SMV’er skal også beskyttes mod IT-kriminalitet

Våbnet skal stå mål med det, der skal forsvares eller nedkæmpes. At man ikke skal skyde gråspurve med kanoner, er også Dansk Erhvervs principielle holdning til regeringens nye initiativ mod IT-kriminalitet.

Et nyt lovudkast lægger op til at give Center for Cybersikkerhed - CFCS under Forsvarsministeriet en række nye beføjelser. Eksempelvis kan CFCS kræve at få adgang til at installere udstyr og software i virksomhedens IT-infrastruktur, som CFCS kontrollerer. Herfra er der teknisk set adgang til stort set alle data i virksomheden og ganske brede beføjelser. CFCS kan uden retskendelse, men med en begrundet mistanke om at sikkerheden kan være truet, overvåge og dele viden om virksomheder og deres kunder via data, som opbevares på servere, cloudtjenester, pc’er, lagerenheder, netværksenheder, mobile enheder og tilsvarende.

Myndighederne kan flytte helt ind i maven på virksomhederne
”Lovudkastet giver CFCS ret til at flytte helt ind i maven på virksomhederne. Det giver CFCS teknisk mulighed for uindskrænket adgang til alle data i de tilsluttede virksomheder. Herunder persondata, forretningshemmeligheder, kunder, private dokumenter mv. på alt fra virksomhedernes servere til den enkelte ansattes telefon eller laptop. Det er det, man i lovudkastet kalder stationære data,” siger Dansk Erhvervs fagchef for IT og digitalisering, Janus Sandsgaard.

Balancegang mellem trussel og retssikkerhed
Lovudkastet er ganske vist rettet mod samfundskritiske sektorer som for eksempel energiforsyning, telekommunikation og transport. Men det definerer ikke klart, hvilke typer virksomheder Forsvarsministeriet kan kræve tilslutning til.

”Her er selvfølgelig tale om en balancegang. På den ene side står vi med et nyt trusselsbillede i form af globale hackerangreb, der kan lamme sektorer og lægge lande ned. Det kræver nye redskaber og samarbejder. På den anden side står virksomhedernes retssikkerhed og en vurdering af værdien af de nye tiltag for dansk erhvervsliv og samfundet som helhed,” siger Janus Sandsgaard.

SMV’ernes interesser må ikke blive overset eller glemt
Det er da også meget teknisk og juridisk kompliceret stof. Udkastet til lovforslaget er på 80 sider, og i Dansk Erhvervs optik tegner der sig et billede af i hvert fald tre spørgsmål:

Spørgsmål 1: Hvad med virksomhedernes retssikkerhed?
”De nye beføjelser handler om at have ekstra redskaber til rådighed, hvis der opstår en helt særlig nødsituation. Men i sidste ende handler det også om tillid, for de nye beføjelser kan bruges ganske vidtgående, og kriterierne er ikke helt klare. Det efterlader virksomheder med ubesvarede spørgsmål - også over for kunder og samarbejdspartnere,” siger Janus Sandsgaard.

Spørgsmål 2: Giver det virksomhederne sikkerhed nok?
”Spørgsmålet er, om pengene er prioriteret rigtigt. CFCS’s hidtidige rolle har primært handlet om landets sikkerhed, og mindre på hvad der ellers sker af IT-relateret kriminalitet. Vi har medlemmer i Dansk Erhverv, som er skuffede over den prioritering, og som i stedet gerne ser flere ressourcer til politiet. Mange små og mellemstore virksomheders drift har ganske vist ikke samfundskritisk betydning, men et hackerangreb er vilkårlig alvorligt for den enkelte. Deres interesser må ikke blive overset eller glemt.”

Spørgsmål 3: Bliver vi vidne til offentligt opgavetyveri?
”I og med, at CFCS får tilført flere ressourcer og opgaver, er der også andre medlemmer i Dansk Erhverv, der mener, at CFCS kommer til at tage opgaver fra dem som leverandører af IT-sikkerhedsløsninger. Det er ikke en vinkel, der hidtil har fyldt det store i debatten om den kommende lov. Men det rejser en principiel stillingtagen, og for enkeltvirksomheder kan det få negativ betydning.”

Ingen enkelt-aktør kan håndtere udfordringen alene
Det får dog samtidig Janus Sandsgaard til at konkludere, at der også her er behov for at udvikle et offentligt-privat samarbejde:

”Ingen enkelt-aktør kan håndtere denne udfordring alene - hverken nogen enkeltvirksomhed eller nogen stat. Det er også derfor en enøjet tilgang, når lovudkastet fokuserer alene på CFCS’s egne systemer og netværk som midlet. Jeg mener ikke, man kan slutte, at fordi få virksomheder i dag er tilsluttet CFCS’s netsikkerhedstjeneste, så er der også få virksomheder, der foretager monitorering af nettrafik med henblik på at opdage sikkerhedshændelser under opsejling. Vi er simpelthen ikke enige i præmissen, som den præsenteres i lovudkastets bemærkninger.”

Dansk Erhverv opfordrer til, at CFCS fremadrettet lægger større vægt på at samarbejde med den private sikkerhedsbranche. Det indebærer en større gensidighed.

Fra direktionslokalet og ud til kakkelbordet
For Janus Sandsgaard er det temmelig uklart, på hvilke præmisser CFCS kan bruge de nye beføjelser. Det skaber usikkerhed hos virksomhederne selv og i forhold til deres kunder.

”Vi har lige været igennem en større øvelse med EU’s persondataforordning, og på at give borgerne rettigheder over og indsigt i det dataflow som de indgår i. Det har medført en helt anden form for samtale om persondata - fra direktionslokalet og helt ud til kakkelbordet, og det er grundlæggende sundt. Set i det lys mangler lovudkastet en klarere beskrivelse og afgrænsning. Det handler ikke kun om, hvad CFCS kan og må foretage sig i en virksomheds IT-infrastruktur. Det handler også om, hvad virksomhederne skal fortælle deres kunder og samarbejdspartnere.”

CFCS må også til lommerne
Siden 2014 har private erhvervsvirksomheder kunnet tilslutte sig CFCS’s netsikkerhedstjeneste frivilligt og for egen regning. Formålet med tjenesten er at give CFCS et overordnet trusselsbillede og afdække konkrete angreb under opsejling. Interessen hos virksomhederne har som nævnt tilsyneladende været meget begrænset, og derfor skal CFCS nu have beføjelser til at tvinge virksomheder med.

”Det bør være op til den enkelte virksomhed selv at beslutte, hvilket udstyr og software der er relevant i den pågældende virksomhed. Lovudkastet ignorerer, at flere virksomheder allerede selv har installeret systemer til at afdække mistænkelige mønstre i nettrafik og hackerangreb. Der må derfor være andre muligheder, for eksempel et tættere samspil mellem CFCS og den enkelte virksomhed om de systemer, der allerede er etableret.”

Janus Sandsgaard mener, at i de tilfælde, hvor systemet i virksomheden er utilstrækkeligt, kunne CFCS bidrage til at dække omkostningerne, og at det ikke er spor selvfølgelig, at CFCS skal have direkte kontrol over systemerne.

Man rykker ikke ud, når bagermesteren bliver ramt af ransomware
Janus Sandsgaard slutter af med at redefinere ordsproget ”Man skal ikke skyde gråspurve med kanoner”:

”Det er vigtigt at gøre sig klart, hvad Center for Cybersikkerhed er til for. Centeret har groft sagt hidtil haft som sit primære fokus at holde russiske og nordkoreanske angribere fra døren, eller andre som kan lægge Danmark ned digitalt. Det er et vigtigt og stort arbejde. Men det er ikke et arbejde, der har direkte værdi for alle mulige andre former for IT-kriminalitet, som erhvervslivet oplever. Man rykker ikke ud, når bagermesteren bliver ramt af ransomware. Det er simpelthen ikke CFCS’s rolle. I den fysiske verden kan det sammenlignes med forsvarets indkøb af nye kampfly. Det kan være en god idé, men flyene har næppe den store betydning i kampen mod butikstyverier, indbrud eller smørsyre i brevsprækken. Her er der andre initiativer, som også vi er en del af, men med langt mindre budgetter.”

Hvad gør Dansk Erhverv?
Dansk Erhverv er i skrivende stund i færd med at afgive høringssvar på lovudkastet. Som forberedelse hertil har Dansk Erhverv haft følere ude hos medlemsvirksomheder, herunder i organisationens IT-sikkerhedsnetværk. Det består primært af virksomheder, der anvender sikkerhedsløsninger. Dansk Erhverv har også deltaget i den sektorspecifikke cybersikkerhedsstrategi for teleindustri. Under de kommende politiske forhandlinger vil Dansk Erhverv også søge dialog med partiernes ordførere.