Læsetid: 4 min.

Private virksomheder må selv forsvare Danmark i cyberspace

Vitale dele af Danmarks infrastruktur som elnettet og finanssektoren styres via private digitale netværk. Men de private virksomheder må selv beskytte sig mod cyberangreb. I modsætning til vores naboer har Danmark ikke en national cyberstrategi
I USA er man i stigende grad opmærksom på risikoen ved cyberangreb, og der er adskillige tiltag på området. Det er også tilfældet i europæiske lande som Tyskland, Frankrig og Storbritannien, men i Danmark findes der stadig ikke en national strategi for, hvordan vi beskytter vores digitaliserede samfund.

I USA er man i stigende grad opmærksom på risikoen ved cyberangreb, og der er adskillige tiltag på området. Det er også tilfældet i europæiske lande som Tyskland, Frankrig og Storbritannien, men i Danmark findes der stadig ikke en national strategi for, hvordan vi beskytter vores digitaliserede samfund.

Rick Wilking

20. juni 2011

USA, Storbritannien, Tyskland, Frankrig og Holland har det, bare for at nævne et par stykker. Men i Danmark har vi ikke en samlet national cyberstrategi, der lægger retningslinjerne for, hvordan vi beskytter vores digitaliserede samfund.

»I bliver virkelig nødt til at se på det nu,« siger Peter Sommer, professor i cybersikkerhed ved London School of Economics.

I Vesteuropa i dag er omkring 80 procent af den såkaldte kritiske infrastruktur ejet af private virksomheder, og Danmark er ingen undtagelse. Selv om man måske ikke tænker over det i hverdagen, er stort set alt afhængigt af elektronisk infrastruktur for at fungere: vand, el, brændstof; selv supermarkederne styrer deres indkøb og lagerstatus elektronisk. Hver enkelt virksomhed og sektor har naturligvis en interesse i at beskytte sit eget elektroniske netværk.

»Men,« tilføjer Peter Sommer: »Hvis I ikke har nogen med et overblik, så har I et problem,« siger han.

Overset område

Peter Sommer er medforfatter til en rapport for OECD, der har undersøgt, hvordan OECD-landene beskytter deres elektroniske infrastruktur. Selv om der ikke er overhængende fare for omfattende cyberangreb, der kan lægge et helt land ned, bliver landene alligevel nødt til at ruste sig bedre elektronisk, konkluderer rapporten. Om ikke andet så fordi den elektroniske infrastruktur også er en altafgørende del af kriseberedskabet i alle andre katastrofe-situationer.

Men regeringerne har en tendens til at fokusere alt for meget på den militære infrastruktur og alt for lidt på den private civile, mener Peter Sommer.

»Det er virkeligt et af de oversete områder i hele cyberkrigdiskussionen. Man er meget optaget af, hvad angrebsgrupper kan gøre, eller hvilke former for angreb der kan finde sted. Men man tænker ikke nok på, hvordan man skal forsvare sig, eller hvordan du skal komme dig oven på et angreb. Regeringerne tænker heller ikke nok på, at de ikke kan gøre det store selv, medmindre de samarbejder med de store private sektorselskaber,« siger han.

Statslig vagthund

For et halvt år siden fik Danmark sin egen statslige cybervagthund, GovCERT (Governmental Computer Emergency Response Team), der holder øje med cyberangreb mod danske myndigheder. Men det er stadig hvert enkelt ministerium, der er ansvarlig for at beskytte den del af landets kritiske infrastruktur, som ligger inden for dets område. Det er det såkaldte sektoransvar. Det betyder eksempelvis, at Energistyrelsen har ansvaret for at beskytte elnettet, også mod trusler fra cyberspace, forklarer Thomas Kristmar, der er chef for GovCERT.

»De generelle sektorkrav er, at man skal gøre, hvad der er nødvendigt for at opretholde forsyningen. Der er ikke nogen øvre eller nedre grænse,« siger han.

GovCERT kommer kun med gode råd, og fra 1. juli i år vil den 12 mand store enhed også kunne tilbyde at overvåge datatrafikken for private virksomheder, der er beskæftiget inden for kritisk infrastruktur. Men det er en frivillig betalingsordning, og virksomhederne står stadig selv for at beskytte infrastrukturen.

»Vores sensorer vil opdage et it-angreb, og så kan vi varsle myndigheden om, hvordan man kan imødegå det. Afhængig af hændelsens art og karakter kan vi i et vist omfang bistå dem. Men vi bliver ikke deres interne sikkerhedsafdeling, de skal have styr på deres ting selv,« siger Thomas Kristmar.

Profit og sikkerhed

Fordelen ved sektoransvaret er, at det er fagfolkene i den enkelte sektor, der har det bedste indblik i de sårbarheder, deres område har. Orlogskaptajn Peter Jacob Blædel Gottlieb, analytiker ved Forsvarsakademiet med fokus på cybersikkerhed, har denne vurdering af princippet:

»Det er som sådan et sundt princip i nogle henseender, når vi tænker på mange traditionelle ulykker og trusler, men det betyder, at de enkelte virksomheder selv skal fastsætte en standard, selv lave en risikovurdering og selv skal balancere udgifter til sikkerhed kontra indtægt,« påpeger Peter Jacob Blædel Gottlieb.

Omvendt er det ikke en løsning, at staten overtager ansvaret og opgaven, men man bliver nødt til at samarbejde, for der er en gensidig afhængighed, mener han: »Cyberspace er netop kendetegnet ved manglende grænser, og jeg ser det som en udfordring at delegere ansvaret for cyberspace til sektorer, hvis grænser ikke tilsvarende eksisterer i cyber-space. Det fordrer efter min mening en strategisk forankring, hen over sektorerne, som man efterhånden ser det i flere andre lande,« siger han.

Problemet er, at staten og virksomhederne har fælles interesser, men ikke nødvendigvis samme prioritering. Statens fremmeste opgave er sikkerhed, mens virksomhedernes er profit, påpeger Peter Sommer.

»Alle vil gerne samarbejde, men når virksomhederne skal til at bruge rigtige penge, kommer problemerne,« siger han. Som eksempel på problemet med at styre private virksomheder til et fælles bedste peger han staternes problemer med at få banksektoren til at ændre adfærd både før og efter finanskrisen.

»Bankerne har taget imod pengene fra bankpakkerne, men de gør ikke, hvad staten vil have dem til. Det kan gentage sig i cyberspace,« siger Peter Sommer.

Serie

Cyberkrig

Større og større dele af vores samfund har med voldsom hast flyttet sig over i cyber­space. I dag bliver samfundsbærende institutioner som el-nettet, finanssektoren og hospitalsvæsnet styret via digitale netværk, men vi er først lige begyndt at tænke over, hvordan vi beskytter det nye samfund mod fjendtligsindede hackere. Hvor kommer den nye trussel fra, og kan vi sende hæren efter den?

Seneste artikler

  • Hackere stjæler informationer fra IMF

    15. juni 2011
    Eksperter mistænker 'en fremmed stat' for stå bag et målrettet cyberangreb mod Den Internationale Valutafond
  • Frygten for dommedag

    11. juni 2011
    Frygtelige scenarier, der forudser, hvordan computerangreb lammer et helt lands vitale infrastruktur begrunder en stor it-sikkerhedsoprustning. Ingen ved rigtigt, om det er teenagehackere, digitale jihadister eller Kina, vi skal frygte. Men bange, det bør vi være
  • Hvem sender du raketter efter i en cyberkrig?

    9. juni 2011
    Det er praktisk taget umuligt at afgøre, hvornår et andet land står bag et cyberangreb. Alligevel truer USA med militære gengældelsesangreb. Det handler om våbenindustriens nye guldgås og om at gøre computerangreb mere risikable, siger eksperter i cybersikkerhed
Bliv opdateret med nyt om disse emner på mail

Vores abonnenter kalder os kritisk, seriøs og troværdig.
Få ubegrænset adgang med et digitalt abonnement.
Prøv en måned gratis.

Prøv nu

Er du abonnent? Log ind her

Anbefalinger

anbefalede denne artikel

Kommentarer

Dan Johannesson

Det er også ligegyldigt om vi har en strategi, for som jeg har forsøgt at gøre rede for adskillige gange i kommentar trådende til de mange nye pudsigt og pludseligt opdukkede internethistorier - så handler denne historie, "angrebene" af "ukendte hackere / cyberterrorister" og de nylige pædofæli historier (New York og DK) ikke om deres udsigelser / historier i sig selv.

De handler om, på samme måde som op til Irak Krigen, og op til salget af 53 milliarder kroner Tamiflu at skabe en bestemt, kontrolleret, stemning. At henlede din og min opmærksomhed på en ny "trussel" for herigennem at bane vejen for en ny lovgivning.

Den nye lovgivning som vil komme, når internet-frygt kampagnen topper, handler (vanen tro) om omstrukturering, centralisering, censur og øget kontrol, denne gang af internettet.

Årsagen til at dette ønskes skal ikke findes i de enkelte historier / cases, der som sagt kun har til formål at skabe eftergivenhed i befolkningen ifht. nye kontrollove.

Den - årsagen - skal som altid, findes ved at iagttage aktuel historisk kontekst. Og konteksten handler om at internettet for nylig har vist sig at have real-demokratisk potentiale, uden om den etablerede medie og magt matrix.

Næsten en milliard mennesker i mellemøsten har via internettet formået at organisere, samle mod, og inspirere hinanden til at bevæge sig fra diktaturer mod demokrati. Det er første og eneste eksempel, i nyere tid, på ægte people power.

En milliard civile borgere som organiserer sig selv uden at spørge hverken USA, EU eller andre olie, krigs og kapitaldrevne samfund om lov. Wiki Leaks har vist samme real-demokratiske potentiale.

Imidlertid drives verden normalt ikke af civile borgere, som forventes kun at arbejde og forbruge i den.

Verden i sig selv drives af nogle få multinationale koncerner, og en håndfuld politikere, som i større eller mindre grad er betalt for at tale Konglomeraternes / koncernernes sag. Endelig er der så massemedierne, som er afhængige af kapital og hurtige historier. Kapital som de får af koncernerne, igennem annoncepenge for at bringe historier som de får af politikerne. Den uhellige treenighed om man vil.

Denne snævre gruppe af uhyre magtfulde mennesker og organisationer, har naturligvis ingen interesse i at miste deres magt, hvilket et frit internet på sigt ellers kunne afstedkomme.

Og det er derfor, og kun derfor, at det de seneste uger og de kommende månder vil vrimle med historier om et internet "ude af kontrol."

Zoom ud, afsøg nyhedsstrømmen for mønstre, og hold dem så op imod aktuel kontekst samt din forståelse om en kapital, olie og våbendreven "virkelighed."

Du vil blive overrasket over hvad du ser.

Læs evt. mere om dette fænomen, som jeg kalder for "Cueing" her.
http://www.danjohannesson.dk/660/

Emil Rottbøll

Dan og Lars, hvorfor er det, at I tror at jeg og Information skulle være del af en større hype af en ikke-eksisterende trussel? Hvad skulle vi få ud af det? Begrænse demokrati-bevægelsen i Mellemøsten? Come on.
Jeg vil hellere se nogle links til folk, der ved noget om emnet, og som kan udfordre vinklen i artiklerne ud fra et fagligt grundlag.

Lars Poulsen

@Emil:

Jeg tror ikke der er så mange der vil påstå at du specifikt er en del af en sammensværgelse. Snarere tror jeg at journalister og medier generelt bliver brugt som værktøj af de højere magter der har en fordækt agenda.

Man kan således ikke altid klandre den specifikke journalist der skriver en historie, men man kan overveje hvor den historie har sin oprindelse? hvorfor kommer den lige netop nu? osv. Alstå almindelig kildekritik. Journalisten kan så dømmes skyldig hvis denne ikke forholder sig til, eller undersøger, hvorfor en bestemt historie kommer netop nu og hvem der har interesse i at den udkommer.

I dette tilfælde, Hvilken interesse har Peter Sommers og OECD i at denne historie udkommer netop nu? Det er jo ikke noget nyt at computere og netværk bliver angrebet. Hvorfor er en organisation som OECD pludselig interreseret i det?

Og hvem er det, der har taget initiativ til artiklen? er det dig selv eller er det Peter Sommers eller OECD der har henvendt sig eller er det bare en udbygning af et Ritzau 'telegram'?

"Hvad skulle vi få ud af det? Begrænse demokrati-bevægelsen i Mellemøsten?"

Ja der er da mange statsledere og regeringer i verden generelt der gerne vil begrænse demokrati-bevægelsen i mellemøsten. F.eks. støttede DF Mubarak i Egypten (http://jp.dk/opinion/breve/article2329782.ece).

"Jeg vil hellere se nogle links til folk, der ved noget om emnet, og som kan udfordre vinklen i artiklerne ud fra et fagligt grundlag."

Jeg har rent faktisk arbejdet med IT sikkerhed i mange år. Kan ikke rigtig se hvad en 'national cyberstrategi' konkret skal kunne gøre. GovCERT lyder temmeligt utopisk, som om en virksomhed ikke selv kan finde ud af at overvåge deres systemer. Da virksomheden alligevel selv skal afværge angrebet så har de jo nok folk ansat til det, og så har de nok også kompetancerne til ordentlig overvågning. Og hvis de ikke har kompetancerne til ordentlig overvågning så har de heller ikke kompetancerne til at afværge angrebet og så kan det jo være ligemeget at GovCERT står og siger 'nu bliver i angrebet, men vi kan ikke hjælpe jer find selv ud af det..'.

Hvis du vil skrive noget om IT sikkerhed, så tag hellere fat på NemID og hvordan de har centraliseret alle folks krypteringsnøgler eet sted som endda er privat-ejet af de private banker.

Christian Thorup

En af grundende til den store polemik omkring cyberkrig det seneste stykke tid, tror jeg skyldes uvished om hvilke af de amerikanske agenturer, der i fremtiden skal stå for cyberkrigførelse. Derfor ser man de forskellige agenturer komme med mange udmeldinger hvori de dramatiserer cybertruslen mod USA, i forsøg på at vinde Obamas gunst.
Man må heller ikke glemme at våbenindustrien også har store interesser i cybervåben, som de kan tjene meget på.

Dan Johannesson

Kære Emil

Mit svar er omfattende, så jeg har tilladt mig at sende dig en mail. Jeg håber du vil tage dig tid til at læse den, da indholdet er væsentligt.

I den forbindelse kan jeg oplyse dig om at jeg også foretrækker en faglig diskussion, hvilket jeg som snarlig Cand.Mag i Medievidenskab, i denne sammenhæng, mener at kunne tilbyde.

Venligst

Anne Marie Pedersen

Emil

Måske man kunne lave et interview med it politisk forening og bringe en artiklen i Information - med deres holdning til, hvor vi står i forhold til fremtiden for privatliv på internettet.