Dansk IT: Cyberstrategien kan gøre en forskel ved at stille konkrete krav
DEBAT: Ligesom den tidligere strategi kan den nye cybersikkerhedsstrategi gøre en forskel ved, at der stilles konkrete, operative krav til sikkerheden i de kritiske sektorer, skriver Thomas Kristmar.
Af Thomas Kristmar
Medlem af fagrådet for informationssikkerhed i Dansk IT og Senior Manager, KPMG
Fra 2021 kigger vi ind i den tredje udgave af nationale cyber- og informationssikkerhedsstrategier.
Det giver anledning til at stille spørgsmålet, om strategierne har rykket ved cybersikkerheden i Danmark, eller om det kun er velmenende hensigtserklæringer?
Ingen tværgående sikkerhedskrav
I Danmark har vi det såkaldte sektoransvarsprincip. Det betyder, at det er det enkelte ministerområde, som skal sikre, at alle samfundskritiske funktioner kan opretholdes under alle forhold.
Det er et princip, som går tilbage til den kolde krig. Det betyder også, at der i udgangspunktet ikke er tværgående krav til robusthed, sikkerhed eller beredskab på tværs af sektorer.
Hver sektor - eller rettere minister - bestemmer selv, hvad der er et passende niveau. Det holder åbenlyst ikke i et digitalt samfund med tværgående, digitale afhængigheder.
Der er et politisk ønske om at opretholde sektoransvarsprincippet, hvorfor der har været behov for at finde en anden forpligtende, tværgående mekanisme.
De nationale cyber- og informationssikkerhedsstrategier har været et middel til at løfte det mildt sagt ujævne niveau, som har eksisteret mellem de kritiske sektorer.
Der er aftalt forpligtigende fælles initiativer indenfor staten, godt hjulpet på vej af EU-initiativer såsom NIS-direktivet. Det har virket.
Nu er der på tværs af de kritiske sektorer myndigheder, som kan stille krav til cyber- og informationssikkerheden i sektoren, og der er etableret DCIS’er, som koordinerer sektorens cybersikkerhedshændelser og er et single point of contact til sektoren ved cybersikkerhedshændelser.
Blandt statslige myndigheder er der implementeret 20 tekniske minimumskrav, som øger den generelle robusthed ved at fjerne eller begrænse usikre protokoller og teknologier.
Det er også her, der er en svaghed - for hvad med kommunerne? Det ville være ønskeligt, hvis staten og kommunerne i forbindelse med den kommende fællesoffentlige digitaliseringsstrategi vil forpligte kommunerne til at efterleve samme krav som staten.
Stil krav til sikkerhed
Al erfaring siger, at sikkerhed ikke kommer af sig selv. Selv om vi skriver 2020, ses investeringer i sikkerhed mere som en omkostning end en gevinst.
Det betyder, at den primære driver til sikkerhedsinvesteringer kommer fra revisionskrav (compliance) eller regulatoriske krav. De betydelige sikkerhedsinvesteringer relateret til GDPR kom nok ikke fra et dybtfølt ønske om at beskytte borgernes eller kundernes data, men fra frygten for GDPR-bøder - altså regulatoriske krav.
Det at stille konkrete krav virker og flytter cyber- og informationssikkerheden langt mere og hurtigere end bløde awarenesskampagner.
Et af Dansk IT’s ønsker til den kommende cyber- og informationssikkerhedsstrategi er, at strategien skal prioritere konkrete, operative krav til sikkerheden i de kritiske sektorer og skabe det nødvendige regulatoriske grundlag for at håndhæve disse krav og føre et effektivt tilsyn med overholdelsen af kravene.
Vi er som samfund dybt afhængig af effektive og velfungerede digitale løsninger, og vi har derfor en forpligtigelse til at sikre de digitale løsningers robusthed og funktionsevne.
Det kan en national cyber- og informationssikkerhedsstrategi.
Dansk Erhverv: Vi skal opprioritere bekæmpelse af nettets ulovlige indhold
IT-Branchen: Stillestående kønsfordeling i den digitale branche er deprimerende
