21. marts 2018

Center for cybersikkerhed bør ikke have al ansvaret for it-sikkerheden

Debatindlæg af Ph.d-stipendiat Kristoffer Kjærgaard Christensen (Institut for Statskundskab) i Altinget den 21. marts 2018.

Danmark er et af de mest gennemdigitaliserede lande i Kristoffer Kjærgaard Christensenverden. Det er gentagne gange blevet slået fast i debatten på disse sider i de forgangne uger.

Digitale teknologier gennemsyrer vores samfund – fra den kritiske infrastruktur til den enkelte borgers dagligdag og interaktion med såvel offentlige myndigheder som private virksomheder. Den teknologiske udbredelse og udvikling er således med til at gøre cybersikkerhed til en kompleks, dynamisk og diffus udfordring.

Det er disse karakteristika, der vanskeliggør traditionel sikkerhedspolitisk styring. Det, vi under ét ofte kalder “cybertruslen” passer simpelthen ikke uden videre ind i de kategorier, vi normalt organiserer vores samfund omkring, men går på tværs af politiske niveauer og rammer bredt på tværs af sektorer, myndigheder, virksomheder og borgere.

"Center for Cybersikkerhed spiller en væsentlig rolle i forhold til at imødegå avancerede, (ofte) statsstøttede angreb mod danske samfundsvigtige funktioner, men det er ikke hensigtsmæssigt at samle hele indsatsen for cybersikkerhed der.

Ph.d-stipendiat Kristoffer K. Christensen

Institut for Statskundskab

Cybersikkerhed er en mangeartet opgave

Cybersikkerhed er altså både en bred samfundsmæssig udfordring og en lang række forskellige, specifikke udfordringer.

Vi er derfor paradoksalt nok nødt til at forholde os til cybersikkerhed som en samlet samfundsmæssig problemstilling ved at sætte fokus på de mangeartede, lokale sikkerhedsudfordringer.

Vi er dårligt stillet, hvis vi behandler alle cybersikkerhedsspørgsmål ens. Med tanke på de allestedsnærværende digitale teknologier siger betegnelsen "cybersikkerhed" i sidste ende ikke ret meget i sig selv om et givent problems omfang og natur. Betegnelsen kan henvise til mange forskellige problemstillinger, som kræver vidt forskellige løsninger.

Center for Cybersikkerhed skal ikke have hele ansvaret

Derfor er det heller ikke hensigtsmæssigt at lægge alt ansvaret over på én myndighed eller samle det under ét politikområde.

Center for Cybersikkerhed spiller en væsentlig rolle i forhold til at imødegå avancerede, (ofte) statsstøttede angreb mod danske samfundsvigtige funktioner, men det er ikke hensigtsmæssigt at samle hele indsatsen for cybersikkerhed der.

Det vil ikke være ønskværdigt for os som samfund at samle det under en efterretningstjeneste med alle de udfordringer, som det medfører i forhold til politisk og demokratisk kontrol og åbenhed; og de vil næppe heller ønske ansvaret for den enkelte myndighed, virksomhed eller borgers sikkerhedsproblemer.

Den enkelte sektor og de aktører, som arbejder med og kender det pågældende område – det være sig myndigheder såvel som private aktører, er også nødt til at tage ansvar for at løfte udfordringen, øge bevågenheden og styrke indsatsen; særligt med tanke på, at sektoransvaret stadig er det bærende princip dansk cybersikkerhedspolitik.

Politisk cyberforum

På den anden side er der også behov for en tværgående koordinering af de lokale, sektorspecifikke indsatser.

Som blandt andet Birgitte Hass, direktør for IT-Branchen, ganske rigtigt har påpeget i et indlæg her på siden, er det spild af tid og dyrebare ressourcer, hvis ikke vi sørger for erfaringsudveksling og vidensdeling mellem de forskellige sektorer, myndigheder, virksomheder og interesseorganisationer.

På sundhedsområdet lægger den nye strategi for digital sundhed op til, at der skal oprettes et "politisk cyberforum", hvor den aktuelle trussel og indsatser på området kan drøftes og koordineres.

Dette tiltag kan med fordel udbredes de resterende sektorer, men også – og ikke mindst – løftes op på et samfundsmæssigt niveau med deltagelse fra såvel de forskellige offentlige myndigheder som det private erhvervsliv, interesseorganisationer og forsknings- og uddannelsesinstitutioner.

På samfundsniveau vil et sådant forum skabe en konkret platform for en løbende koordination, vidensdeling og debat om de strategiske beslutninger og prioriteringer med hensyn til cybersikkerhed (som jeg efterspurgte i min første kronik).

Det vil dermed også bidrage til at styrke sektorernes viden og kompetencer samt sikre en koordineret udmøntning af disse strategiske beslutninger og prioriteringer i konkrete tiltag i de enkelte sektorer.

Ved at skabe strategisk retning og bidrage til en koordineret indsats vil tiltaget også være med til at tydeliggøre ansvaret for håndteringen af de enkelte opgaver relateret til cybersikkerhed, som ellers kan fortabe sig i det komplekse og omskiftelige trusselsbillede.

Med andre ord kan et koordinerende strategisk forum hjælpe os med at navigere i spændingsfeltet mellem "cybertruslen" som bred samfundsmæssig udfordring og de specifikke, lokale problemstillinger, som den udgøres af.