Cybersikkerhed er en alvorlig blind vinkel
Cybersikkerhed er et vaesentligt element i vores forsvar, men det lovforslag, som skal udmønte et nyt direktiv om cybersikkerhed, skulle have vaeret fremsat i denne måned, men kommer nu først til oktober. Det er ikke rettidig omhu.
Danmark er i fuld gang med at opruste det danske forsvar. Det er der god grund til med tanke på de geopolitiske stridigheder, verden står over for. Stridigheder, som også skaber øget usikkerhed i Danmark. Den nye sikkerhedspolitiske virkelighed er, at Danmark står midt i en hybrid krig.
Center for Cybersikkerhed vurderer, at »hackergrupper tilknyttet fremmede stater forbereder sig på at kunne udføre destruktive angreb med kort varsel« i Danmark. Ifølge Center for Cybersikkerhed bruger stater blandt andet cyberspionage til at forberede destruktive cyberangreb. Truslen for cyberspionage vurderes at vaere meget høj og kommer isaer fra Kina og Rusland.
EU forsøger at haeve barren for cybersikkerhed på tvaers af medlemslandene med et nyt cybersikkerhedsdirektiv kaldet NIS 2.
Direktivet er en direkte konsekvens af den voksende cybertrussel og en stigning i cyberangreb. Det introducerer minimumskrav for, hvordan virksomheder, organisationer og myndigheder, der udgør samfundskritiks infrastruktur, håndterer cybersikkerhed – og sanktioner i form af bøder og straffe for dem, der ikke lever op til kravene.
Alligevel fremstår cybersikkerhed som en blind vinkel i Danmark. I denne måned meldte Forsvarsministeriet ud, at det danske arbejde med direktivet er forsinket. Danmark kommer således til at overskride EU’s deadline for implementeringen af direktivet, som er oktober 2024.
Cyber indgår allerede i den hybride krig, der føres i Danmark. Forleden kom det frem, at Netcompany, der er leverandør af en raekke statslige it-systemer, var blevet hacket. Hackergruppen bag påstår at have password til statens systemer, som hackere i vaerste fald kan udnytte til at tiltuske sig adgang og forårsage stor skade på vigtige statslige systemer.
Sidste år var et cyberangreb ved at lamme dele af den danske energisektor, herunder el, varme og vand. SektorCERT udarbejdede en rapport i kølvandet på angrebet, og konstaterede at »dansk, kritisk infrastruktur er under konstant cyberangreb fra fremmede aktører«, og »at der bruges cybervåben mod vores infrastruktur, som kraever nøje monitorering og avanceret analyse at opdage«.
forsvarskonference DDAC løb af stablen i København for nylig. Her var mere end 300 deltagere fra Forsvaret og den danske
Den danske
forsvars- og sikkerhedsbranche samlet for at se naermere på Danmarks rolle i Nato og EU. Cybersikkerhed var ét af tre spor på agendaen, og Morten Bødskov belyste problematikken i sin tale på konferencen. Cybersikkerhed er også et af kerneområderne for indkøb og logistik i Forsvaret, så dem, der i bogstaveligste forstand står i frontlinjen, tager truslen meget alvorligt.
egentlig på spil, hvis et cyberangreb rammer vores kritiske infrastruktur? Konsekvenserne er enorme og har direkte indflydelse på samfundets sammenhaengskraft.
Forestil dig, at strømforsyningen svigter på grund af et cyberangreb. Det kan lamme virksomheder, stoppe produktionslinjer og forstyrre dagligdagen for almindelige danskere. Ingen elektricitet, ingen gadebelysning, køleskabe og frysere virker ikke, og livsvigtige maskiner på hospitalerne bliver sat ud af spil.
Vandforsyningen er også sårbar over for cyberangreb, og aktører kan enten lukke helt for vandforsyningen eller indstille vandvaerkerne, så vandet ikke bliver renset ordentligt eller ligefrem bliver sundhedsskadeligt.
Det har store konsekvenser for den enkeltes helbred og kan føre til alvorlig smittespredning af sygdomme.
Hvad er der
Rammer et cyberangreb et økonomisk system såsom dankort-terminaler, kan det saette en stopper for økonomiske transaktioner og gøre det svaert for virksomheder at handle og for borgere at få fat i varer som mad og medicin.
I byområder som København, hvor intelligente systemer regulerer lyskurvene, kan et angreb føre til trafikkaos og farlige forhold, som forstyrrer folk, der bevaeger sig ud i byen. Og hvis beredskabskøretøjer ikke kan nå frem til ulykkessteder, kan det koste menneskeliv.
Kort sagt går cyberangreb på kritisk infrastruktur ud over danskernes livskvalitet. Isaer når det danske samfund er så digitaliseret og teknologiafhaengigt, som det er.
Spørgsmålet er, hvem der tager ansvar for at beskytte vores kritiske infrastruktur mod cyberangreb. Her kunne man pege på en raekke aktører, der burde. Politikere
eller de organisationer, der udgør den samfundskritiske infrastruktur, for eksempel.
Det danske lovforslag, som skal implementere cybersikkerhedsdirektivet i Danmark, skulle have vaeret fremsat i denne måned, men kommer nu i oktober i stedet. Det er i sig selv aergerligt.
DI Digital peger på, at udskydelsen vil resultere i et implementeringskaos. Derfor foreslår de en overgangsperiode, hvor virksomheder ikke vil blive straffet, hvis de ikke lever op til de nye krav.
Men det er mig magtpåliggende at understrege, at det hverken er i virksomhedernes eller borgernes interesse. Det vidner tvaertimod om, at brancheorganisationen har misforstået opgaven. Sagens kerne er ikke at undgå straffene eller bøderne. Den er at sikre den kritiske infrastruktur, som vi alle er afhaengige af, for at samfundet fungerer.
Spørgsmålet er, hvem der tager ansvar for at beskytte vores kritiske infrastruktur mod cyberangreb. Her kunne man pege på en raekke aktører, der burde.
efterspørger desuden vejledning og klare krav, så virksomheder ved praecis, hvordan de skal efterleve cybersikkerhedsdirektivet. Med rette.
Danmark er bagud på det punkt. Når vi ser mod allierede som USA og England, så har de en raekke gode råd og konkrete vejledninger til, hvordan organisationer kan styrke cybersikkerheden. Men det er ganske enkelt for sent i processen at bede om vejledninger.
Direktivet er ikke en opgave for opgavens skyld – det er dybt alvorligt. Og retningen for, hvad der skal leveres, er ikke ukendt.
DI Digital
Derfor er min klare opfordring til politikerne, at de ikke giver efter for DI Digitals forslag. Virksomheder har haft mulighed for at orientere sig i direktivet, siden EU offentliggjorde det i slutningen af 2022. Både direktivet, konsekvenserne af cyberangreb og truslen fra Rusland har vaeret bredt daekket i årevis, og vi bør kunne forvente, at de virksomheder, der leverer samfundskritiske ydelser eller tjenester, er deres ansvar voksent.
Virksomheder bør ikke indstille sig på en udskydelse eller lempelse. Det er ikke i deres interesse at købe sig mere tid til at styrke deres cybersikkerhed, og det ville vaere at gøre dem en bjørnetjeneste.
I stedet skal de virksomheder, der endnu ikke har sat sig ind i, hvad cybersikkerhedsdirektivet indebaerer, til at gøre det. Der findes en raekke eksisterende standarder, som virksomheder kan laene sig op ad, og som klargør dem i ret vid udstraekning.
Konsekvensen af at vente på lovforslaget er enorm og et udtryk for, at man misforstår det egentlige formål med direktivet: At højne sikkerhedsniveauet til gavn for virksomheder, den brede befolkning og vores samfunds sammenhaengskraft.