Plan for cybersikkerhed er lutter flotte ord

Regeringens udspil til en samlet plan for Danmarks cyber- og informationssikkerhed mangler stram tidsplan og konkrete implementeringsforslag.

Der kan faktisk kun siges tre kritiske ting om regeringens nye udspil til at ruste Danmark mod cybertrusler, hvis de flotte ord realiseres. For det første, at planen har været ualmindelig længe undervejs. Det er på høje tid, at der nu fremlægges en samlet, større plan for Danmarks cyber- og informationssikkerhed.

For det andet, at regeringen med udspillet har banket så hårdt på ketchupflaskens bund, at antallet af forslag og handlinger, der nu skal følges op på, flyder ud over hele bordet med 25 initiativer og 6 målrettede strategier. Planen har en overskrift, der hedder 2018-2021, men der mangler konkrete mål for, hvornår de forskellige initiativer skal sættes i gang, hvornår de er fuldt implementerede, og hvornår der kan måles på effekten af dem. Der står heller intet om, hvem der er tovholder på hele pakken på tværs af samtlige ministerier, og hvordan vi kan se planen udfolde sig. Der er mange gode ord og hensigter i den, men hvordan måler vi, at rigets cybersikkerhed rent faktisk bliver forbedret?

Og for det tredje forekommer det mærkeligt, at kommuner og regioner slet ikke synes at være aktive partnere i planerne. I udspillet står kun dette: ”Sideløbende er det aftalt i den fællesoffentlige digitaliseringsstrategi for 2016-2020, at informationssikkerhedsarbejdet også skal styrkes yderligere i kommuner og regioner. Regeringen vil gå i dialog med kommuner og regioner om yderligere tiltag på området med afsæt i den nationale strategi for cyber- og informationssikkerhed”. Dialog kan ingen jo være imod, men hvorfor er kommuner og regioner ikke tiltænkt en aktiv rolle i den samlede regeringsplan?

Når nu det kritiske er sagt, er der grund til at rose regeringen for planen, der har 1,5 mia. kr. med i finansiering fra forsvarsforliget. Oprettelsen af et døgnbemandet, nationalt cybersituationscenter ved Center for Cybersikkerhed er i dag desværre en nødvendighed, og det samme er en fælles indsamling af informationer om cyberangreb og cyberkriminalitet rettet mod både den offentlige og den private sektor samt en særlig politienhed på området. Vi skal også have et døgnbemandet overvågningscenter for statens it-systemer, der tilsyneladende først vil være fuldt indfaset i 2020. Men hvorfor skal det tage to år, mens hackerne bliver dygtigere og smartere?

Regeringens udspil beskriver fornuftigt nok, at der er brug for en ny sikkerhedskultur i staten, når det gælder it, og præcis det samme gælder vel for kommuner og regioner og virksomheder? Vi skal som borgere og ”i hele uddannelseskæden”, som det formuleres, øge opmærksomheden om sikkerhedsudfordringerne. Der skal udarbejdes efter- og videreuddannelsesforløb, undervisningsmateriale samt kampagner om cyber- og informationssikkerhed; og der skal laves en informationsportal og bedrives forskning i redskaber til at afværge det digitale trusselsbillede. Alt sammen fremragende, men det er godt nok en stor plan i sig selv.

”Børn og unge skal gøres digitalt kompetente og opbygge en stærk digital dømmekraft med forståelse af de etiske dilemmaer, der ligger ud over den tekniske forståelse af digitaliseringen”, hedder det videre i udspillet. Hatten af for den intention, men også her mangler en beskrivelse af, hvordan det skal gennemføres i hele uddannelseskæden, og hvordan vi håndterer de etiske dilemmaer.

Regeringen har haft nogle særdeles velformulerede folk på overarbejde med denne vigtige plan. Lad os derfor – vi foreslår til august – se en konkretisering af planens enkelte punkter og dens implementering i de enkelte ministerier. Så skal det nok blive godt. Lad os se, hvad ministrene hver især og helt konkret gør, for at planen kan ramme virkeligheden; lad os se, hvordan der bliver skabt overblik over statens, kommunernes og regionernes følsomme it-systemer og de sektorplaner, der skal udarbejdes allerede i år, for energisektoren, sundhedssektoren, transportsektoren, telesektoren, finanssektoren og søfartssektoren.

Hackerne venter nok ikke til 2021 med at gå løs på Danmark, så hastigheden i forhold til udmøntningen af planen bør have en tårnhøj prioritet. Netop fordi Danmark er så gennemdigitaliseret et land, er vi mere sårbare end mange andre lande over for hacking og cyberangreb. Vi har hidtil været alt for naive på det it-sikkerhedsmæssige område. Nu må vi i alle led af samfundet lære at tage truslen langt mere alvorlig.

Men det må begynde med, at regeringen gør de fine ord og hensigter, og implementeringen af disse, konkrete.

Forrige artikel Pas på med at gøre kultur til erhvervspolitik Pas på med at gøre kultur til erhvervspolitik Næste artikel Pas nu på de danske værdier Pas nu på de danske værdier