Vi skal opruste på cybersikkerhed – og det haster

Af Lone Juul Dransfeldt Christensen, Head of Offensive Security Services i Dubex, og Jens Myrup Pedersen, professor i cybersikkerhed ved AAU. Begge er eksperter i cybersikkerhed for Ingeniørforeningen, IDA. Kronikken er bragt i Berlingske.

Selv om det danske cyberlandshold netop er vendt hjem fra Wien som europamestre i cybersikkerhed, så er der ingen grund til at hvile på laurbærrene.

For selv om det i sig selv er en fantastisk præstation af de unge danske cybertalenter at snuppe pokalen foran traditionelt stærke nationer som Tyskland, Polen og Frankrig, så er virkeligheden desværre en helt anden, når vi kigger på niveauet af cybersikkerhed hos mange offentlige myndigheder.

Midt i sejrsrusen føler vi det derfor magtpåliggende at bringe en advarsel til landets politikere, der inden længe skal i valgkamp og fastlægge de økonomiske rammer for de kommende år: Der venter en presserende opgave med at beskytte vores kritiske infrastruktur mod fjendtlige cyberangreb.

Med kritisk infrastruktur mener vi eksempelvis elforsyning, hospitaler, kraftværker, vandværker, elektronisk kommunikation og kollektiv transport. Områder, der står højt på listen over mål, hvis vi kommer i konflikt med andre lande, og som vil kunne lamme vores samfund i kortere eller længere perioder.

Stigning i cyberangreb

Situationens alvor illustreres af, at der siden den russiske invasion af Ukraine i februar er sket en markant stigning i antallet af cyberangreb mod lande, der yder støtte til Ukraine. Det gælder også energisektoren i Danmark, hvor antallet af angreb ifølge Dansk Fjernvarme er steget med en faktor fem, og hvor angrebene i stigende grad er rettet mod den operationelle teknologi, der holder den danske varmeforsyning kørende.

Med det i baghovedet kan det godt give panderynker, at Danmark er placeret helt nede på en 32. plads på det seneste Global Cybersecurity Index, som udarbejdes af International Telecommunications Union (ITU). Det er ikke noget, vi lige ændrer med et snuptag, men vi kan godt få øje på steder, hvor politikerne bør rette deres opmærksomhed her og nu, hvis de vil tjene landets interesser bedst.

Åben på vid gab

Det kunne techmediet Radar også, da de i slutningen af september havde held til at sende falske e-mails fra forskningsminister Jesper Petersen (S) ved at udnytte en simpel sårbarhed i ministeriets it-systemer. Radar kunne afsløre, at tre ministerier ikke har implementeret det obligatoriske DMARC, som skal sikre, at andre ikke kan misbruge dit domænes afsenderadresse til at sende fupmails – en kendt metode for cyberkriminelle.

Det mest nedslående i den historie er, at der siden 2020 har eksisteret 20 ufravigelige, tekniske minimumskrav til it-sikkerheden for statslige myndigheder. Et af de krav er DMARC. Alligevel stod døren altså åben på vid gab i flere ministerier, hvilket i sagens natur udgør en voldsom risiko for statens sikkerhed.

Forskel i lønniveau

Sagen illustrerer, hvordan it-sikkerhedsniveauet hos offentlige myndigheder ofte halter bagud. For hvor store private virksomheder som oftest har foretaget risikovurderinger og jævnligt tryktester deres it-systemer mod cybertrusler, så er situationen tit en anden hos offentlige myndigheder.

En del af forklaringen er, at der mangler eksperter i it-sikkerhed. En anden forklaring handler om lønniveauet. Hvor en it-sikkerhedsekspert i en privat virksomhed kan hente en månedsløn på den gode side af 70.000 kroner om måneden, så giver en tilsvarende position i det offentlige langt mindre. Det efterlader det offentlige med et næsten uløseligt rekrutteringsproblem på et tidspunkt, hvor der i forvejen er rift om ansatte med it-kompetencer på alle niveauer.

Nye udfordringer på vej

I horisonten venter implementeringen af det nye NIS-2 direktiv, som handler om cybersikkerhed, og som i sin kompleksitet kan sammenlignes med GDPR-reglerne – med tilsvarende bødestørrelser, hvis man ikke lever op til reglerne.

Målet er at løfte cybersikkerheden markant i hele EU, så forsyningssikkerheden er beskyttet bedst muligt i sektorer med kritisk infrastruktur, herunder energi, transport, sundhed, drikkevand, spildevand, affaldshåndtering og offentlig administration.

Det er hårdt tiltrængt, men det bliver ikke nogen nem øvelse. Slet ikke, når der ifølge undersøgelser mangler omkring 100.000 it-professionelle på europæisk plan.

Set med danske briller er det tydeligt, at vi har et efterslæb med at uddanne og efteruddanne mennesker med de rigtige it-kompetencer. Det hjælper ikke på situationen, at man fra politisk hold har valgt at udflytte en række uddannelser fra de store byer og begrænse optaget på populære it-uddannelser på eksempelvis IT-Universitetet, DTU og Aalborg Universitet, som er tvunget til at afvise ansøgere. Det er en gåde for os, hvorfor vi som samfund ikke tager imod alle it-talenter med kyshånd.

Offensiv strategi

Vi vil anbefale en offensiv strategi, hvor vi udvider mulighederne for at tage en it-uddannelse for derved at skabe et endnu stærkere studiemiljø. Der er et akut behov for at uddanne flere specialister indenfor cybersikkerhed. Det må nødvendigvis ske gennem efteruddannelse, men derudover bør der være et relevant niveau af viden om cybersikkerhed på både bløde og hårde it-uddannelser, så for eksempel udviklere og it-arkitekter er bedre rustet til at udvikle sikre systemer og sikker software.

Samtidig bør vi igen gøre det attraktivt for udenlandske studerende at komme til Danmark. Vi kan se, at universiteter i Holland og Tyskland i de senere år har haft kæmpe succes med at udbyde datalogi som fag til internationale studerende, hvor de tidligere kun underviste på deres modersmål.

Den konkurrence er vi nødt til at blive en del af. Alle undersøgelser viser, at udenlandske studerende er en gevinst for Danmark – både økonomisk, fagligt og forskningsmæssigt.

Vores råd er derfor at droppe den politiske aftale om at reducere engelsksprogede uddannelser. Vi skal også fjerne de bureaukratiske barrierer, der i dag gør det unødigt besværligt at få kvalificeret udenlandsk it-arbejdskraft til Danmark.

Utilstrækkelig sikkerhed

Regeringens nationale strategi for cybersikkerhed for 2022-2024 fremhæver, at 46 procent af de samfundskritiske it-systemer i staten er i utilstrækkelig tilstand, mens 40 procent af de små og mellemstore virksomheder har et utilstrækkeligt sikkerhedsniveau.

Det er helt afgørende for et gennemdigitaliseret samfund som det danske, at både offentlige myndigheder og private virksomheder hurtigst muligt når hen til det punkt, hvor de har en dokumenteret plan for, hvordan de reagerer i tilfælde af et cyberangreb.

Ingeniørforeningen IDA har på den baggrund foreslået at afsætte 250 millioner kroner på næste års finanslov til en række initiativer, der kan højne cybersikkerheden på både kort og langt sigt.

Her og nu er der brug for obligatoriske cybersikkerhedskurser til alle ledere, bestyrelsesmedlemmer og nøglemedarbejdere indenfor kritisk infrastruktur i den offentlige sektor, så de er helt skarpe på blandt andet risikovurdering og beredskabsplaner. Samtidig bør der indsættes en taskforce, som kan hjælpe med at opprioritere og sætte de nødvendige tiltag i gang for at opnå et tilstrækkeligt sikkerhedsniveau for de samfundskritiske it-systemer.

Ja, vi er europamestre i cybersikkerhed blandt de 15-25-årige. Det lover godt for fremtiden. Men der er brug for mange flere skarpe hjerner og en helhjertet fokus fra politikerne, hvis vi vil sikre det danske samfund mod den stigende cybertrussel.

Kronikken er bragt i Berlingske den 13. oktober 2022.