ROBUST CYBERSIKKERHED

Posted by

Digitalisering har gjort os sårbare. Vi kommer ikke disse sårbarheder til livs hverken i dag eller i morgen. Derfor må vi vænne os til, at vi skal være robuste overfor digitale sårbarheder.

EN NY STRATEGI

Cybertrusler skaber opblødning i afgrænsningen mellem myndigheders traditionelle rolle- og ansvarsfordeling. Digitalisering medfører eksempelvis et paradigmeskift mellem ‘militær overfor politi-‘ og ‘national sikkerhed overfor kriminalitet’. Derudover er der bevægelse i afgrænsningen mellem myndigheder og private, – et skifte i relationen mellem ‘stat overfor privat’.

Digitalisering sætter altså skred i en række centrale traditionelle paradigmer. Noget tyder på, at digitalisering skal forvaltes i et mere holistisk perspektiv. Mens vi venter på regeringens nye strategi for cybersikkerhed, må vi håbe, at den længe ventede udmelding fra regeringen besvarer nogle helt centrale udfordringer ved digitalisering af samfundet.

TVÆRSEKTORIEL ANSVARSFORDELING

Det digitale domæne opløser de traditionelle afgrænsninger mellem organisatoriske og faglige skel. Det er en ny politisk virkelighed vi skal lære at navigere på kryds og tværs i nye netværk for samarbejde.

Tilvejebringelse af robusthed overfor sårbarheder i det digitale domæne er først og fremmest en tværsektoriel opgave. Det kræver en tværsektoriel indsats at forsvare nationens digitale infrastruktur. Det kræver samarbejde mellem forsvar, politi og civilsamfund.

Digitalisering stiller krav til politisk forståelse for konvergens i relationerne på tværs af et sikkerhedspolitisk deltagerfelt fra forsvars-, kriminalpolitisk og markeds- økonomisk diskurs.

I et kriminologisk narrativ kaldes denne konvergens mellem forsvar, politi og civilsamfund ‘The Security-Crime-Risk Continuum.’Se: Absent Guardians: Criminogenic Attributes in Virtual Reality

Denne teoretiske konceptuelle konstruktion bygger på den påstand, at robusthed i det digitale samfund skal tilvejebringes i et samspil på tværs af traditionelle skel. Konceptet inspirerer en holistisk strategisk tilgang, der er forudsætning for tilvejebringelse af ansvarlighed, robusthed og sikkerhed overfor de mange forskellige sårbarheder digitalisering har ført med sig.

En robust indsats overfor digitale sårbarheder tager derfor afsæt i tværsektoriel sammenhængskraft. Netop den tværsektorielle ansvarsfordeling i det nationale sikkerhedspolitiske samarbejde forekommer at være forudsætning i den danske nationale strategi for tilvejebringelse af cybersikkerhed.

FRAGMENTERING

Fragmentering af roller, ansvar og ressourcetildeling, synes at hæmme det tværsektorielle samarbejde og har til dels kortsluttet implementering af intentionerne i cyberstrategien fra 2014.

Søjletænkning og bunker-mentalitet har domineret den sektor-specifikke tilgang til cybersikkerhed. Det gælder både tværministerielle samarbejde på tværs mellem offentlige myndigheder og samarbejdet mellem offentlige – private partnere.

Det koster tid og penge at opnå resultater i samarbejde på tværs. Digitalisering er gået meget hurtigt og der har ikke været afsat tilstrækkelige midler til at tænke robusthed og sikkerhed med ind i digitalisering af vitale samfundsfunktioner. Der mangler overblik og der mangler ressourcer. Det gør os meget sårbare lige nu.

OVERBLIK

Tilvejebringelse af robusthed overfor kritiske sårbarheder i digital infrastruktur er en opgave, der skal løftes i flok hos den skarpe ende i de enkelte sektorer, men skal styres centralt. Regeringens nye strategi bør skabe centralt overblik over denne proces.

Den nye strategi skal udpege en central myndighed, som kan skabe et tværsektorielt overblik og styre processen overfor myndigheder og virksomheder i de enkelte sektorer. Centralisering har til formål at klarlægge de strategiske målsætninger for digital robusthed og tilse at krav overholdes og valideres. Samtidig skal der opbygges en central funktion, der skal fungere som samlingspunkt for indrapportering af cyberhændelser.

Dette gælder især, når vi taler om tilvejebringelse af robusthed og sikkerhed i kritiske samfundsfunktioner.

BESKYTTELSE AF KRITISKE INFRASTRUKTURER

Kritiske infrastrukturer er alt det, som får det hele til at hænge sammen. Det, der skal bruges til at få det hele til at hænge sammen var tidligere statens ejendom og statens ansvar. Det er det ikke længere. Ejerskab af kritiske samfundsvigtige funktioner er i høj grad uddelegeret til både nationale og internationale private virksomheder. Det skubber til nogle af de helt centrale sikkerhedspolitiske paradigmer, såsom ‘national overfor international’ og ‘intern overfor ekstern sikkerhed’.
Udfordringen er, at nogle sektorer er mere sårbare end andre. Men enkelte sektorer har endnu ikke identificeret de mest alvorlige sårbarheder. Vi mangler generelt at udpege de funktioner, som er kritiske for samfundets robusthed og vi mangler at uddelegere ansvar og ressourcer til myndigheder og private leverandører af samfundskritiske funktioner. Den proces skal nødvendigvis foregå sektorvis – ellers mister vi overblikket. Vi skal gennemføre en proces med udgangspunkt i sektoransvarsprincippet.

Compliance er det centrale begreb for tilvejebringelse af robusthed i kritiske infrastrukturer – både sektorvis og tværsektorielt. I modsætning til en række andre lande, har Danmark ikke en formaliseret central definition af begrebet kritiske infrastrukturer. Denne opgave er løst overdraget til en individuel tolkning af begrebet i de enkelte sektorer.

Dette forhold kunne anskues ud fra den betragtning, at man i strategien fra 2014 centralt tilgodeser dynamiske sektorspecifikke løsninger. Men udgangspunktet for den dynamiske tilgang er snarere betinget af det faktum, at vi ikke i tilstrækkeligt omfang har afsat ressourcer til opgaven.
Grundet manglende ressourcer er tilvejebringelse af robusthed og sikkerhed i digitale kritiske infrastrukturer blevet nedprioriteret i konkurrencen med andre opgaver hos de sektoransvarlige myndigheder.

GLOBAL PLACERING

Digitale sårbarheder i kritiske infrastrukturer skal anskues globalt. Danmark er blandt de mest digitaliserede samfund i verden. Men vi er ikke blandt de bedste, når vi skal måles på robusthed overfor digitale sårbarheder. Ifølge en FN-opgørelse er Danmark helt nede på en 34.-plads internationalt. Netop på grund af den fremtrædende position, hvor vi har gennemført en omfattende digitalisering af samfundet, er vi også mere sårbare end de fleste.
Indenfor de fem søjler i FN’s globale indeks, der måler kvaliteten af sikkerhed og robusthed i staters håndtering af digitale sårbarheder får Danmark dumpekarakter. Regeringens nye strategi skal derfor løse specifikke udfordringer ved manglende sektorspecifik lovgivning, udestående national strategiudvikling, fejlbehæftet tværsektoriel sammenhængskraft, dysfunktionelt offentligt-privat samvirke og diffus kapacitetsopbygning. I en global sammenligning kan man konstatere, at Danmark halter bagud.
På cyberområdet drives den danske nationale sikkerhedspolitiske dagsorden frem af forordninger og direktiver i NATO eller EU regi. Tilvejebringelse af robusthed overfor digitale sårbarheder har i en årrække været genstand for stor bevågenhed internationalt. Danmark har forpligtigelser i relation til det internationale samarbejde på cyberområdet. Forsvars- og sikkerhedspolitiske initiativer fra det internationale samarbejde skal udmøntes i dansk følgelovgivning. Denne proces er ikke altid gnidningsløs, når nationale interesser kommer i spil. Den seneste polemik omkring EU’s GDPR og den danske følgelovgivning omkring persondatabeskyttelse er et aktuelt eksempel.
En status på dansk robusthed vil uden tvivl vise, at nogle sektorer er godt forberedt. Andre sektorer har basale processer og certificeringer på plads – der muligvis kræver opdatering. Men størstedelen af danske virksomheder vil være helt blanke. Det gælder opfyldelse af krav indeholdt i EU’s retningslinjer for persondatebeskyttelse, GDPR, men i skyggen af persondatalovgivningen ligger EU’s NIS-Direktiv og lurer. Direktivet har afgørende indflydelse på, hvorledes robusthed og sikkerhed indføres i kritiske infrastrukturer fremover.

GDPR & NIS-DIREKTIVET

Danmark har tilsluttet sig NIS-Direktivet, der ligesom lovgivning for persondatabeskyttelse også træder i kraft i maj 2018. Når vi fokuserer på beskyttelse af kritiske infrastrukturer, bliver NIS-Direktivet omdrejningspunkt for den videre proces.
Direktiv for Sikkerhed i Net- og Informations systemer (NIS-Direktivet) er EU’s værktøj til at fremme digital robusthed i alle EU medlemslande og dermed fremme cybersikkerhed i EU generelt.
Direktivet pålægger medlemslandene at identificere operatører af vitale samfundsfunktioner samt at sikre, at de lever op til en række krav. Direktivet har særlig fokus på digitale sårbarheder. Det kan forventes, at indholdet i direktivet implementeres i den kommende danske strategi for cybersikkerhed. Med udgangspunkt i sektorprincippet skal de respektive ansvarlige ministerier både opstille krav og kriterier til operatører i den kritiske infrastruktur og føre tilsyn med, at operatørerne efterlever sektorspecifikke krav til net – og informationssikkerhed.

CENTRAL STYRING – DECENTRAL IMPLEMENTERING

I den sektorspecifikke proces vil der være stort behov for en centraliseret styring. Det gælder først og fremmest en central formulering og opstilling af krav og kriterier for kritiske infrastrukturer. Dernæst skal der fra centralt hold tildeles ressourcer til implementering af strategi og NIS-Direktiv i de enkelte sektorer.
Uden ressourcer vil udmøntningen af en dansk strategi for cybersikkerhed blive forsinket, muligvis med fortsatte store direkte og indirekte tab hos både offentlige og private i forbindelse med kompromittering af sårbarheder i den kritiske infrastruktur.

En del af kravene til myndigheder og operatører er, at de introducerer ledelsesprocesser i henhold til ISO 27001. Dette vil give operatører og myndigheder i de enkelte sektorer stor indsigt i deres eget beredskab. De enkelte sektorer har den bedste viden og kompetencer til at skabe muligheder for at øge robusthed mod digitale sårbarheder. ISO standarden vil være et fælles udgangspunkt for en sektorspecifik indsats. Men standarden giver ikke nødvendigvis et tværsektorielt overblik. Derfor er det nødvendigt med et organ, der skaber overblik og koordinerer processen.
Overblik, koordination, ansvars – og ressource-tildeling synes at være centrale udfordringer i implementering af nye strategier for sektorspecifik digital robusthed. De forskellige sektorer kan derfor risikere, at forståelse og prioritering af opgaven fragmenteres, når den nationale strategi skal implementeres. Den nye nationale strategi skal løse disse udfordringer i de enkelte sektorer.

Samme udfordringer gør sig gældende i det tværministerielle samarbejde. De essentielle krav til en vellykket tværministeriel implementering af den kommende strategi for cybersikkerhed fordrer etablering af en central myndighed, der skaber overblik og koordination; en centraliseret udpegning af kritiske infrastrukturer, som støtte for en decentraliseret implementering. Og endelig en central fordeling af omkostninger til virkeliggørelse af strategien.

Den nationale strategi skal tilføre en overordnet sikkerhedspolitisk tilgang til sikkerhed for alle i det digitale domæne. Den skal skabe et nyt sikkerhedspolitisk paradigme. Her er ‘robusthed overfor sårbarheder’ et afgørende bud på et overordnet agilt paradigme. I et globalt og fælleseuropæisk perspektiv er resiliens det begreb, som lettest fører til en diskussion af en national implementering af NATO og EU målsætninger om et ‘Robust og sikkert samfund.’

RESILIENS SOM STRATEGISK PARADIGME

Til trods for den udbredte anvendelse af begrebet, eksisterer der ingen fælles definition af resiliens på tværs af forskellige fagområder, såsom psykologi, økologi, sociologi, statsvidenskab, militære studier, kriminologi, jura, økonomi og teknologi. Begrebet bliver i forskellige sammenhænge oversat til robusthed, modstandsdygtighed, bæredygtighed, forandringsparathed, eller forsvars- og restitutionsevne. I mangel på en præcis tværfaglig definition kan resiliens antage karakter af ‘Buzzword’.

Alligevel anvender både NATO, EU og nationale strategier i en række lande begrebet i deres svar på udfordringerne i det digitale domæne. Se: RESILIENS SOM STRATEGISK PARADIGME

Resiliens – eller robusthed – indeholder den hypotese, at vor verden er blevet kompleks. Antallet af forskellige sårbarheder er omfattende. Det har i sig selv en eskalerende effekt, at tale om mange alvorlige cyberhændelser ud fra en trusselsterminologi. Det er blevet umuligt at beskytte os selv overfor dem alle – endsige forhindre, at de sker.

Vi må betragte cyberspace som et risikofyldt digitalt domæne, hvor det er centralt at sætte øget fokus på egne sårbarheder, gensidig afhængighed og resiliens. Frem for at tale om strategier for afskrækkelse skal vi arbejde med forvaltning af risici. Se: SIKKERHED FOR VÆKST

I denne sammenhæng er robusthed et antonym til sårbarhed. Robusthed indeholder et løfte om, at uanset hvad der sker, så har vi en idé om, hvordan vi kommer videre.

Mange tak til John Michael Foley, COPITS og Altinget for stor inspiration og tilskyndelse til denne artikel.

Reklamer

Skriv et svar

Please log in using one of these methods to post your comment:

WordPress.com Logo

Du kommenterer med din WordPress.com konto. Log Out /  Skift )

Google photo

Du kommenterer med din Google konto. Log Out /  Skift )

Twitter picture

Du kommenterer med din Twitter konto. Log Out /  Skift )

Facebook photo

Du kommenterer med din Facebook konto. Log Out /  Skift )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.