Seks sektorrettede cybersikkerhedsstrategier

Rådet for Digital Sikkerhed byder de seks nye cyberstrategier, som adresserer Sundhed, Energi, Transport, Finans, Søfart og Kommunikation, velkommen. Det er afgørende for danskerne, at de samfundskritiske sektorer har en god sikkerhed, så danskerne er godt beskyttet såvel fysisk som digitalt. Strategierne skal sikre, at danskerne kan komme på hospitalet, få varme og el, kommunikere, betale og blive transporteret sikkert. Strategierne skal desuden sikre, at Danmark implementerer EU’s NIS-direktiv.

Der er en række fællestræk i strategierne, som blandt andet fokuserer på, at sektorerne skal nedsætte forskellige grupper til at koordinere samarbejdet indenfor sektorerne og til dels mellem sektorerne, at der skal ske skrappere leverandørstyring, at sikkerheden i IoT skal adresseres, at der skal erfaringsudveksles om sårbarheder og hændelser og at kompetencerne skal forøges. Det er alt sammen rigtig gode og nødvendige tiltag. Tiltagene er med til at sikre et ensartet sikkerhedsniveau i alle dele af sektorerne – hvilket er helt afgørende.

De forskellige offentlige og private aktører får med strategierne et udgangspunkt for, hvordan de skal tilgå arbejdet de kommende år. En ting er, at der nu ligger en strategi. En anden ting er om strategierne eksekveres fornuftigt. Der er tale om tunge sektorer med mange legacy-systemer, der er designet i en tid med et anderledes trusselsbillede og derfor har vanskeligt ved at bibringe et tidssvarende og modstandsdygtigt forsvar i dagens digitale verden. Det vil koste betydelige ressourcer at modernisere, opdatere og bygge konkret sikkerhed omkring.

Der skal også arbejdes med kulturen hos sektorernes forskellige aktører. For længe har datasikkerhed- og forsvar overfor digitale trusler udelukkende været en opgave for IT-afdelingerne i organisationerne. Dermed har de fleste organisationer gjort sig selv en bjørnetjeneste, når virksomhedernes medarbejdere i vid udtrækning ikke har opbygget en grundlæggende ’dannelse’. Gennemføres den rette kulturændrende ’digitale dannelse’ på alle niveauer, tilvejebringer det de optimale forudsætninger for, at alle kan afkode og i videst muligt omfang udnytte det digitale potentiale positivt – uden samtidig at blive eksponeret for eventuelle uhensigtsmæssige anvendelser og direkte trusler i det digitale univers.

Dertil vil sektorerne have behov for at tiltrække mange kompetencer for at komme i mål, på et marked hvor netop sikkerhedskompetencer er en knap ressource. Der kunne endvidere være behov for en central organisation, som koordinerede strategierne på tværs af sektorerne, frem for at have en betydelig fokus på sektoransvaret. Endelig kunne der godt være behov for, at sektorerne fik en økonomisk håndsrækning til arbejdet – i stedet for, at regeringens midler fortrinsvis er gået til Center for Cybersikkerhed.

Godt begyndt er som bekendt halvt fuldendt, men det kommer virkelig til at koste meget arbejde at komme i mål med disse strategier.

Du kan finde strategierne her:

Teleområdet: https://www.trm.dk/-/media/files/publication/2019/strategi-for-cyber-og-informationssikkerhed-2019-2021-i-transportsektoren.pdf
Sundhedssektoren: https://www.sum.dk/Aktuelt/Nyheder/Digitalisering/2019/Januar/~/media/Filer%20-%20dokumenter/2019/Cyberstrategi/SUM-Cyber-og-Informationssikkerhed_WEB_opsl.pdf
Energisektoren: https://efkm.dk/media/12491/cyber-og-informationssikkerhedsstrategi-for-energisektorerne.pdf.
Transport: https://www.trm.dk/-/media/files/publication/2019/strategi-for-cyber-og-informationssikkerhed-2019-2021-i-transportsektoren.pdf
Finanssektoren: https://em.dk/media/12278/delstrategi-for-finanssektorens-cyber-og-informationssikkerhed_.pdf
Søfart: https://em.dk/media/12276/delstrategi-for-soefartssektorens-cyber-og-informationssikkerhed.pdf.

Foto: Mads Joakim Rimer Rasmussen