Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.
Vær hilsede, I brave cyberborgere!
Dengang S-togene havde pap-reklamer hængende, var der specielt én af disse, jeg bed mærke i: Den var fra Berlingske Tidende og havde teksten "Hvis alt er kultur - hvad er Jytte Hilden så minister for?", hvilket var ganske sjovt.
Når vi som samfund identificerer noget, der går på tværs af en masse ting i samfundet, vælger vi relativt ofte at lave en stærk, statslig institution, under passende demokratisk kontrol, til at varetage dette. Kultur kunne være ét område. Miljøet et andet. Digital sikkerhed (digitalisering, cybersikkerhed, GDPR osv.) et tredje.
Men nej. Digitaliseringsstyrelsen (DigSt) hører under Ministeriet for Innovation, Moderniseringsstyrelsen (ModSt) under Finansminsteriet - nej, vent - den er flyttet over under Innovation - undskyld!, Statens IT (SIT) hører stadig under Finansen, NC3 hører under Rigspolitiet (RP) og Center for CyberSikkerhed (CfCS) under Forsvarets Efterretningstjeneste (FE).
DigSt har i øvrigt et kontor for cyber- og informationssikkerhed.
Derfor var der talere fra både FE og RP i går - torsdag d. 24. januar 2019 - på Hærens Officersskole (HO) aka Frederiksberg Slot.
Bag arrangementet stod tænketanken Atlantsammenslutningen, og der var fyldt til sidste stol. Politiken, Radio24syv og P1 var repræsenteret.
Den fjerde, men vigtigste, danske mediekoncern - Computerworld - havde sendt mig, da alle de professionelle og erfarne skribenter var nødt til at dække Y's forestående kæmpeopkøb af X, som Y håber vil give dem en ordentlig syg rebound i Dannevang. X og Y vil blive erstattet af rigtige firmanavne senere i dag, fredag. Hvis jeg når det. Jeg har frygteligt travlt.
Så dér sad vi og var spændte i det fantastiske lokale Rosen med udsigt over Frederiksberg Have og basunengle i det renoverede loft (den lokale Cloud).
Først fik vi en kort indgangsbøn ved formanden for Atlantsammenslutningen. Temaet var FUT - Frygt, Usikkerhed og Tvivl, hvilket er godt for en tænketank, der skal søge midler fra andre hele tiden. Mit favorittema ("Alt var værre, Alt er godt, Alt bliver bedre") er nok ikke ligeså velegnet.
For alarmister og andre populister, der skal skrabe penge og stemmer sammen til partier, foreninger og dem selv, er det ikke spor rart at vide, at der dør færre i Verden ifm. krige, konflikter, bandeopgør og terror i alt, end der dør af selvmord (og selvmordsraterne falder tilmed i alle lande, undtagen USA) eller at der dør færre i Verden af sult end af overvægt. Eller at 137.000 tages ud af fattigdom i døgnet - hvert døgn, nu på 25. år.
Så hellere råbe 'Ulven Kommer' hver dag, ligesom de fleste nyhedsmedier gør. At rapportere om uheld og rædselsfulde ting med nok så få ofre ses som en hellig pligt for enhver journalist, mens det at rapportere om gode ting og fremskridt anses for at være gratis PR for nogen, og det er derfor ikke noget, en god journalist skal beskæftige sig med.
Efter den korte FUT-tur blev ordet givet til Thomas Lund Sørensen (TLS) fra CfCS/FE.
Han fortalte, at alt er godt, og at CfCS er fantastisk.
Derpå fortalte han, at sektor-halløjet, som blev offentliggjort i sidste uge, var virkeligt godt.
Idéen er, kort fortalt, at de seks sektorer hver sætter sig sammen og bliver enige om a) hvad de skal gøre, b) hvordan de selv skal betale for det og c) at CfCS er fantastiske.
Der vil komme flere sektorer til. Vandforsyningen var én, og han præsterede at fortælle - imod bedre vidende - at det var så svært at hacke vandforsyningen fordi alt er så enormt gammeldags, at de ikke lige behøvede gøre noget nu. Der blev smågrinet a la tøhø.
På spørgsmålet om, hvorvidt der var tanker om at inkludere Beredskab, Politi og Forsvar, hvilket egentlig er et ganske godt spørgsmål, svarede han noget, som jeg simpelthen ikke forstod. Men han talte om det i et pænt stykke tid, måske fordi spørgsmålet kom fra den eneste tilhører i uniform. Jeg tror, de vil overveje det. Det er jeg glad for. Gider de ikke tage emnet "mad" med også?
På spørgsmålet fra John Foley, dansk officer og tidligere medarbejder i CfCS med meget mere, om, hvorfor der ikke var lavet den grundige og nødvendige afdækning af, hvad vi reelt har brug for i en krisesituation, som de selv i syv år har sagt var nødvendig, og som NIST-direktivet kræver - men i stedet har udpeget seks sektorer, som uden bevillinger selv skal finde ud af det hele, svarede TLS følgende:
- "John er tidligere medarbejder hos CfCS (skævt smil, a la "I ved, sådan en kværulant") og jeg havde ventet spørgsmålet (til hvilket John svarede "Jamen, så er du jo forberedt").
- "Du kan jo have din mening om NIST-direktivet, og jeg har min".
Øhm, nej, det har vi for længst forpligtet os til at overholde, kammerat. Det er et vigtigt, internationalt direktiv. I har bare ikke gjort det, I skulle.
- Så fulgte der en obfuskerende sniksnak om, hvad der egentlig forstås ved kritisk infrastruktur. Han angav et lattervækkende eksempel fra Frankrig og et fra USA (og noget med Hollywood, haha), mens han undlod at nævne de adskillige lande, der rent faktisk har gjort det rigtige (Holland, Belgien, Israel, Estland, etc.).
Hold da op.
Så gennemgik han det drakoniske lovforslag til ny lov for CfCS og fortalte, at det
1) nu var gjort gratis (det er sådan noget, der udgør et vigtigt argument omkring vores integritet, sikkerhed og demokrati, ikke?) og
2) var fyldt med gode intentioner og ville blive administreret af virkeligt gode mennesker, samt
3) at de kun ville opbevare virksomhedernes data i 13 måneder....
Faktisk skrev jeg ned, at han sagde, at det overhovedet ikke var meningen med lovforslaget at de vanvittigt vidtrækkende, og reelt diktatoriske, beføjelser, som de vil have ift. virksomheder og institutioner, skulle misbruges. Godt at vide. Vejen til clouden er belagt med gode intentioner og rare mennesker.
Det er jo godt at vide, når lovforslaget samtidig stort set afskaffer TET (Tilsynet med EfterretningsTjenesterne) og kun giver en sølle ankemulighed direkte til Forsvarsministeren, som herefter alene afgør ankens merit eller ej.
Det er godt at vide, fordi CfCS hører under FE, som hører under Forsvaret, som ikke skal følge almindelig dansk ret såsom Forvaltningsloven og den med aktindsigt.
Politikens kvikke rapporteur spurgte til "teknisk monitorering", hvilket vil sige, at CfCS kan kræve, at Novo (som TLS nævnte flere gange som en mulig kandidat til noget samfundskritisk/samfundsvigtigt) kan tvinges til BÅDE at få CfCS' sniffer sat på Den Store Router mellem virksomheden og internettet ("Det er sådan nærmest bare en almindelig firewall", sagde TLS) OG at få en sniffer sat på deres intranet.
Og se, netop den der til intranettet er interessant, for her kan de opbevare data lige så længe, de har lyst, OG de behøver ikke at informere nogen som helst om dette. Så Novos forskningschef vil eksempelvis intet ane om, hvad der gemmes af virksomhedens interne data og ej heller i hvor lang tid hos CfCS, med mindre man synes, han skal have det at vide.
Politikens mand spurgte også, hvorfor der nogle gange blev sagt samfundsvigtigt fremfor samfundskritisk? Det blev der ikke svaret på, omend der kom ord ud af munden på TLS i et stykke tid.
Det var ret vildt, og jeg tror, de fleste var lettere utilpasse bagefter.
Så var der pause.
Så var der en rar mand fra elforsyningen, der fortalte, at alt er godt, men selvfølgelig kan blive endnu bedre. Deres primære beredskabsplan er, at der sidder erfarne folk rundt om, der er parate til at reagere, hvis der sker noget. Det var vist en rigtig vigtig del af den nationale sektorstrategi på det område. Jeg kan tilføje for egen regning og fra egne kilder, at det meste af den sektor styres af simple regneark, som de parate folk med musen lige ved hånden (det nævnte han!) kan slå op i. Så det var stærkt beroligende.
Så var der pause.
Så gav chefen for NC3 både en række konkrete råd (det var fint og i orden) og en del FUT, krydret med bemærkninger om, at CfCS havde fået enormt mange penge, og at NC3 også håbede på dette. FUT er godt, hvis man vil have penge.
Til sidst fortalte min gode ven Lars Arne Christensen lidt om erfaringer fra Israel (check out deres Unit 8200 - det er virkelig en god idé, som vi burde kopiere) og kom med virkeligt gode tanker om borgernes ret til egne data, privacy by design, mv. Det var en rigtig, rigtig god måde at slutte det på, hvis I forstår (wink, wink, nudge, nudge)? Det gav håb.
Så var der udgangsbøn ved chefen for Atlantsammenslutningen, hvor han kørte lidt mere i FUT-toget, og så gik vi hjem.
Da en P1-gut havde interviewet mig, opdagede han til sin skræk, at både TLS og John Foley var stukket af, selvom de begge højtideligt havde lovet ham at vente og svare på nogle spørgsmål. Det kan være, de havde travlt.
Alt i alt var det sjovt at være med til, men jeg tror, jeg siger op. Det her job er for hårdt, og jeg får en meget, meget lav løn.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.