19-10-2017 23:34:48

Cybertruslen er større end nogensinde, men hvem skal bekæmpe den?

Cybersikkerhed: Den største sikkerhedspolitiske trussel findes i dag i cyberspace. Alligevel har Danmark endnu ikke en samlet strategisk indsats imod den, som vi har med terrorbekæmpelsen, siger ekspert, der mener, vi sidder fast i en koldkrigs-tankegang
3. aug. 2017 Af Morten Scriver Andersen - Journalist
<p><em>Ifølge undersøgelse har 67 procent af de danske virksomheder i 2016 oplevet ransomware-angreb mod 22 procent i 2015.</em></p>

Ifølge undersøgelse har 67 procent af de danske virksomheder i 2016 oplevet ransomware-angreb mod 22 procent i 2015.

"Cybersikkerhed regnes i dag for den absolut største trussel både i det private erhvervsliv og sikkerhedspolitisk."

Sådan står der sort på hvidt i en ny rapport fra tænketanken Ret & Sikkerhed. Og man skal ikke tænke langt tilbage før skræmmeeksemplerne vælter ud af skabet. Det verdensomspændende hackerangreb, der senere blev døbt Wannacry, tog i maj hele verden på sengen, da en ransomware-virus spredte sig til 300.000 computere i 150 lande. Blot en måned efter kom et angreb af lignende størrelse, Petya, som blandt andet ramte Mærsk.

Ikke nok med det så har NATO udpeget cyberspace som et selvstændigt domæne for krigsførelse.

Set i det lyset kan det være svært at forstå, at Danmark endnu ikke har etableret et organ med det overordnede ansvar for bekæmpelsen af cybertruslen. Det mener i hvert fald rapportens ene forfatter Karen Lund Petersen, lektor ved Institut for Statskundskab ved Københavns Universitet. Hun efterspørger blandt andet en myndighed, som virksomheder kan henvende sig til, når de oplever cyberangreb.

Sidder fast i koldkrigs-tankegang

Lad det være sagt med det samme: Den danske stat og de private virksomheder gør i dag et stort arbejde for at sikre cybersikkerheden. De har faktisk aldrig gjort mere. Men inden for de seneste år er cyberkriminaliteten samtidig eksploderet, og det gælder særligt i de private virksomheder.

I Center for Cybersikkerheds nye beretning er antallet af virksomheder, der har oplevet ransomwareangreb, steget fra 22 procent i 2015 til 67 procent i 2016, og det har ifølge Karen Lund Petersen ændret noget ved virksomhedernes opmærksomhed.

"Ud fra de tendenser vi kan se, oplever danske virksomheder ikke bare flere cyberangreb, men også et meget større fokus på, at det kan ske. De føler et pres og er blevet meget mere bevidste, om at man skal gøre alt, hvad man kan for at sikre sig mod cyberangreb," siger hun.

Derfor kan det synes mærkeligt, at de danske virksomheder ikke har ét organ, de kan henvende sig til, når de oplever et cyberangreb.

I Danmark fordeles ansvaret i høj grad så Forsvarets Center for Cybersikkerhed (CfCS) og PET tager sig af nationens sikkerhed mod udefrakommende trusler, mens kriminalitetsbekæmpelse hører under Rigspolitiets Nationalt Cyber Crime Center (NC3).

Men denne inddeling beror sig på et ældre og mere simpelt verdensbillede og tager ifølge Karen Lund Petersen ikke nok højde for cyberkriminalitet, der ikke er så let at kategorisere.

"Under Den Kolde Krig, vidste vi, hvor truslen kom fra. Det var eksterne trusler mod den danske stat. Det var noget, man kunne håndtere militært eller internt gennem politiet. Det der er sket efter Den Kolde Krig med fokus på terrorisme, radikalisering og nu også cyberangreb, er, at vi ikke længere ved, hvorfra og hvornår der kommer et angreb," forklarer Karen Lund Petersen.

Kritisk infrastruktur er på private hænder

Karen Lund Petersen anslår desuden, at private virksomheder står for op mod 80 procent af landets kritiske infrastruktur. Og her tænkes der ikke på, når HBO's populære tv-serie Game of Thrones fx bliver hacket, men på helt basale ting som rørledninger, betalingssystemer og lufthavne, der er med til at opretholde danskernes dagligdag. Det gør ifølge Karen Lund Petersen den private sektor særligt sårbar over for cyberkriminalitet.

"Det er jo ikke en sektor, man fra Forsvarets side normalt har haft særlig meget fokus på, fordi man altid har tænkt forsvarspolitik som et statsligt anliggende og noget, man har kunnet administrere i ministerierne og den offentlige sektor," siger hun under henvisning til at vi i Danmark har sektoransvarspricippet. Det betyder, at hver miniserie tager sig af deres eget ansvarsområde under vejledning af PET.

Ifølge Karen Lund Petersen er det tid til at opgive tanken om at staten alene kan sørge for vores sikkerhed i cyberspace. Det skal i højere grad være et samarbejde mellem stat, erhvervsliv og civilsamfundet.

"Det, man taler meget om i dag, er, at vi skal være mere resiliente. Vi skal sørge for, at alle i samfundet er beredte og sikre, at alle kan rejse sig op, hvis der sker noget, eller bekæmpe den her trussel. På den måde har vi opgivet ideen, om at staten alene kan kontrollere og skabe vores sikkerhed," siger hun.

Gør som med terrorbekæmpelse

Og hvordan skal sådan et organ så se ud? Det har Karen Lund Petersen ikke et klart svar på, men hun henviser til Center for Terroranalyse (CTA), der blev oprettet i 2007 som et samlet center for analyse og vurdering af terrortruslen.

"Det skal selvfølgelig have en forankring i staten, da det skal kunne ligge inden for lovgivnings rammer. Men det skal være et organ, der varetager en eller anden form for offentlig-privat samarbejde og sikrer, at det sker. Det kunne fx ligne CTA, som ligger under PET, men hvor der sidder repræsentanter fra Udenrigsministeriet, Forsvarsministeriet og andre interessenter. De tænker terrorismebekæmpelse inden for en bredere kategori," foreslår hun.

Set i lyset af den seneste tids debat om øgede beføjelser til Forsvarets Efterretningstjenestes, ligger der en stor demokratisk opgave i at smede det rigtige organ, der kan varetage den store opgave effektivt med respekt for demokrati.

"Det skaber nogle styringsmæssige udfordringer, men det skaber også nogle demokratiske udfordringer, for hvordan kan man styre sådan noget her, uden det bliver totalitært. Altså hvor meget skal Forsvarets Efterretningstjeneste gå ind og overvåge, hvor går grænsen og hvor meget ønsker vi, at man skal blande sig i borgernes adfærd," spørger Karen Lund Petersen.

"Virksomhederne bliver selv nødt til at gøre noget, hvis ikke vi skal ende med, at staten skal ind og styre for meget, hvilket jo ikke er særlig gavnligt for vores forståelse af frihed og marked.

Karen Lund Petersen er desuden blandt oplægsholderne for konferencen Hvordan forsvarer vi os mod cyberangreb, som afholdes 21. september i København.

»Det er ikke en overdrivelse at kalde IoT en sikkerheds-katastrofe«
»Det er ikke en overdrivelse at kalde IoT en sikkerheds-katastrofe«

Internet of things: Milliarder af IoT-devices lider under, at sikkerheden er næsten ikke-eksisterende. Bedre uddannelse er vejen frem, mener DTU-professor.

Læs mere
Dansk lektor hacker amerikansk valgsystem på halvanden time
Dansk lektor hacker amerikansk valgsystem på halvanden time

Hackeren Carsten Schürmann, der er lektor på ITU i København, hackede på godt og vel 90 minutter en afstemningsmaskine, der tidligere er blevet brugt ved flere amerikanske valg. Han fik fuld kontr ...

Læs mere

Deltag i debatten

luk
close