Politikere vil forbedre Center for Cybersikkerhed gennem kommunikation og åben kultur: ”Det er billigt sluppet uden om en ret markant kritik”
For nylig kunne Forsvarsministeriet præsentere en længe ventet analyse af Center for Cybersikkerheds samarbejde med virksomheder. Problemerne er blevet analyseret, og både Forsvarsministeriet og forsvarsforligkredsen konkluderer, at de skal løses gennem ”målrettet kommunikationsindsats og en mere åben kultur.” Men det ignorerer det grundlæggende problem, mener eksperter og organisationer, der havde håbet på en omorganisering af centret.
Af Emil Mouritsen & Emilie Gammelgård Jørgensen
DSB. Mærsk. VIA. Aalborg Lufthavn. Det er blot nogle af de virksomheder og institutioner, der de sidste år har været udsat for cyberangreb. Angreb, der udgør en trussel mod både dansk sikkerhed og danske virksomheder. Danmark er et af de mest digitaliserede lande i verden – men det stiller krav om en god cybersikkerhed, og her halter Danmark bagefter. I FN’s Global Cybersecurity Index fra 2020 rangerer Danmark kun på en 32. plads. Det har medført et fokus på behovet for en øget cybersikkerhedsindsats.
En problematisk opstart
Det er ud fra et ønske om at styrke den danske cybersikkerhed, at der i 2012 opstår politisk initiativ til at oprette en national sikkerhedsenhed, der skal forsvare Danmark mod cyberangreb. På det grundlag oprettes Center For Cybersikkerhed. Centret bliver placeret under Forsvarets Efterretningstjeneste og får samtidig til opgave at arbejde med myndigheder og private virksomheder, som varetager samfundsvigtige funktioner.
Allerede her går det dog galt ifølge John Michael Foley. Han er tidligere IT- og sikkerhedsekspert i Forsvaret, og var med til at starte CFCS op:
”Opgavebeskrivelsen var så bred og intetsigende, at man ikke kunne bruge den til noget.”
Det medførte ifølge Foley, at der manglede en plan for centrets opgaver. Samtidig undlod man at tage stilling til de problemer, en placering under FE kunne skabe. Det forsøgte Foley at råbe op om, mens han sad ved CFCS:
”Noget af det første, jeg sagde, var, at vi skulle have en klar strategi. Det blev ikke til noget, og efter et par år fik jeg nok.”
Foley er ikke den eneste, der har udtrykt bekymring. Et gennemgående tema i den vedvarende kritik af CFCS er, at centrets placering under FE medfører, at vigtig information tilbageholdes fra de virksomheder og myndigheder, som centret ellers skal vejlede. Det fortæller Jørn Guldberg, IT-sikkerhedsekspert hos IDA:
“Det er et kendt problem, at centret er så lukket. Det gør det svært at have en dialog, og så kan vi ikke få udbredt den nødvendige viden om, hvor vi skal beskytte os, og hvor de ser truslerne.”
John Foley var med til at starte CFCS op, men var allerede dengang kritisk overfor organiseringen. Foto: Emil Mouritsen
Organisering skaber hemmelighedskræmmeri
Centrets tendens til hemmeligholdelse har et juridisk og organisatorisk grundlag. I 2014 vedtager Folketinget Loven om Center for Cybersikkerhed. Den fastslår, at centret med sin placering under FE er undtaget fra store dele af Offentligheds- og Forvaltningsloven. Det betyder, at centret kan undlade at dele meget af den information, myndigheder ellers skal oplyse om. Ifølge Christian von Stamm Jonasson, chefkonsulent for Dansk Erhverv, er det netop tilknytningen til FE, der påvirker CFCS’ arbejde:
”Placeringen under Forsvarets Efterretningstjeneste har naturligvis en betydning. Det giver en grad af den lukkethed og hemmeligholdelse, der er brændt så dybt ind i efterretningstjenestens DNA.”
Ifølge Jonasson er det blandt andet den kultur, der skaber problemer for virksomheder, der skal vejledes af centret. Den betyder helt konkret, at de ikke kan få nok viden om potentielle cyberangreb:
”En af vores virksomheder fik at vide, at der var en trussel mod en af deres ledere. Center for Cybersikkerhed henvendte sig med efterretninger om, at der var nogle aktører, som havde udset sig personen. Da virksomheden efterspurgte viden om aktørerne og den konkrete trussel, var meldingen blot, at det kunne man ikke sige noget om.”
I Danmarks største erhvervsorganisation, Dansk Industri, har man lignende oplevelser. Det fortæller Morten Rosted Vang, fagleder for digital ansvarlighed og cybersikkerhed ved DI. Han understreger, at der er meget blandede oplevelser med CFCS. Nogle af DI’s medlemmer har oplevet god hjælp fra centret, når de har været ramt af cyberangreb. Andre ønsker sig dog mere videndeling:
”Center for Cybersikkerhed ønsker, at virksomhederne videndeler med centret, når de udsættes for angreb. Det er en rigtig god idé. Det er vigtigt, at der er fælles viden omkring de cybertrusler, der er. Virksomheder vil dog gerne have noget igen, for hvad sker der ellers med det, man indberetter? Hvad er værdien af det i sidste ende?”
Den manglende videndeling skyldes ifølge Vang også, at CFCS’ organisering og lovgrundlag kun pålægger centret at hjælpe virksomheder med samfundsvigtige funktioner. Det giver også problemer:
”Selvom centret ikke har en direkte hjemmel, der pålægger dem at vejlede og rådgive det resterende erhvervsliv, så der er stadig et stort behov fra virksomhedernes side.”
Hos DI repræsenterer man over 18.000 virksomheders interesser. Foto: Emilie Gammelgård Jørgensen
Kan påvirke dansk cyberforsvar
Ifølge Boris Düdder, professor i Software, Data, People & Society ved Datalogisk Institut på Københavns Universitet, er disse oplevelser et godt eksempel på de dilemmaer, placeringen under FE skaber:
”Forsvarets Efterretningstjeneste er trænet i at holde ting hemmeligt. Så snart man involverer civile parter, risikerer man lækage. Det kan være meget vigtigt, at det ikke kommer ud, at CFCS sidder med den viden, de gør – og derfor vil de tit prioritere at hemmeligholde information over at hjælpe virksomheder.”
Düdder vurderer også, at den prioritering kan påvirke den generelle cybersikkerhed i Danmark:
”Det kan jo være svært at spå noget om omfanget, fordi det er klassificeret information – men i teorien er det jo en prioritering, der kan påvirke alle, og det rammer særligt den civile cybersikkerhed.”
Foley understreger, at der skal tages hånd om problemet. Han ser en naturlig kobling mellem CFCS’ udfordringer og dansk cybersikkerheds dårlige rangering:
”FN rangerer landene ud fra forskellige parametre. Der, hvor Danmark virkelig dumper, er samarbejdet mellem myndigheder og virksomheder.”
Undersøgelse skabte håb om fornyelse
I 2021 gav kritikken pote. Et politisk flertal besluttede at undersøge mulighederne for at opsplitte Center for Cybersikkerhed, så man også fik en civil afdeling med ansvar for samarbejdet med erhvervslivet. Man nedsatte derfor en kommission, der skulle kortlægge centrets virksomhedsrettede indsats.
Som en del af analysen har Forsvarsministeriet henvendt sig til de store erhvervsorganisationer som DE og DI, og Jonasson og Vang har afgivet høringssvar på deres organisationers vegne. Høringssvarene bygger på samtaler med medlemsvirksomheder om deres oplevelser med CFCS. Ifølge Vang har DI hørt cirka 50 forskellige medlemmer. Hos DE fortæller Jonasson, at cirka 30 af de adspurgte medlemmer oplever problemer med CFCS.
En mangelfuld analyse
I februar i år kom den længe ventede analyse så. I en 30 sider lang rapport konkluderer Forsvarsministeriet, at der er problemer med Center for Cybersikkerheds vejledning, videndeling og ansvarsfordeling, for så vidt angår samarbejdet med danske virksomheder.
Der er dog ikke noget, der tyder på, at CFCS i fremtiden skal opdeles i en civil og en militær enhed. I stedet konkluderer analysen, at der i fremtiden bør lægges vægt på kommunikationen og en åben kultur mellem centret og virksomhederne. Denne løsning betoner chefen for CFCS, Thomas Flarup, også, og forsvarsforligkredsen melder i samme ombæring ud, at den er enig i at efterleve konklusionen.
Det har affødt blandede reaktioner fra erhvervslivet. IT-Branchen har på deres hjemmeside kritiseret analysen for at være løsningsfattig. Vang fremhæver på vegne af DI, at den har for snævert et fokus på Forsvarsministeriet og på at beholde CFCS inden for ministeriets ressortområde – også selvom DI byder ideen om mere kommunikation velkommen:
“Det synes vi jo er positivt – men det kræver måske lidt mere end bare mere kommunikation, selvom vi oplever en større samarbejdsvillighed fra centrets side. Det store problem med analysen er, at den ikke kigger på tværs af myndighedsområdet.”
Düdder vurderer også, at der mangler konkrete løsninger i analysen:
”Jeg er sådan set helt enig i konklusionen. Mere gennemsigtighed er vigtigt og tillidsopbyggende – men problemet er, at det ikke er tydeligt, hvordan man vil opnå det.”
Åbenhed er godt, omorganisering bedre
Også hos DE ser man frem til mere kommunikation – men den tager ikke hånd om de grundlæggende problemer, mener Jonasson:
”Det er billigt sluppet udenom en ret markant kritik. Man har identificeret, at der er nogle udfordringer – men i stedet for at løse dem, så laver man symptombehandling. Det lugter lidt af, at der er givet et fripas. Man tager jo ikke fat i det grundlæggende problem, der handler om organisering.”
Jørn Guldberg mener også, at det er centrets organisering, der ender med at spænde ben – derfor er det oplagt at skabe åbenhed og dialog ved at lave en ny organisering:
”Der bør være en parallel organisation i et civilt regi. Det kunne gøre det muligt at offentliggøre mere, end man er i stand til, når det ligger under militæret.”
Behovet for en parallel civil organisation understreges også af Foley og Düdder. I sidstnævntes optik er det den bedste måde at løse et kompliceret problem:
”I min optik er der ikke nogen nem måde at løse problemet på uden at splitte centret op.”
Til udlandet efter den gode løsning
Hvordan en eventuel omorganisering ville tage sig bedst ud, er der ikke nogen, der tør sige. Ifølge Vang anerkender DI, at CFCS’ placering under FE giver centret vigtig viden, de ellers ikke har adgang til. Han peger dog på, at man kunne lære af andre landes gode erfaringer med at koordinere cybersikkerhed på tværs af myndigheder. Det giver mulighed for at vejlede mere og flere:
”I Israel er der god koordination mellem de klassificerede og civile dele af myndighedsområdet, så der kan foregå større videndeling.”
Düdder advarer mod, at arbejdet fordeles på for mange myndigheder, da det kan skabe forvirring. Samtidig understreger han, at det er vigtigt at skabe gennemsigtighed gennem tilsyn med CFCS. Han mener dog, at en opdeling i en civil enhed ville kunne fungere:
”I USA, Frankrig og Tyskland har man statslige centre med ansvar for civilsamfundet. Herhjemme kunne man også overveje at splitte centret op i to separate dele, der kunne arbejde tæt sammen og dele information med hinanden. Det ville ikke fjerne problemet, men det ville bestemt hjælpe.”
Center for Cybersikkerhed er blevet forelagt kritikken, men har ikke ønsket at kommentere.