Nørgaard: Jeg var til seminar om kritisk infrastruktur og cybersikkerhed i går, og her er min nedslående beretning

Klumme: Jeg var med til Atlantsammenslutningens seminar om kritisk infrastruktur og cybersikkerhed i går, og det var en generelt nedslående oplevelse - men med enkelte lyspunkter. Her er min helt personlige beretning om oplevelsen.

Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.

Vær hilsede, I brave cyberborgere!

Dengang S-togene havde pap-reklamer hængende, var der specielt én af disse, jeg bed mærke i: Den var fra Berlingske Tidende og havde teksten "Hvis alt er kultur - hvad er Jytte Hilden så minister for?", hvilket var ganske sjovt.

Når vi som samfund identificerer noget, der går på tværs af en masse ting i samfundet, vælger vi relativt ofte at lave en stærk, statslig institution, under passende demokratisk kontrol, til at varetage dette. Kultur kunne være ét område. Miljøet et andet. Digital sikkerhed (digitalisering, cybersikkerhed, GDPR osv.) et tredje.

Men nej. Digitaliseringsstyrelsen (DigSt) hører under Ministeriet for Innovation, Moderniseringsstyrelsen (ModSt) under Finansminsteriet - nej, vent - den er flyttet over under Innovation - undskyld!, Statens IT (SIT) hører stadig under Finansen, NC3 hører under Rigspolitiet (RP) og Center for CyberSikkerhed (CfCS) under Forsvarets Efterretningstjeneste (FE).

DigSt har i øvrigt et kontor for cyber- og informationssikkerhed.

Derfor var der talere fra både FE og RP i går - torsdag d. 24. januar 2019 - på Hærens Officersskole (HO) aka Frederiksberg Slot.

Bag arrangementet stod tænketanken Atlantsammenslutningen, og der var fyldt til sidste stol. Politiken, Radio24syv og P1 var repræsenteret.

Den fjerde, men vigtigste, danske mediekoncern - Computerworld - havde sendt mig, da alle de professionelle og erfarne skribenter var nødt til at dække Y's forestående kæmpeopkøb af X, som Y håber vil give dem en ordentlig syg rebound i Dannevang. X og Y vil blive erstattet af rigtige firmanavne senere i dag, fredag. Hvis jeg når det. Jeg har frygteligt travlt.

Så dér sad vi og var spændte i det fantastiske lokale Rosen med udsigt over Frederiksberg Have og basunengle i det renoverede loft (den lokale Cloud).

Først fik vi en kort indgangsbøn ved formanden for Atlantsammenslutningen. Temaet var FUT - Frygt, Usikkerhed og Tvivl, hvilket er godt for en tænketank, der skal søge midler fra andre hele tiden. Mit favorittema ("Alt var værre, Alt er godt, Alt bliver bedre") er nok ikke ligeså velegnet.

For alarmister og andre populister, der skal skrabe penge og stemmer sammen til partier, foreninger og dem selv, er det ikke spor rart at vide, at der dør færre i Verden ifm. krige, konflikter, bandeopgør og terror i alt, end der dør af selvmord (og selvmordsraterne falder tilmed i alle lande, undtagen USA) eller at der dør færre i Verden af sult end af overvægt. Eller at 137.000 tages ud af fattigdom i døgnet - hvert døgn, nu på 25. år.

Så hellere råbe 'Ulven Kommer' hver dag, ligesom de fleste nyhedsmedier gør. At rapportere om uheld og rædselsfulde ting med nok så få ofre ses som en hellig pligt for enhver journalist, mens det at rapportere om gode ting og fremskridt anses for at være gratis PR for nogen, og det er derfor ikke noget, en god journalist skal beskæftige sig med.

Efter den korte FUT-tur blev ordet givet til Thomas Lund Sørensen (TLS) fra CfCS/FE.

Han fortalte, at alt er godt, og at CfCS er fantastisk.

Derpå fortalte han, at sektor-halløjet, som blev offentliggjort i sidste uge, var virkeligt godt.

Idéen er, kort fortalt, at de seks sektorer hver sætter sig sammen og bliver enige om a) hvad de skal gøre, b) hvordan de selv skal betale for det og c) at CfCS er fantastiske.

Der vil komme flere sektorer til. Vandforsyningen var én, og han præsterede at fortælle - imod bedre vidende - at det var så svært at hacke vandforsyningen fordi alt er så enormt gammeldags, at de ikke lige behøvede gøre noget nu. Der blev smågrinet a la tøhø.

På spørgsmålet om, hvorvidt der var tanker om at inkludere Beredskab, Politi og Forsvar, hvilket egentlig er et ganske godt spørgsmål, svarede han noget, som jeg simpelthen ikke forstod. Men han talte om det i et pænt stykke tid, måske fordi spørgsmålet kom fra den eneste tilhører i uniform. Jeg tror, de vil overveje det. Det er jeg glad for. Gider de ikke tage emnet "mad" med også?

På spørgsmålet fra John Foley, dansk officer og tidligere medarbejder i CfCS med meget mere, om, hvorfor der ikke var lavet den grundige og nødvendige afdækning af, hvad vi reelt har brug for i en krisesituation, som de selv i syv år har sagt var nødvendig, og som NIST-direktivet kræver - men i stedet har udpeget seks sektorer, som uden bevillinger selv skal finde ud af det hele, svarede TLS følgende:

- "John er tidligere medarbejder hos CfCS (skævt smil, a la "I ved, sådan en kværulant") og jeg havde ventet spørgsmålet (til hvilket John svarede "Jamen, så er du jo forberedt").

- "Du kan jo have din mening om NIST-direktivet, og jeg har min".

Øhm, nej, det har vi for længst forpligtet os til at overholde, kammerat. Det er et vigtigt, internationalt direktiv. I har bare ikke gjort det, I skulle.

- Så fulgte der en obfuskerende sniksnak om, hvad der egentlig forstås ved kritisk infrastruktur. Han angav et lattervækkende eksempel fra Frankrig og et fra USA (og noget med Hollywood, haha), mens han undlod at nævne de adskillige lande, der rent faktisk har gjort det rigtige (Holland, Belgien, Israel, Estland, etc.).

Hold da op.

Så gennemgik han det drakoniske lovforslag til ny lov for CfCS og fortalte, at det

1) nu var gjort gratis (det er sådan noget, der udgør et vigtigt argument omkring vores integritet, sikkerhed og demokrati, ikke?) og

2) var fyldt med gode intentioner og ville blive administreret af virkeligt gode mennesker, samt

3) at de kun ville opbevare virksomhedernes data i 13 måneder....

Faktisk skrev jeg ned, at han sagde, at det overhovedet ikke var meningen med lovforslaget at de vanvittigt vidtrækkende, og reelt diktatoriske, beføjelser, som de vil have ift. virksomheder og institutioner, skulle misbruges. Godt at vide. Vejen til clouden er belagt med gode intentioner og rare mennesker.

Det er jo godt at vide, når lovforslaget samtidig stort set afskaffer TET (Tilsynet med EfterretningsTjenesterne) og kun giver en sølle ankemulighed direkte til Forsvarsministeren, som herefter alene afgør ankens merit eller ej.

Det er godt at vide, fordi CfCS hører under FE, som hører under Forsvaret, som ikke skal følge almindelig dansk ret såsom Forvaltningsloven og den med aktindsigt.

Politikens kvikke rapporteur spurgte til "teknisk monitorering", hvilket vil sige, at CfCS kan kræve, at Novo (som TLS nævnte flere gange som en mulig kandidat til noget samfundskritisk/samfundsvigtigt) kan tvinges til BÅDE at få CfCS' sniffer sat på Den Store Router mellem virksomheden og internettet ("Det er sådan nærmest bare en almindelig firewall", sagde TLS) OG at få en sniffer sat på deres intranet.

Og se, netop den der til intranettet er interessant, for her kan de opbevare data lige så længe, de har lyst, OG de behøver ikke at informere nogen som helst om dette. Så Novos forskningschef vil eksempelvis intet ane om, hvad der gemmes af virksomhedens interne data og ej heller i hvor lang tid hos CfCS, med mindre man synes, han skal have det at vide.

Politikens mand spurgte også, hvorfor der nogle gange blev sagt samfundsvigtigt fremfor samfundskritisk? Det blev der ikke svaret på, omend der kom ord ud af munden på TLS i et stykke tid.

Det var ret vildt, og jeg tror, de fleste var lettere utilpasse bagefter.

Så var der pause.

Så var der en rar mand fra elforsyningen, der fortalte, at alt er godt, men selvfølgelig kan blive endnu bedre. Deres primære beredskabsplan er, at der sidder erfarne folk rundt om, der er parate til at reagere, hvis der sker noget. Det var vist en rigtig vigtig del af den nationale sektorstrategi på det område. Jeg kan tilføje for egen regning og fra egne kilder, at det meste af den sektor styres af simple regneark, som de parate folk med musen lige ved hånden (det nævnte han!) kan slå op i. Så det var stærkt beroligende.

Så var der pause.

Så gav chefen for NC3 både en række konkrete råd (det var fint og i orden) og en del FUT, krydret med bemærkninger om, at CfCS havde fået enormt mange penge, og at NC3 også håbede på dette. FUT er godt, hvis man vil have penge.

Til sidst fortalte min gode ven Lars Arne Christensen lidt om erfaringer fra Israel (check out deres Unit 8200 - det er virkelig en god idé, som vi burde kopiere) og kom med virkeligt gode tanker om borgernes ret til egne data, privacy by design, mv. Det var en rigtig, rigtig god måde at slutte det på, hvis I forstår (wink, wink, nudge, nudge)? Det gav håb.

Så var der udgangsbøn ved chefen for Atlantsammenslutningen, hvor han kørte lidt mere i FUT-toget, og så gik vi hjem.

Da en P1-gut havde interviewet mig, opdagede han til sin skræk, at både TLS og John Foley var stukket af, selvom de begge højtideligt havde lovet ham at vente og svare på nogle spørgsmål. Det kan være, de havde travlt.

Alt i alt var det sjovt at være med til, men jeg tror, jeg siger op. Det her job er for hårdt, og jeg får en meget, meget lav løn.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.



Premium
Huawei ville have skriftlig garanti mod udelukkelse på det danske marked - Udenrigsministeriet afviste
Kinesiske Huawei har anmodet om en skriftlig garanti mod udelukkelse på det danske marked. Anmodningen blev afvist af udenrigsministeriet, hvor argumentet lød, at det ikke var "kutyme" at give specifikke selskaber skriftlige tilkendegivelser om, hvorvidt de er velkomne til at gøre investeringer i Danmark.
Computerworld
Kinesiske TikTok lukker ned i Hong Kong efter indførelse af censur-lov
TikToks kinesiske moderselskab Bytedance lukker for adgang til den populære app i Hong Kong. Til gengæld vil en kinesisk version af appen fortsat være tilgængelig i Hong Kong
CIO
Torben Fabrin og Arla måtte på få dage omstille hele deres produktion da coronaen ramte
Da coronaen ramte verden måtte mejerigiganten Arla på få dage omstille sin produktion. Samtidig voksede salget massivt til supermarkeder mens institutioner og restauranter gik næsten i stå. Hør hvordan Arla kom gennem krisen ved blandt andet være klar med realtime analytics.
Job & Karriere
På jagt efter et it-job i Jylland? Her er 10 stillinger fra Aabenraa til Aalborg, der ledige netop nu
Vi har fundet en række spændende stillinger til dig, der jagter et it-job. Her kan du vælge og vrage mellem ledige stillinger lige fra Aabenraa til Aalborg.
White paper
Sådan: Giv medarbejderne frit valg og øg arbejdsglæden
Mange virksomheder udleverer stadig samme smartphone, laptop eller tablet til alle medarbejderne. Det kan koste dyrt på produktivitet, effektivitet, arbejdsglæde – og reelt også medføre ressourcespild, massivt øget administration og øgede sikkerhedsrisici. Men det behøver slet ikke at koste ekstra, hvis du giver medarbejderne indflydelse på, hvilke enheder de skal arbejde på. Tværtimod kan du med en gennemtænkt choose-your-own-device-aftale stille præcis det udvalg af enheder og tilbehør til rådighed, som både lever op til medarbejdernes forventninger og virksomhedens sikkerhedskrav.