En løsningsfattig analyse fra Center for Cybersikkerhed

Forsvarsministeriet har netop udsendt en analyse af Center for Cybersikkerhed (CFCS) virksomhedsrettede cybersikkerhedsindsats. Desværre forholder analysen sig ikke til de kritikpunkter, der har været fremsat fra flere sider.

Efter lang tids venten har en analyse af CFCS’ erhvervsrettede cybersikkerheds­indsats endelig set dagens lys.

Hele formålet med analysen var fra politisk side at sikre, at CSFS kom til at yde den bedst mulige videndeling, rådgivning og vejledning, så flest mulige virksomheder, herunder også SMV’er, fik nytte af det.

Men ikke overraskende konkluderer Forsvarsministeriet, at CFCS ikke skal ændre sig særligt meget. Det mener IT-Branchen er en forkert konklusion.

En løsningsfattig analyse
Analysen, der er udarbejdet af Forsvarsministeriet, skal have ros for at indhente høringssvar fra de relevante erhvervs- og brancheorganisationer, herunder IT-Branchen. Desværre er det tydeligt, at man ikke har lyttet til de kritikpunkter, der er blevet fremført i høringssvarene.

”Analysen identificerer tre udfordringer, men kommer kun med ét løsningsforslag, der bare handler om at forklare, hvorfor tingene er, som de er. Men det løser jo ikke noget i forhold til de stigende cybertrusler, som erhvervslivet mødes med hver dag,” udtaler Jacob Herbst, CTO i Dubex A/S og medlem af det nationale Cybersikkerhedsråd samt forperson i IT-Branchens policy board for cybersikkerhed.

Analysen identificerer overordnet tre udfordringer i form af uklarhed om roller og ansvar for den virksomhedsrettede indsats, manglende videndeling og vejledning fra CFCS samt uhensigtsmæssigheder forbundet med CFCS’ dobbeltrolle som både rådgivende og tilsynsførende myndighed over for telesektoren.

Men det halter løsningssiden, hvor man fokuserer på CFCS’ begrænsninger i forhold til videndeling og opgaver, der udelukkende er rettet mod virksomheder, der understøtter samfundsvigtige funktioner.

Her havde IT-Branchen gerne set, at man kom med nogle konkrete løsningsforslag, så CFCS rent faktisk begyndte at hjælpe erhvervslivet i forhold til de stigende cybertrusler.

De nødvendige ændringer i CFCS skal hjælpes på vej
I IT-Branchen så vi, ligesom mange af de andre interessenter der har afgivet høringssvar, gerne, at CFCS blev styrket, så CSFS i højere grad kunne hjælpe virksomhederne med at forhindre og tackle aktuelle cybertrusler.

CFCS har allerede opbygget stærke kompetencer på cyberområdet og kan fungere som et væsentligt videncenter i kampen mod internationale cybertrusler. Det bør vi bygge videre på, og det kan sagtens ske indenfor den eksisterende organisering.

Men det kræver, at CFCS selv ønsker det, og at der også sker nogle lovmæssige ændringer.

”Det er ikke fair at kritisere CFCS for ikke at leve op til et mandat, som centret ikke har i dag. Så der er både behov for ændringer i mandat og opgavebeskrivelse samt en kulturændring, hvis den erhvervsrettede cybersikkerhedsindsats skal styrkes, som det er ønsket fra erhvervslivet såvel som fra den politiske forligskreds,” siger Jacob Herbst.

Helt konkret ser IT-Branchen et behov for at give CFCS et udvidet mandat og skabe en kulturændring i organisationen, så man ikke kun hjælper de kritiske sektorer i samfundet, men hele det brede erhvervsliv, herunder SMV’erne og den private it-sikkerhedsbranche.

Flere af de nødvendige tiltag er allerede beskrevet i diverse høringssvar og i selve analysen af CFCS. Det drejer sig blandt andet om en mere klart beskrevet opgavevaretagelse, herunder også målrettet SMV’erne, og et mere formaliseret samarbejde med den private sektor.

For at styrke videndelingen mellem CFCS og virksomhederne er der først og fremmest behov for mere åbenhed og deling af de data, der indsamles fra virksomhederne vedr. oplevede cybertrusler. Samtidig bør CFCS være forpligtet til at sikre en øget, hurtigere og en mere konkret videndeling i en let tilgængelig form.

Endelig er der behov for en mere systematisk informationsdeling og et styrket samarbejde med it-sikkerheds­branchen. Det kunne f.eks. være via et formelt samarbejdsforum eller via en indsats som den beskrevet i analysen, hvor man i Storbritannien fast har relevante, sikkerheds­godkendte medarbejdere fra it-sikkerhedsfirmaer til rådighed, der kan samarbejde tæt med UK centret og tilgå klassificeret viden.

”Vi mener sagtens, at man kan beholde det nuværende organisatoriske setup, men til gengæld lave nogle ændringer, så man kan hjælpe langt flere både store og små virksomheder i forhold til cybertruslerne. Vi anbefaler, at man kigger mod England, hvor de med succes har integreret den civilrettede indsats i deres efterretningstjeneste i en fælles organisation,” slutter Jacob Herbst.