Indlægget er skrevet af Christian Top Marchant og Thorstein Theilgaard og blev oprindeligt bragt som klumme på Finans.dk.

Regeringens nye nationale strategi for cyber- og informationssikkerhed landede midt i rigsret, nedlukning og julehygge - og den fortjener opmærksomhed, for den tegner et foruroligende billede af, at der er akut behov for sikkerhedsmæssige opstramninger for at beskytte vores stadig mere digitale infrastruktur. Erfaring viser, at målsætninger fra den forrige strategi endnu ikke er blevet indfriet.

Den længe ventede strategi for cyber- og informationssikkerhed er endelig blevet præsenteret af regeringen. Strategien vidner - hvis nogen måtte være i tvivl - om, at vi lever i en verden fuld af digitale trusler fra både kriminelle og statslige aktører.

Danmark er et af verdens mest digitaliserede lande, og derfor er det svært ikke at blive bekymret, når strategien bl.a. peger på, at sikkerhedstilstanden er utilstrækkelig i knap halvdelen af statens samfundskritiske it-systemer.

Tidligere i år kunne man læse, at vi blot ligger nummer 32 på listen over lande målt på it-sikkerhed. Det virker både foruroligende og paradoksalt, når Danmark samtidig er et af verdens mest digitaliserede samfund. Det efterlader os i en potentielt meget sårbar situation, hvis de forkerte kræfter kaster sig over Danmark.

Teknologiens fagre nye verden af muligheder har nemlig også en mere ubehagelig bagside. Digitaliseringen af stadig flere dele af samfundet gør nemlig Danmark sårbar over for spionage og cyberkriminalitet, hvis ikke vi har styr på sikkerheden. Og som det tydeligt fremgår af strategien, halter Danmarks cyber- og it-sikkerhed håbløst bagud i forhold til vores status som digitalt foregangsland.

Det gælder både private virksomheder, det offentlige og borgerne. Derfor kan vi selvfølgelig også glæde os over, at de i alt 770 mio. kr., som strategien og seneste forsvarsforlig har prioriteret, mere end noget andet vidner om, at digitalisering, kommunikationsteknologier, it-systemer m.v. er blevet en del af den nationale sikkerhedspolitik i den helt tunge kaliber.

En ting er strategi - noget andet er implementering

Men djævelen ligger som bekendt i detaljen og i denne sammenhæng mere præcist i implementeringen af den nye nationale strategi. Det fremgår af strategien, at 46 pct. af statens samfundskritiske systemer er i det, der kaldes utilstrækkelig tilstand. Ifølge Digitaliseringsstyrelsen vurderes det, at 590 ud af statens 3.433 it-systemer er af samfundskritisk karakter. Med lidt hurtig hovedregning betyder det, at 270 (46 pct.) samfundskritiske it-systemer i den danske stat er potentielt sårbare overfor angreb.

Det kan undre. Siden 2016 har statslige myndigheder været forpligtede til at implementere sikkerhedsstandarden ISO27001. Allerede i den forrige nationale strategi fra 2018 blev der peget på, at der var plads til forbedring på denne konto for de statslige virksomheder - for nu at sige det mildt. Derfor er den nye strategi også alarmerende læsning, da den konstaterer, at kun 57 pct. af de statslige myndigheder i dag lever op til ISO27001.

Fem år er uendelig lang tid

Når det kommer til den teknologiske udvikling - og ikke mindst de cyberkriminelles mere aggressive og avancerede metoder - er fem år ikke en undseelig periode - hvis det endelig er, bør det snarere måles i hundeår. Hvorvidt det i den sammenhæng vil gøre en forskel, at Rigsrevisionen nu går i gang med at undersøge it-sikkerheden i det offentlige, må komme an på en prøve.

Nu fremgår det ikke af strategien, hvilke dele af de statslige it-systemer, der ikke er sikret godt nok, men prøv at tænke følgende tanke i den nuværende coronasituation: At de it-systemer, der sikrer logistikken bag hele coronaindsatsen bliver lammet af enten cyberkriminelle eller en fjendtligsindet fremmed stat. Det ville betyde, at Danmarks kamp mod corona ville bryde sammen i løbet af kort tid med enorme sundhedsmæssige, økonomiske og politiske konsekvenser til følge.

I it-sikkerhedsbranchen har det længe lydt, at det ikke handler om hvis man bliver angrebet, men hvornår det sker. Derfor er det positivt, at strategien nu er på plads - så lad os håbe, at implementeringen af den kommer til at gå hurtigere end sidst.

‍

Foto af: Kasper Rasmussen