Dansk IT om cybertruslen: Behov for klare sikkerhedskrav håndhævet via lovgivning

Debat27. september 2021 kl. 1:00 | Print

Ingen betvivler længere, at vi skal blive bedre til at håndtere cybertruslen – ikke mindst i den offentlige sektor. Alt for mange it-sikkerhedsspørgsmål flagrer i vinden, skriver Thomas Kristmar.

Vi hører igen og igen, at cybertruslen stiger, og at cyber- og informationssikkerhed er vigtigt. På Dansk IT’s netop afsluttede konference OffDig blev det i åbningsdebatten sagt, at (cyber)sikkerhed er en forudsætning for fortsat, offentlig digitalisering.

Men hvordan arbejder Danmark i dag med at beskytte samfundet mod truslerne?

Der er ikke en enkelt aktør, som har dette ansvar, men ansvaret er spredt ud på en række offentlige myndigheder og private virksomheder. Det officielle trusselsbillede udgives af staten, hvor myndigheder indsamler informationer om truslerne og udgiver trusselsvurderingerne og anbefalinger om imødegåelse af truslerne.

Det er tanken, at trusselsvurderingerne omsættes til konkrete sikkerhedsinitiativer i de samfundskritiske sektorer og offentlige myndigheder, herunder regioner og kommuner.

Denne brede kreds skal ”gennem passende tekniske og organisatoriske foranstaltninger” opretholde en beskyttelsesevne som både varetager egen, sektorens og samfundets behov.

Forskellige vurderinger
Det er hér, det begynder at blive vanskeligt, for hvad er passende sikkerhed? Og kan man antage, at en virksomhed, en myndighed eller endda en tilsynsmyndig har samme vurdering af, hvad acceptabel risiko er for en samfundskritisk sektor?

Det korte svar er, at virksomheder, myndigheder og sektorer vurderer forskelligt, hvad passende sikkerhed er, og hvad en acceptabel risiko er.

Det er min påstand, at konsekvensen er, at steder, hvor der burde være et éns sikkerhedsniveau, er der forskelle.

Et eksempel: Staten skal efterleve ISO 27001 og ufravigeligt efterleve de tyve tekniske minimumskrav. Kommuner og regioner har aftalt at ”følge principperne i ISO 27001” og de tyve tekniske minimumskrav er ikke ufravigelige for kommuner og regioner.

Årsagen til denne forskel er, at hvis staten stiller krav til kommuner og regioner, skal staten betale for kravene. Derfor fedtspiller Finansministeriet, KL og Regionsforeningen om regningen.

En anden udfordring ved håndtering af cybertrusler kommer fra, at niveauet for cyber- og informationsikkerhed er uklart på tværs af sektorer og myndigheder.

Vurdering af sikkerheden hos myndigheder og i samfundskritiske sektorer, herunder leverandørsikkerhed, beror i vid udstrækning på selverklæring, hvor hver virksomhed og myndighed selv skal vurdere, om selverklæringen er tilstrækkelig.

Statslige myndigheder erklærer sig sikre ved at efterleve ISO 27001. Leverandører erklærer sig sikre ved at henvise til egenkontroller og lignende. Al erfaring tilsiger, at en uafhængig vurdering af et sikkerhedsniveau har højere sandhedsværdi end selverklæringer.

Det kunne for eksempel ske ved at kræve ISO 27001-certificeringer eller en uafhængig gennemgang af sikkerhedsniveauet.

Kommuner kører på frihjul
For det første skal stat, regioner og kommuner i den kommende, fælles-offentlige digitaliseringsstrategi blive enige om, hvordan regningen for et sammenhængende, offentligt sikkerhedsniveau skal fordeles.

Det virker ikke overbevisende, at staten har ufravigelige sikkerhedskrav og kommune og regioner mere eller mindre kører på frihjul.

For det andet er der behov for flere obligatoriske minimumskrav for sikkerhed, som også skal gælde for virksomheder i de kritiske sektorer, samt kommuner og regioner.

Virkeligheden er, at kommer der ikke krav som håndhæves via lovgivning, bliver et lavt sikkerhedsniveau ofte risikoaccepteret af økonomiske årsager. Bare tænk på GDPR, som skabte business-casen for mange sikkerhedsinvesteringer.

For det tredje er der i den offentlige sektor behov for bedre leverandørstyring, hvor der stilles skarpere krav til kontrollen af sikkerhedsniveauet end i dag.

Konkret kan man udbrede den britiske model, hvor sikkerhedsmyndigheden inspicerer en virksomhed som forudsætning for, at virksomheden kan levere til de kritiske sektorer. Det vil også sikre, at det ikke bliver en individuel vurdering fra en myndighed eller virksomhed, hvorvidt et selverklæret sikkerhedsniveau er tilstrækkeligt.

Som det blev sagt på Dansk IT’s OffDig 2021, er cyber- og informationssikkerhed en forudsætning for den fortsatte digitalisering. Skal vi så ikke benytte lejligheden til hæve niveauet fra skåltaler til et verificeret sikkerhedsniveau?

debat@altinget.dk

Regeringen vil bruge to milliarder på at opgradere og centralisere det digitale sundhedsvæsen

Der kommer nye Digitale sundhedsrettigheder og en ny statslig it-organisation for sundhed, hvis regeringen kommer igennem med sit udspil til en sundhedsreform.

Få overblikket: Sådan vil regeringen reformere sundhedsvæsenet

Regeringen vil styrke sundhedsvæsenet med nye kronikerpakker, en reform af de almene læger og 17 sundhedsråd under de nu fire regioner. Få overblikket over regeringens forslag til en ny sundhedsreform her.

Regeringen vil lægge to regioner sammen: "Det er gennemtænkt, og det er klogt"

Med en ny Region Østdanmark og 17 nye sundhedsråd vil regeringen blandt andet sikre mindre ulighed i sundhedsvæsenet. Sådan lød det fra regeringstoppen, da de onsdag præsenterede et udspil til en ny sundhedsreform.

Google Danmark: Draghi har ret. Europa bør gentænke sin tilgang til kunstig intelligens

Den største risiko for Europa er hverken misbrug af kunstig intelligens eller misinformation – det er, at vi går glip af mulighederne og potentialet af den AI-revolution, der buldrer frem, skriver Bianca Bruhn.

Digitalt Ansvar: EU's medlemslande må skaffe dokumentation, der kan tæmme tech-virksomhederne

Skal vi tæmme tech for at beskytte børn og voksne mod afhængighed og skadeligt indhold, skal vi bruge det potentielle supervåben, EU har kørt i stilling. Men det virker kun, hvis vi leverer ammunition i form af dokumentation, skriver Ask Hesby Holm.

Tech- og forsvarsaktører: Styrket samarbejde mellem forskning og forsvar kan gøre cybersikkerhed til et nyt erhvervseventyr

Vi står med en unik mulighed for at fordoble vores nuværende omsætning i cybersikkerhedsindustrien, samtidig med at vi kan gøre Danmark mere robust over for hybride trusler, skriver Lars Bo Larsen, Thomas Riisgaard Hansen og Peer Heldgaard Kristensen.

Ny kommissærs skærmundersøgelse må ikke stå i vejen for politisk handling, siger børneorganisationer

Hos Red Barnet og Børns Vilkår er man positivt stillet over udsigten til en bred undersøgelse af skærmtid og sociale medier på tværs af hele EU. Men politikerne må hverken glemme at handle eller miste grebet om tech-giganterne, lyder budskabet.

Skærmtid, mental sundhed og tobakslovgivning: Det sætter von der Leyen sine nye kommissærer i gang med på børneområdet

Skærmtid, sociale medier, og digital mobning er på Ursula von der Leyens liste over fokuspunkter, et kommende kommissærhold bør have i EU.

Vestagers digitale EU-portefølje overdrages til hesteglad finne

Finsk eks-minister med ti års erfaring fra EU-Parlamentet bliver ledende næstformand for EU-Kommissionen med ansvar for digitale anliggender og sikkerhed.

Hvem er de nye EU-kommissærer egentlig? Her er deres styrker og svagheder

Ursula von der Leyen har udpeget sit nye kommissærhold. Men hvem er de nye kvinder og mænd, der nu skal godkendes af Europa-Parlamentet? Altinget giver dig en kort introduktion – og en lynanalyse af både EU-formanden og hendes 26 nye kommissærer.

Tænketank om ansigtsovervågning: De velmenende politikere ved tydeligvis ikke, hvad de har besluttet

Politikerne, der har givet Rigspolitiet beføjelser til at bruge ansigtsgenkendelse, mangler en forståelse for teknologiens implikationer. Det kan have store konsekvenser for vores retssikkerhed og privatliv, skriver Klavs Birkholm.

Digitale ledere: Der er brug for langsigtede projekter, hvis Danmark skal positionere sig i AI-kapløbet

På trods af, at Danmark er kommet godt fra start på digitaliseringsområdet, mangler vi langsigtede projekter, der kan positionere os i AI-kapløbet. Vi bør satse på at samle de bedste talenter – særligt op til det kommende EU-formandskab, skriver Andreas Espersen og Thomas Riisgaard Hansen.

Politiforbundet: Ansigtsgenkendelse sikrer et langt mere effektivt politiarbejde

Fordelene ved brug af ansigtsgenkendelse i politiets arbejde er mange, men det er vigtigt, at det nye redskab bliver brugt med stor omhu, skriver Heino Kegel.

Lægeforeningen: AI kan spare os arbejdskraft, hvis altså det digitale ikke bliver et mål i sig selv

Kunstig intelligens rummer et stort potentiale til at spare og frigøre sundhedspersoners arbejdskraft, hvis vi vel at mærke går klogt til værks og husker på, at det digitale ikke er et mål i sig selv, skriver Camilla Rathcke.

Vestager vinder historiske sager mod Google og Apple

Efter årevis af tovtrækkeri og ankesager har EU-Domstolen endelig afgjort to sager om tech-giganters konkurrenceforvridende adfærd - både Google og Apple skal nu betale milliardbøder til EU.

Menneskerettighedschef: Grønt lys til ansigtsgenkendelse er et vidtgående indgreb i borgernes rettigheder

Organiseret personfarlig kriminalitet skal bekæmpes hurtigt og effektivt, og her kan afgrænset og målrettet brug af ansigtskendelse være et effektivt redskab for politiet. Men teknologien rummer alvorlige risici for menneskerettighedskrænkelser og fordrer nøje regulering og stor, politisk ansvarlighed, skriver Louise Holck.

Overenskomst om kunstig intelligens sikrer ledelses- og organisationsretten på fremtidens arbejdsmarked

Det har vakt opsigt, at rengøringsplatformen Hilfr har forhandlet en ny overenskomst på plads med 3F, hvor AI og algoritmeledelse er et hovedtema, skriver Anna Ilsøe. Hun mener, at aftalen vil tjene som inspiration i fremtidige forhandlinger på det danske arbejdsmarked.

Formanden for Dataetisk Råd: Chromebook-sagen viser os en udfordring af samfundskontrakten

Dansk IT om cybertruslen: Behov for klare sikkerhedskrav håndhævet via lovgivning

Ingen betvivler længere, at vi skal blive bedre til at håndtere cybertruslen – ikke mindst i den offentlige sektor. Alt for mange it-sikkerhedsspørgsmål flagrer i vinden, skriver Thomas Kristmar.

Teleaktører: Cybertruslen bliver konstant større, men rammevilkårene sidder fast i fortiden

Teledirektør: Her er, hvad vi ved om EUs kommende it-sikkerhedsdirektiv

SF i EU: Alvorlige brister i cybersikkerheden kalder på styrket samarbejde

Virksomhed: Vi er nødt til at udvide diskussionen om hackerangreb til også at inkludere OT-sikkerheden

SF gør cybersikkerhed til forhandlingskrav

Rådgiver i cybersikkerhed: EU’s NIS-direktiv skal ikke overrumple os, ligesom GDPR gjorde

IDA om cybertruslen: Et vitalt område at mangle kvalificeret arbejdskraft på

Opsamling på temadebat: Hvordan skal vi håndtere cybertruslen?

Konsulent: Regeringen skal fokusere på proaktiv cybersikkerhed

Microsoft: Uden cybersikkerhed forsvinder tilliden til digitaliseringen

Dataetisk Råd: Det bedste forsvar mod cyberangreb er at behandle så få data som muligt

Dansk Erhverv om cybertruslen: Danmark har brug for ny sikkerhedskultur

Digitaleurope: Cybertruslen kan ikke løses i Danmark

DIIS-forsker: Cybertruslen udfordrer statens monopol på forsvarspolitik

Dansk IT om cybertruslen: Behov for klare sikkerhedskrav håndhævet via lovgivning

Prosa om cyberhjemmeværn: Absurd, at regeringen vil satse på frivilligt arbejde

S om cybertruslen: Vil formentlig snart kræve nye investeringer

Rikke Zeberg: Lad os stoppe lovløsheden i cyberspace

Konsulent: Ny cyberaftale kan skabe A- og B-hold

Ny temadebat: Hvordan skal vi håndtere cybertruslen?

Næste artikel

Fakta

Prøv digital gratis i 14 dage