Artikel top billede

Alle taler om internet of things - men Danmark har slet ingen IoT-sikkerhedsplan

Den nuværende danske cybersikkerheds-strategi indeholder ikke mange tanker omkring IoT-usikkerheder. Planen står til at blive fornyet inden længe, og selvfølgelig skal IoT med i den næste strategi, mener it-sikkerhedsekspert.

I Storbritannien har landets it-politikere sat sig sammen med fagfolk for at udarbejde en cybersikkerheds-strategi frem mod 2021.

Strategien indeholder mange områder og naturligvis også flere tanker om begrebet Internet of Things (IoT), da flere milliarder computerenheder i de kommende år bliver koblet på internettet.

Det tilvalg synes smart set i lyset af, hvor meget kaos løbske IoT-enheder kan skabe, hvis vi ikke holder øje med dem. Senest så vi IoT-enheder som webcams og printere lægge store online-tjenester som Amazon og Paypal ned.

Det kan du læse mere om her: Printere og videokameraer nyt mål for hackerne: IoT-udstyr lægger Amazon, Spotify og Twitter ned i stort angreb

Danmark har ingen IoT-plan

I Danmark har vi også en cybersikkerheds-plan

Den stammer fra 2014 og løber ud i år og står derfor til at blive forlænget. Derfor har Computerworld spurgt Digitaliseringsstyrelsen om, hvorvidt Danmark barsler med strategipunkter omkring IoT-sikkerhed som vores britiske naboer.

"Internet of Things indgår ikke som initiativ i den eksisterende strategi for cyber- og informationssikkerhed, som udløber ved årets udgang. Hvilke initiativer der skal indgå i den kommende strategi, er endnu ikke besluttet," fortæller kontorchef i styrelsen, Marlene Wiese Svanberg, til Computerworld.

Vi har efterfølgende spurgt formand for Rådet for Digital Sikkerhed, Rasmus Theede, om, hvorvidt han synes, at IoT bør være en del af den kommende it-sikkerhedsplan for Danmark.

Han mener, at IoT er så stort et område, at det generelt gennemsyrer sikkerhedsaspekter for borgere, virksomheder og den offentlige sektor.

"Det er jo klart, at vi ikke kommet udenom IoT, når eksempelvis offentlige hospitaler og private virksomheder skal risikovurdere deres it-sikkerhed. Det siger sig selv," forklarer Rasmus Theede.

Lidt af en papirtiger

Formanden for Rådet for Digital Sikkerhed forklarer også, at den kommende danske cybersikkeheds-strategi bør være noget mere fast i kødet end den nuværende ditto.

For vores aktuelle cybersikkerhedsstrategi indeholder 27 punkter, hvor det ifølge sikkerhedseksperten er noget nær umuligt at måle sig frem til, om vi er kommet sikkert i land med dem eller ej.

"Den eksisterende plan er lidt af en papirtiger, for vi er jo ikke rigtig kommet videre. Vi bør spørge os selv, hvad vores ambitionsniveau er på sikkerhedsområdet og så opstille målepunkter til at finde ud af, hvor langt vi er kommet med at opnå vores mål," siger Rasmus Theede.

Han mener samtidig, at den kommende cybersikkerhedsplan bør indeholde færre initiativer, men en dybere medfølgende indsats.

"I dag er det eksempelvis svært at ringe ind til politiet og få hjælp, hvis man har været udsat for it-kriminalitet, fordi der sidder for få it-folk ude i politikredsene."

"Så man kunne opstille klare mål for, hvordan vi skærper sikkerheden i offentlige it-systemer og få os et ordentligt anmeldelsessystem," foreslår Rasmus Theede.

Tag nu et ansva
Til dagligt sidder Rasmus Theede med i flere offentlige tænketanke omkring cybersikkerhed, og han siger, at der er kommet større åbenhed i staten omkring at inddrage borgeres og erhvervslivets erfaringer.

Alligevel mangler han, at der er nogen, der står på mål for en national cyberstrategi, som ved sidste udsendelse i 2014 havde ikke færre end otte ministre som afsendere.

"Cybersikkerhed er i dag fordelt på flere ministerier, hvilket gør, at det falder mellem flere stole. Jeg siger ikke, at vi nødvendigvis skal have en it-sikkerhedsminister, men et koordinerende organ ville klart være at foretrække," forklarer Rasmus Theede og fortsætter:

"På den måde undgår vi 200 små, symbolske initiativer, men får i stedet for nogle store, klare planer for, hvor vi skal sætte ind. Eksempelvis skal der jo også findes penge til at sikre vores it-systemer."

Netop økonomien i cybersikkerhed bliver med Rasmus Theedes ord ofte forklaret med, at "den skal findes inden for egne midler," hvilket i hans optik ikke er godt nok.

"Danmark er tvangsdigitaliseret land og det bedste i Europa, når det kommer til offentlig it-udrulning. Med digitaliseringen følger også sikkerheden, som der derfor bør afsættes betydelige ressourcer til via finansloven, ligesom det sker i det private erhvervsliv hvert år," runder han af.

Læs også:

Hacker-konference afslørede store sikkerhedsfejl: IoT er meget usikker - og logfiler bliver syltet

Internet of Things er en kæmpe sikkerhedstrussel: Vil store bøder være en løsning?