Sådan ruster vi Danmark til en digital kold krig
Både offentlige og private virksomheder synes dårligt rustede til at modstå angreb fra russiske og andre fjendtligsindede cyberkrigere. Her er tre områder, hvor der bør handles omgående.
Hvor det for nuværende ikke synes at være sandsynligt, at russiske kampvogne vil rulle over den danske grænse, er der ingen tvivl om, at vi er en del af en ny kold krig, og risikoen for, at Rusland angriber Danmark virtuelt, har formodentlig aldrig været større.
I Danmark kan et russisk cyberangreb få særligt store konsekvenser, fordi vores infrastruktur er et af de mest digitaliserede i verden. It-sikkerhedseksperter har derfor i årevis råbt vagt i gevær. Desværre synes advarslerne mest at være blevet hørt som ulven kommer.
Først sidste år afsatte regeringen 770 mio. kr. til området, hvilket måske vil vise sig at være for sent. For nu står ulven – eller måske snarere bjørnen – for døren, og på Global Cybersecurity Index, rangerer Danmark som nummer bare 32, lige efter Kasakhstan. Derfor kan det næppe gå hurtigt nok med at stormsikre vores virtuelle forsvarsværker.
Først og fremmest bør vi sikre den samfundskritiske infrastruktur, således at f.eks. energi- sundhedssektoren er modstandsdygtig. Ifølge regeringens National strategi for cyber- og informationssikkerhed fra 2021 er 46 procent af de samfundskritiske it-systemer i staten i utilstrækkelig tilstand, og for ”en stor andel af it-systemerne er årsagen utilstrækkeligheder med den tekniske tilstand og/eller et utilstrækkeligt sikkerhedsniveau”.
Her kunne man indledningsvist hente inspiration i den amerikanske regerings Cybersecurity and Infrastructure Security Agency (CISA) guidelines.
Dernæst synes der at være et behov for at finde ud, hvordan dansk erhvervsliv sikres. Særligt de små- og mellemstore virksomheder (SMV’er) vurderes at være sårbare. Erhvervsstyrelsen anslår, at omkring 40 procent af danske SMV’er har et utilstrækkeligt digitalt sikkerhedsniveau, og hvis de bliver angrebet, vil det kunne få store konsekvenser, fordi nogle af disse virksomheder på den ene eller den måde også er en del af den kritiske infrastruktur.
Sidst bør vi sikre, at vi har it-sikkerhedseksperter nok i Danmark. I 2021 viste en undersøgelse, som blev udarbejdet af IT-Branchen, at mange HR-medarbejdere er ved at gå sukkerkolde i jagten på it-specialister; hele 89.9 procent af danske virksomheder vil gerne have flere it-folk ansat.
Manglen på it-specialister går ud over sikkerheden, både i forhold til at opbygget tilstrækkelige virtuelle forsvar, og til at sørge for, at de bliver vedligeholdt, opdaterede og prioriterede. Derfor bør der skrues op for uddannelse og forskning på området, således at it-sikkerhedsniveauet også langsigtet kan matche de høje ambitioner om at digitalisere alle hjørner af infrastrukturen og vores hverdag. Alt andet vil være uansvarligt.
Carsten Schürmann, professor, leder af Center for Information Security and Trust, IT-Universitetet
Jari Kickbusch, forskningskommunikatør, IT-Universitetet