Lad ikke Center for Cybersikkerhed stå for vores cybersikkerhed

Danmark bør etablere et nationalt cybersikkerhedsråd, der trækker på både privat og offentlig viden.

Råd og viden kom fra private virksomheder, da vi blev ramt af WannaCry- og NonPetya-virusangrebene, konstaterer Leif Jensen. Arkivfoto: Ritchie B. Tongo/EPA
Læs mere
Fold sammen

I denne uge efterlyste nationalbank­direktør Lars Rohde en nationalplan og en centralisering af kampen for at skabe bedst mulig cybersikkerhed. Mens jeg er fuldstændig enig med Lars Rohde om behovet, så er jeg uenig med forsvarsminister Claus Hjort Frederiksen (V) i, at det er i Center for Cybersikkerhed, at løsningen findes.

Da vi blev ramt af WannaCry og Non­Petya, oplevede vi, at råd og viden nærmest udelukkende kom fra de fra de private virksomheder.

Først meget sent hørte vi noget fra officiel side, og hverken det officielle Danmark, de danske virksomheder eller hr. og fru Danmark fik råd og vejledning i, hvordan de skulle forholde sig. Dét viser med al tydelighed, at der er behov for et nationalt cybersikkerhedsråd.

Vi har brug for et myndighedsorgan, der kan fortælle os om de trusler, der rammer Danmark; et organ, der kan fortælle os, hvad der sker lige nu og lige her. Så vi sammen med vores private beredskab kan beskytte os selv og vores virksomheder og organisa­tioner bedst muligt. Denne opgave kan ikke ligge hos en privat aktør.

Til gengæld mener jeg ikke, at opgaven kan løftes af Center for Cybersikkerhed. Her hentyder jeg ikke til deres faglige evner eller kompetencer, men til det faktum, at siden de hører til Forsvaret, har de mandat til at beskytte Danmark mod udefrakommende trusler og ikke andet.

Opgaven kan heller ikke løftes af NC3, som hører under Rigspolitiet, da de er sat i verden for at beskytte os mod indefrakommende trusler og ikke andet. Selv om de to måtte samarbejde og udveksle informationer, er der alt for mange begrænsninger.

I stedet burde vi skele til udlandet, hvor det er CERT-organisationer, der påtager sig opgaven. Og de gør det rigtigt: De sørger bl.a. altid for at indhente viden fra de private IT-sikkerhedsfirmaer og får altid input fra tre verdensdele: Et amerikansk sikkerheds­firma, et europæisk og et russisk. I Danmark har vi DK CERT, men de tager sig udelukkende af at sikre forskningsnettet.

Mit håb er derfor, at vi i Danmark etablerer et nationalt drevet Security Operation Center (SOC), på samme vis som andre lande har gjort via deres udvidede CERT-organisationer.

Kun på den måde kan vi sikre os, at der på en ordentlig måde bliver holdt øje med, hvad der sker, og vi kan tilbyde både det offentlige og private Danmark den viden og de råd, vi så tydeligt mangler.