PET konference om cybertrusler og cybersikkerhed

Jeg har fornøjelsen af at være moderator på en konference, som Politiets Efterretningstjeneste (PET) afholder nu idag mandag, den 24. oktober 2011 om cybertrusler og cybersikkerhed. Udover at der bliver lejlighed til - for første gang for mit vedkommende - at høre vores nye justitsminister, Morten Bødskov, så kommer der indlæg fra flere interessante udenlandske oplægsholdere, for eksempel den estiske præsident Toomas Ilves, Martin Howard, der er Director of Cyber Policy hos GCHQ og Bjørn H. Vangen, der er hovedbibliotekar og it-ansvarlig på det norske Nobelinstitut.

Cybersikkerhed er helt overordnet et spørgsmål, som jeg har interesseret mig for i længere tid, og som jeg blandt andet har været involveret i qua min deltagelse i flere omgange i det nu daværende IT- og Telestyrelsens it-sikkerhedsråd og it-sikkerhedskomite. Lejligheden til at moderere på en konference, som netop PET afholder, giver anledning til flere efter min opfattelse interessante betragtninger.

Konferencen kan måske ses i lyset af et behov hos  PET for mere åbenhed i forbindelse med at sikre os alle overfor trusler særligt i forbindelse med ekstremisme og terrorangreb En dose af "mere åbenhed" - og jeg understreger her, at disse bemærkninger alene står for egen regning - kan være relevant i følgende sammenhænge, når vi taler om PET og arbejdet med at sikre mod terrortrusler og lignende.

For det første er det i forbindelse med både cyberterrorisme og traditionel terrorisme, hvor der i altafgørende stigende grad rekrutteres og organiseres via internet, nødvendigt at forholde sig til, at disse aktiviteter netop foregår gennem det kvintessentielle åbne netværk, nemlig Internet.

Både forudgående overvågning og efterfølgende efterforskning foregår via et åbent netværk, hvorfor de midler, som PET har til rådighed er fundamentalt anderledes end, hvad man ville have haft til rådighed, hvis der var tale om lukkede fora og lukkede netværk.

Hvad dette betyder for balance mellem på denne side effektivt efterretningsarbejde og på den anden side respekt af borger- og menneskrettigheder er ikke til behandling på konferencen. Ikke desto mindre har jeg nogle bemærkninger herom til sidst i indlægget.

For det andet giver en konference om cybertrusler og - kriminalitet anledning til at foretage en realistisk vurdering af, hvilken information, som offentlige som såvel private virksomheder finder det kritisk at beskytte mod trusler. I et lukket og kontrolerbart netværk kan man klassificere stort set al information som kritisk, og så vælge at forsøge at sikre denne information mod angreb. I det åbne netværk er situationen en anden.

Da Internet bruges til udveksling af informationer om stort set alle erhvervsmæssige og personlige formål, er mængden af information så stor og omfattende - og stadigt voksende - at det i sagens natur er umuligt at søge al information beskyttet. Herudover er realiteten også den, at der heller ikke er behov for at beskytte al information.
Sagt på en anden måde bør alle offentlige og private virksomheder foretage en realistisk vurdering af, hvilke informationer er så kritiske, at det er nødvendigt at disse beskyttes mod cyberkriminalitet. Kun ved at foretage en sådan vurdering og ved positivt at afgrænse disse informationer i forhold til ukritiske informationer, er det realistisk at tro, at man effektivt kan værne de således omfattede kritiske informationer mod udefra kommende trusler.

Endelig er det for det tredje spændende i forbindelse med konferencen at drøfte samspillet mellem det offentlige og det private i relation til imødegåelse af cyberkriminalitet og -trulser. Internet er ikke blot et åbent netværk. Det er et netværk med en høj grad af distribueret intelligens- og beslutningskompetence. Styrken i Internet ligger ikke i, at viden og beslutninger er centraliseret i få netværksnoder, men at helt ude i periferien af netværket tages beslutninger og her oparbejdes og benyttes intelligensen i forbindelse med netværket.

Derfor kan man ikke imødegå trusler ved fra central side at "styre" begivenhedernes gang. Effektiv forebyggelse og efterforskning sker kun ved, at der indgås et samarbejde med alle netværksnoderne, der således kan være offentlige og private virksomheder.

Samspillet mellem offentlige og private virksomheder i forbindelse med imødegåelse af cyberkriminalitet bliver særdeles interessant, når der henses til de forskellige risikovurderinger, som man foretager som privat virksomhed overfor tilsvarende for en offentlig virksomhed. Offentlige virksomheder træffer ofte beslutninger på baggrund af, at enhver form for risiko må imødegås, uanset omkostningerne herved. Heroverfor står den private virksomhed, der ofte vil tillade en relativ høj grad af usikkerhed, når de forventede og afvejede omkostninger i forbindelse med disse risici er lavere end de marginale omkostninger ved at imødegå dem. Forholdet mellem kommerciel risikoafvejning og den afvejning, som den offentlige virksomhed skal foretage, når der står borgeres liv og død på spil, bliver interessant at drøfte på konferencen.

Til sidst tilbage til balancen mellem på denne side effektivt efterretningsarbejde og på den anden side respekt af borger- og menneskerettigheder.

De tekniske hjælpemidler, PET skal benytte sig af, og de lovgivningsmæssige rammer herfor, vil altid skulle foregå i balance mellem på den ene side hensynet til effektiv forebyggelse og efterforskning og på den anden side hensynet til både de borgerrettigheder, som er nødvendige at beskytte i forbindelse med et åbent netværk. Internet er i dag er afgørende for borgeres kommunikation med hinanden og vidensdeling. Herudover skal der tages hensyn til de omkostninger, som enhver form for lovgivning har i relation til driften og anvendelsen af Internet, som i dag er afgørende for næsten al kommerciel aktivitet i samfundet.