BREAKING:Preben Damgaard er død

Artikel top billede

(Foto: Francois Genon)

Der må ikke gå ”GDPR-træthed” i vores udrulning af NIS2.0

Klumme: Informationssikkerhedens svar på GDPR er på vej fra EU. Lad os benytte lejligheden til at løfte arbejdet med cybersikkerhed gevaldigt i Danmark i stedet for at se de øgede krav som en irriterende administrativ øvelse (ikke et ondt ord om GDPR…)

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

NIS2.0 er EU’s direktiv, der sætter standarder for informationssikkerhed i den kritiske infrastruktur i medlemslandene.

Der bliver tale om en voldsom opgradering fra 1.0 versionen.

Det betyder øgede krav og ikke mindst, at langt flere sektorer bliver omfattet og dermed tvunget til at komme i arbejdstøjet.

Og den aktuelle situation med krigen i Ukraine og Ruslands fremfærd i den forbindelse viser med al ønskelig tydelighed, at behovet for at beskytte vores kritiske infrastruktur er stort.

Ud over de fysiske angreb på blandt andet gasledninger i internationalt farvand og sabotage af de tyske jernbaner, er der nemlig skruet gevaldigt op for cyberangrebene på den kritiske infrastruktur.

Blandt andet melder de europæiske vandværker om et stigende antal cyberangreb, og Microsofts enhed for cyberefterretninger udgav i juni en rapport, der viste, at Rusland efter invasionen af Ukraine er gået målrettet efter at ramme Ukraines mange allierede i Vesten med cyberangreb.

Hele 128 forskellige mål i 42 lande var allerede blevet ramt blot fire måneder efter invasionen – og interessant nok var 16 procent af angrebene rettet mod de skandinaviske lande. Så det påvirker absolut også lille Danmark!

Lad os ”overimplementere” og få kommunerne med ombord

Jeg mener, at vi bør benytte NIS 2.0 som en kærkommen anledning til at få hele sikkerheden om vores kritiske infrastruktur op i gear – og ikke mindst, at vi skal ”overimplementere” i den forstand, at vi bør udbrede principperne til andre og flere sektorer, end dem, der i forvejen er omfattet fra EU’s side.

Hvis målet er at lamme et samfund eller bedrive statsterror, så vil det nemlig kun være banditternes fantasi der sætter grænser for, hvad man kan forsøge at ramme.

Lige som rovdyr på savannen vil de typisk gå efter det svageste led.

Hvis man ikke kan ramme energiforsyningen, vil man måske gå efter affaldshåndteringen. Hvis man ikke kan ramme Nationalbanken, vil man måske gå efter en enkelt mindre bank med dårligere sikkerhed.

De nævnte sektorer er allerede omfattet af NIS 2.0, og det gælder blandt andet også posthåndtering, fødevareforsyning og mange andre. Men kommunerne er for eksempel ikke inkluderet.

Det er pt. op til de enkelte medlemslande, om lokale myndigheder skal omfattes.

Det mener jeg absolut, at de bør. Kommunerne står blandt andet for daginstitutioner og skoler. Hvis systemer, der holder styr på vores børn, bliver sat ud af spillet, vil det kunne forstyrre vores samfund ganske betragteligt.

Eller tænk på de uhyggelige perspektiver i at forstyrre vagtplaner, medicinhåndtering og andet på vores plejehjem…

Det er måske ikke kritisk infrastruktur i den forstand, at det kan lamme hele vores samfund, men det kan skabe store forstyrrelser og ikke mindst skabe frygt og usikkerhed.

Kæden er ikke stærkere end det svageste led

Det er godt, at for eksempel energisektoren i Danmark allerede er klar med en strategi, men en kæde er ikke stærkere end det svageste led.

Sektorstrategier er fine, men ved at se for sektoropdelt på sikkerheden risikerer vi at skubbe problemet videre til det næstbedste, tredjebedste eller fjerdebedste mål for hackerne.

Vi bliver nødt til at kigge på hele samfundet og selv identificere de svage led.

Vi skal kynisk sikre, at vores svageste led i Danmark kommer til at ligge så langt nede på banditternes prioriteringsliste, at de ikke er umagen værd at angribe.

Som antydet i indledningen er der en risiko for, at NIS 2.0 vil blive modtaget på samme måde som mange så på GDPR: En bøvlet forstyrrelse.

Noget der handler mere om compliance end om reel sikkerhed. Sat på spidsen.

Jeg vil opfordre alle ansvarlige for informationssikkerhed til i stedet at benytte lejligheden til at få sat spotlight på området og få det løftet til et nyt niveau.

Og politikerne til at ”overimplementere” og få kommunerne med, så vi ikke blot skubber banditterne videre til andre mulige mål i vores samfund.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.