Artikel af: John Michael Foley
Overvejelser om organiseringen af arbejdet med cyber- og informationssikkerhed i Danmark – en systemisk tilgang.
Denne artikel er under det nye format: ”Observation”. Observationer har til hensigt at bidrage med betragtninger til en debat samt at nuancere militærfaglige problemstillinger til gavn for DKVS-medlemmer. Endvidere har observationerne til hensigt at være direkte og tilbyde læsere ny og interessant viden i et komprimeret og deskriptivt format, der ikke forudsætter analytiske svar eller perspektivering af observationens betydning i en større sammenhæng. Dette ”liberale” format sigter mod at fremme særligt erfaringsmæssige militære bidrag, der kan anvendes empirisk i andre sammenhænge.
I forbindelse med den netop overståede Munich Security Conference, fra d. 16. til 18. februar, blev cybertruslen og risikoen for cyberkrig nævnt som en af de største sikkerhedspolitiske risici i nyere tid som vesten står overfor.
I forsvarsforliget er der afsat mange penge til cyberområdet. Det er en god begyndelse, men bekæmpelse af cybertruslerne er ikke kun et forsvarsanliggende. Det er en større sikkerhedspolitisk udfordring, som mange andre end forsvaret skal være med til at løfte.
Det samlede risikobillede er diffust og komplekst. Hver dag rapporteres om ukendte gerningsmænd, der udnytter nye sårbarheder i vitale digitale samfundsfunktioner.
I skrivende stund er den hybride krig allerede i gang, hvor der er eksempler på, at et lands økonomi, samfundsvigtig og kritisk infrastruktur samt IT-systemer angribes, og hvor ”fake news” og misinformation forsøger at destabilisere og vildlede de demokratiske institutioner, samfundet og befolkningen.
Bekæmpelse af cybertruslerne, herunder beskyttelse af kommunikation og information samt samfundsvigtig og kritisk infrastruktur er derfor en bredere fælles sag, der kræver innovation, nytænkning og løsninger, udover hvad der hidtil er set.
Fra min tid i Forsvaret har jeg lært, at når man præsenterer et problem, så er det god latin og skik at man også foreslår og forelægger brugbare løsninger. I de efterfølgende afsnit har jeg derfor skitseres tanker og forslag til løsningsmuligheder, der anbefales og foreslås iværksat i forbindelse med strukturering af arbejdet med cyber- og informationssikkerhed i Danmark.
Om placeringen af Center for Cybersikkerhed
Jeg har i de sidste fem år siden Center for Cybersikkerheds (CfCS) oprettelse med stor interesse fulgt lovgivningsarbejdet på cybersikkerhedsområdet, og specielt nu i forbindelse med EU’s Network and Information Security Direktivets (NIS direktivet) bearbejdelse i Folketinget. Med NIS direktivets implementering i dansk lovgivning medio maj 2018 gives FE og CfCS, sammen med de tidligere omfattende tildelte beføjelser og lovhjemmel, uindskrænket magt og mulighed for uhindret at indsamle, behandle og bruge hele befolkningens og samfundets oplysninger og data, uden mulighed for demokratisk og parlamentarisk kontrol.
Jeg er derfor nu mere end nogensinde før overbevist om at Center for Cybersikkerhed med fordel kan flyttes fra FE til en placering, som bedre passer til opgavens natur. FE er helt naturligt undtaget en række love, bestemmelser og regler, hvilket umuliggør demokratisk kontrol og indsigt i hvad tjenesten viderebringer og udveksler med andre efterretningstjenester m.fl.
Når befolkningen, medierne og politikerne stiller spørgsmål på cyberområdet kan Forsvarsministeren og FE påberåbe sig særlige arbejdsvilkår, undtagelsesregler og tavshedspligt samt at hensyn til nationens sikkerhed ikke tillader, at man udtaler sig eller fører bevis for fremsatte påstande. FE skal naturligvis kunne arbejde som efterretningstjenester flest, men med de opgaver og beføjelser som CfCS nu udstyres med, bør centeret ikke ligge under FE eller Forsvaret, men derimod ved en civil myndighed. Derved sikres demokratisk kontrol og mulighed for at undersøge om f.eks. befolkningens retssikkerhed og menneskerettigheder overholdes. Bemærk, at FE ikke er omfattet af offentlighedsloven, persondataloven og centrale dele af forvaltningsloven. Endvidere har Tilsynet med Efterretningstjenesterne meget begrænsede beføjelser til at se FE og CfCS efter i sømmene.
Hvordan kan man så strikke det sammen og alligevel få en effektiv beskyttelse mod cybertruslerne og de nu daglige angreb? Det vil jeg i de efterfølgende afsnit tydeliggøre. Helt up front vil jeg gerne indrømme, at jeg har ladet mig inspirere af, hvordan man i andre lande vi normalt sammenligner os med, for længe siden har gjort. Men mine forslag til løsninger er ikke blot en kopi af hvad andre gør, men er tilrettet danske forhold, sædvane og forvaltningsregler.
Dansk tillid som konkurrencefordel
Den danske tillidskultur er verdenskendt og central for selvforståelsen i landet. Et bedre udgangspunkt for oprettelse af både sektorspecifikke og tværgående samarbejder kan ikke tænkes, og Danmark har en chance, og dermed en konkurrencefordel, i arbejdet med at sikre landets cyber- og informationssikkerhed.
Alle må løfte i flok, én er ikke nok
I forsvarsforliget 2018 har staten for første gang øremærket betydelige midler til cyber- og informationssikkerhed. Dette synes naturligt, idet Forsvaret traditionelt har til opgave at vurdere risici og trusler og finde passende modsvar - og cybertruslens omfang artikuleres for tiden tydeligst af forsvarsministeren.
Cyberområdet er dog mere omfattende end traditionelt territorial-forsvar og internationale aktioner. Opgaven består i aktiv udvikling og beskyttelse af både organisationer og systemer i samtlige sektorer i vores digitaliserede samfund: Sundhed, transport, el- og vandforsyning, finans, kommunikation osv. Det bør nævnes, at alle er udsatte og mange arbejder intenst med opgaven - dog uden overordnet koordinering og et tilstrækkeligt struktureret, tværgående samarbejde.
Det vil derfor ikke alene være urimeligt at pålægge én organisation (Forsvaret) opgaven med at sikre hele samfundets indre mekanik - det vil også være halsløs gerning og opskriften på fiasko. Det var denne erkendelse, som ledte amerikanerne til etableringen af National Council of ISACs (Information Sharing and Analysis Centres) i 2003, som i dag har 24 sektorspecifikke ISACs som medlemmer.
Flere europæiske lande følger nu samme model på både sektor- og nationalt niveau og Danmark bør hurtigst muligt følge trop og sikre sig en førerposition, som ét af verdens mest digitaliserede samfund men endnu ikke det mindst sårbare af slagsen.
Oprettelse af et nationalt cybersikkerhedsråd
Som overordnet ansvarlig for cyber- og informationssikkerheds-strategien bør Minister for Offentlig Innovation, Sophie Løhde, lede og huse et nationalt cybersikkerhedsråd som arbejder på strategisk niveau. Et tilhørende sekretariat på anslået 5-6 fuldtidsstillinger anses for nødvendigt for at understøtte rådets arbejde effektivt. Alternativt, hvis man anser opgaven for at være kritisk vigtig, bør den lægges under et tungt ministerium, eksempelvis Indenrigsministeriet, der havde ansvaret for Civilforsvaret under Den Kolde Krig.
Cybersikkerhedsrådets overordnede struktur bør være et Public-Private Partnership (PPP), hvor medlemmerne repræsenterer operatører af kritisk infrastruktur (sundhed, transport, teleindustri, luftfart mv.) såvel som centrale offentlige enheder (Center for Cybersikkerhed, Datatilsynet, Digitaliseringsstyrelsen, KL, PET m.fl.) samt brancheforeninger og ikke mindst repræsentanter fra forskningen.
Talrige undersøgelser, rapporter og erfaringerne peger entydigt på, at offentlige instanser ikke er i stand til at alene at indsamle, koordinere, sikre, afhjælpe eller varsle, når alvorlige sårbarheder øger risikoen for angreb og truer alle fra den enkelte borger, den enkelte virksomhed, stor eller lille, til nationalstatens sikkerhed i cyberspace eller ved angreb på samfundsvigtig og kritisk infrastruktur.
Rådet foreslås ledet af en markant person med faglig ballast og betydelig erfaring både fra den offentlige og den private sektor, udpeget af ministeren.
Rådets primære opgave vil være at påse og kontrollere, at de anbefalinger, som fremkommer af den nationale cyber- og informationssikkerhedsstrategi effektivt gennemføres. Dertil kommer rådgivning og støtte til regeringen, embedsværket, de politiske partier og private virksomheder på strategisk niveau.
Rådet bør samles mindst én gang om måneden for at sikre vidensniveauet og god kontakt samt erfaringsudveksling til de politisk ansvarlige for strategi og infrastruktur. Området ønskes med andre ord betydelig politisk bevågenhed og synlighed.
Computer Incident Response Team (CSIRT)
I EU’s NIS-Direktiv stilles der krav til medlemslandende om oprettelse af CSIRT’s som bl.a. skal være samlingspunkt for rapportering af it-sikkerhedshændelser m.m.
En dansk CSIRT behøver ikke være underlagt f.eks. FE eller Center for Cybersikkerhed. I mange andre lande vi normalt sammenligner os med er CSIRT’s ikke en del af et lands efterretningstjenester. En CSIRT kunne f.eks. være i regi af Indenrigsministeriet, Erhvervsministeriet, Danmark Tekniske Universitet eller under Innovationsministeren, der i forvejen har det overordnede ansvar for den nationale strategi for cyber- og informationssikkerhed. Og endnu bedre direkte under Statsministeriet, som det f.eks. er gjort i Frankrig. Men i Danmark er der ikke tradition for at Statsministeriet påtager sig et sådant ressort.
Oprettelse af Information Sharing and Analysis Center (ISAC) i Erhvervsministeriets regi
Også på det mere praktiske niveau bør opgaven aktivt understøttes, ikke mindst samarbejdet med den private sektor. Det foreslås at oprette et Information Sharing and Analysis Center (ISAC) under Erhvervsministeriet. Det er en sluttet kreds oprettet med det specifikke formål at dele oplysninger og analyser for dermed at løfte opgaven i fællesskab. Den indbyrdes tillid er afgørende, og mødernes holdes efter bestemte regler ligesom diskussioner og oplysninger kategoriseres efter følsomhed. Hemmelige oplysninger må eksempelvis ikke forekomme på skrift, hvorimod fortrolige informationer kan tages til internt referat.
ISAC’s eksisterer allerede i mange lande vi normalt sammenligner os med - så der er gode erfaringer at trække på.
I visse sektorer findes sådanne samarbejder allerede, f.eks. gruppen Finansielt Sektorforum for Operationel Robusthed (FSOR) for finanssektoren. Medlemmerne er private virksomheder, brancheforeninger og offentlige myndigheder som jævnligt mødes under ledelse af Nationalbanken.
Modellen bør søges udbredt til de øvrige sektorer for kritisk infrastruktur, og som noget nyt bør det med ISAC’en i Erhvervsministeriet sikres at der også udveksles oplysninger på tværs af sektorernes ISAC’er.
Sektorspecifikke Computer Emergency Response Teams (CERT) etableres
På det operative niveau kan opgaver med overvågning og detektering af cyberangreb, scanninger efter sårbarheder i driftsystemer og netværk, systemopdateringer mv. organiseres i såkaldte CERT’er. Danske eksempler herpå er Netsikkerhedstjenesten under Center for Cybersikkerhed, som overvåger og varsler institutioner og virksomheder, der er tilsluttet tjenestens sensornet såvel som DK-CERT, der fokuserer på forsknings- og uddannelsesinstitutioner.
De fleste sektorer har mere eller mindre etablerede faglige fællesskaber, hvori man kender hinanden og allerede samarbejder i et vist omfang. Disse fora kan være udgangspunkter for endnu tættere samarbejde og koordinering i egentligt CERT-funktioner, hvor sigtet er vidensmæssig, økonomisk og tidsmæssig optimering i endnu større udstrækning og detaljeringsgrad end ved ISAC’s. Sektorspecifikke CERT’er kendetegnes ved konstant at have fingeren på pulsen og et kontinuerligt overblik og indsigt i trusselsbilledet samt kontakt til alle dets samarbejdspartnere på døgnbasis. CERT’er skaber awareness og detekterer angreb samt bistår når cyberangreb indtræffer.
Repræsentanter for sektorspecifikke CERT’er og lignende organisationer bør deltage i den tværgående ISAC under Erhvervsministeriet.
Konklusion/opsummering
Bekæmpelse af cybertruslerne og beskyttelse af samfundsvigtig- og kritisk informations infrastruktur er en sikkerhedspolitisk opgave, som Forsvaret har en væsentlig aktie i. Men mange andre instanser og aktører skal bringes i spil for at kunne løse opgaven.
FE og Forsvaret kan og bør ikke være det omdrejningspunkt, som der lægges op til. Dels fordi det ikke er en naturlig opgave for FE og dels fordi CFCS ikke kan eller skal efterleve de love der ellers er gældende for resten af samfundet i henhold til offentlighedsloven, persondataforordningen og centrale dele af forvaltningsloven.
John Foley er stifter af den uafhængige rådgivnings- og it-sikkerhedsvirksomhed COPITIS, som hjælper og rådgiver offentlige og private virksomheder med generel it-risikostyring. -
Det Krigsvidenskabelige Selskab opfordrer alle til både spørgsmål, debat og kommentarer om emnet.