Erhvervsorganisationer advarer: Forsvaret kan ikke klare cybertruslen alene
Regeringen vil med sit udspil til et nyt forsvarsforlig opruste Danmarks cybersikkerhed. Erhvervslivet er positive, men efterspørger mere samarbejde, vidensdeling og koordinering. Samtidig frygter eksperter, at cybertruslen bruges til at øge forsvarsbudgettet frem for sikkerheden.
Andreas Baumann
Ansv. chefredaktør, Mandag Morgen”Cyberangreb kan være lige så ødelæggende for Danmark som et militært angreb.”
Forsvarsminister Claus Hjort Frederiksen (V) tøvede ikke med at sidestille cybertruslen med konventionel krigsførelse, da han i sidste uge fremlagde regeringens udspil til et nyt forsvarsforlig. Regeringen lægger op til at tilføre forsvaret 12,8 mia. kr. over en seksårig forligsperiode, hvor cybersikkerhed skal være én af fire hjørnesten. Se figur 1.
Forsvaret forstærkes
Figur 1 | Forstør Luk
Forsvaret får tilført 12,8 mia. kroner over en seksårig periode. I 2023 vil Forsvarets budget være vokset med mere end 20 pct. i forhold til i dag.
Note: I år udgør Forsvarets budget 1,2 pct. af Danmarks BNP. I 2023 vil Forsvarets årlige budget udgøre 1,3 pct. af BNP.
Kilde: Forsvarsministeriet
Som led i den samlede styrkelse af Danmarks cyberforsvar foreslår regeringen bl.a. at udbygge det eksisterende sensornetværk, der monitorerer it-infrastrukturen i Danmark, og at etablere et situationscenter under Forsvarets Efterretningstjeneste i Center for Cybersikkerhed, der i det hele taget skal have flere ressourcer.
Som et af de mest digitaliserede lande i verden er cybertruslen og dermed den samlede sikkerhedstrussel mod Danmark ifølge statsminister Lars Løkke Rasmussen den største siden murens fald.
Men det er særligt i det private erhvervsliv, at cybertruslen først rammer, og derfor skal regeringen passe på med at gøre varetagelsen af problemet til et entydigt forsvarsanliggende.
Det mener en række erhvervsorganisationer, der opfordrer regeringen til at iværksætte et stærkere samarbejde mellem offentlige myndigheder og private virksomheder frem for at overlade al ansvaret for Danmarks cybersikkerhed til efterretningstjenesten.
“Danske virksomheder er first line of defence. Vi ønsker et samarbejde på tværs af samfundet, og vi forventer derfor en konkret interaktion med Center for Cybersikkerhed i fremtiden,” siger chefkonsulent i Dansk Industri, Morten Rosted Vang.
LÆS OGSÅ: ”Det er ikke potentielle trusler. Det sker allerede”
Han understreger, at det for ham at se er underordnet, hvordan regeringen organiserer sig på området, men at det er altafgørende, at erhvervslivet får større nytte af den samlede indsats end tilfældet er i dag.
“Hvis Center for Cybersikkerhed bliver omdrejningspunktet i den øgede fokus på cybersikkerhed, forventer vi, at det bliver en indsats i samarbejde med virksomhederne,” siger Morten Rosted Vang.
I Dansk Erhverv frygter man, at kommunikationen risikerer at blive for lukket og sikkerhedsprioriteringen for enøjet, når ansvaret placeres så entydigt i Forsvaret.
“Forsvaret bør tage sig af ’krigsopgaverne’, mens arbejdet med generelt at højne informationssikkerheden bør forankres under Finansministeriet i det kommende tværministerielle samarbejde,” siger fagchef for IT og Digitalisering i Dansk Erhverv, Janus Sandsgaard.
Samme bekymring har erhvervsorganisationen IT-Branchen, der mener, at det vil være en win-win-situation for både myndigheder og erhvervsliv med et tættere samarbejde om cybersikkerhed.
“Der er mange kompetente folk i erhvervslivet, og hvis vi har en større åbenhed, kan vi bygge et bedre forsvar samlet set, både blandt myndigheder og i det private,” siger administrerende direktør for IT-Branchen, Birgitte Hass.
Budgetoptimering i stedet for samarbejde
To eksperter i cybersikkerhed bakker erhvervsorganisationerne op i deres vurdering af, at et bredere samarbejde om cybersikkerhed er vejen frem. Eksperterne frygter, at Forsvarets dominans på området mere er et forsøg på at pumpe forsvarsbudgettet frem for at øge sikkerheden.
“I forbindelse med NATO-kravet om, at Danmark skal øge forsvarsbudgettet til to pct. af BNP, kunne man godt forestille sig, at en del af den øvelse bliver at tilføre cyberområdet nye ressourcer under samme hat. Flere ressourcer til cybersikkerhed er bestemt nødvendige, men det kan blive et problem, hvis man altid har Forsvarets briller på, når man skal håndtere cybersikkerheden, som jo er en meget bredere samfundsmæssig opgave,” siger Kristoffer Kjærgaard Christensen, der er ph.d. i Statskundskab på Københavns Universitet og forsker i udfordringerne ved privat-offentligt samarbejde om cybersikkerhed.
Endnu mere kritisk er sikkerhedseksperten John Foley, der er CEO i cybersikkerhedsfirmaet COPITS og Danmarks repræsentant i EU’s Network and Information Platform, der identificerer god praksis på tværs af EU-lande til at håndtere cybersikkerhedsrisici.
”Desværre ser det ud til, at Forsvaret nu benytter det kommende forsvarsforlig til at sikre sig flere penge og ressourcer i stedet for at sørge for mere samarbejde og koordination mellem relevante aktører som private virksomheder, offentlige myndigheder og forskningsverdenen,” siger han.
Han mener, at det manglende samarbejde er en stor del af forklaringen bag, at Danmark i en ny international FN-opgørelse over forskellige landes cybersikkerhed indtager en pinlig 34.-plads langt efter vores nordiske nabolande og kun akkurat over Rwanda og Tjekkiet.
”Når et land angribes alvorligt, er det altid de private aktører og sikkerhedsfirmaer, der skal rage kastanjerne ud af ilden. Offentlige instanser og myndigheder kan ikke løse problemerne alene. Alligevel opbygger man imperier inden for det offentlige, og det vil ikke løse de problemer og udfordringer, som Danmark står over for på cybersikkerhedsområdet,” siger John Foley.
Brug for ny enhed
Både John Foley og Kristoffer Kjærgaard Christensen efterlyser en koordinerende og samlende enhed på cyberområdet. Statens ansvar på cyberområdet er i dag spredt ud på ikke mindre end fire forskellige ministerier samt Datatilsynet, der specifikt tager sig af persondataloven.
Under Finansministeriet har Digitaliseringsstyrelsen ansvaret for informationssikkerhed og privatlivsbeskyttelse i den offentlige sektor. Under Justitsministeriet har Rigspolitiets Nationale Cyber Crime Center bl.a. til opgave at efterforske og opklare it-kriminalitet. På virksomhedsområdet har Erhvervsministeriet ansvaret for informationssikkerhed.
Og sidst men ikke mindst er Center for Cybersikkerhed under Forsvarets Efterretningstjeneste Danmarks it-sikkerhedsmyndighed og har bl.a. ansvaret for at være kompetencecenter for cybersikkerhed og udsende varsler om aktuelle cybertrusler.
Cybertrusler rammer dog sjældent rent ned i de forskellige sektoropdelte kategorier. Når det er svært at kategorisere specifikke cyberangreb, er det også besværligt for virksomhederne at skelne mellem, hvilken myndighed de skal kontakte i forskellige sager.
“Der er behov for en koordinerende enhed, der kan samle viden ind fra de forskellige dele af cybersikkerhedsområdet – fra såvel de forskellige myndigheder som den private sektor og civilsamfundet – og skabe et samlet overblik over, hvilke udfordringer vi står over for. Det er jo ikke bare et forsvarsproblem det her,” siger Kristoffer Kjærgaard Christensen.
Det har ikke været muligt at få en kommentar fra forsvarsminister Claus Hjort Frederiksen, men Forsvarsministeriet oplyser i en e-mail, at ”cyberområdet prioriteres højt, for at sikre en fortsat udvikling af samarbejdet med myndigheder og virksomheder for at styrke Danmarks beskyttelse mod cybertrusler”.
Forsvarsminister Claus Hjort Frederiksen forventes at fremlægge en samlet aftale om et forsvarsforlig gældende fra 2018 til 2023 i midten af november.
LÆS OGSÅ:
Danmark får ny kommandocentral mod misinformation
