige allokering af midler til cybersikkerhed hos Forsvaret en lidt uheldig rygmarvsrefleks, der tager udgangspunkt i, at skadelige angreb vil have karakter af traditionelle militære angreb, hvor striden står mellem nationer,” mener Leif Jensen.
I Danmark vil det, mener Leif Jensen, være oplagt at lægge opgaven hos en instans som DK-CERT, der med de rette midler kan centralisere indsatsen og trække på efterretninger fra f.eks. USA, EU, Asien og Rusland og være en konstant opdateret informationskanal til både det offentlige og private Danmark.
Vi skal have et centralt videnscenter for alle
Da angrebene ramte i 2017, var der ikke et centralt videnscenter, hvor offentligheden og medierne kunne henvende sig. Derfor søgte både virksomheder og journalister viden hos de private aktører i IT-sikkerhedsbranchen.
”Det var naturligvis en opgave, vi tog på os, selv om det i bund og grund ikke er vores opgave at agere krisecenter, og samfundet kan heller ikke være tjent med det. Men med den nye og – efter min overbevisning – lidt ensidige satsnings på Center for Cyberkriminalitet frygter vi at komme til at stå i den situation igen,” siger Leif Jensen.
”Derfor ville det give rigtig god mening, hvis man fra politisk side tager initiativ til at gentænke den nationale IT-sikkerhedspolitik. Et oplagt sted at starte er at nedsætte et råd bestående af industriorganisationer, IT-sikkerhedsbranchen og DK-CERT,” siger Leif Jensen.
Læs mere om Kaspersky Lab på www.kaspersky.dk