Eksperter og virksomheder råber vagt i gevær, for cybersikkerheden er slet ikke fulgt med digitaliseringen. På Christiansborg anerkender man sådan set kritikken, men der er langt til handling. Kan man mødes på midten og komme hackerne i forkøbet?
Af Olivia Rørne og Anne Sofie Thrane
Center for Cybersikkerhed har været Danmarks nationale it-myndighed siden 2012. Foto: Olivia Rørne
Klokken er 07.30 en fredag i august, da Martin Haslund Johansson modtager en alarm på sin mobil. Den er fra det datacenter i Albertslund, hvor hostingvirksomheden Azerocloud, som han er direktør for, har deres datamaskiner stående.
Datamaskinerne er vigtige for Martin og Azerocloud. Det er på dem, virksomhedens værdi ligger – her opbevarer de nemlig hjemmeside- og e-mailsystemer for cirka 4.500 domæner.
Virksomheden har tidligere haft problemer med strømmen, så det er nok bare strømsvigt igen, tænker Martin. Men maskinerne har brug for strøm, så han tager ud til datacenteret sammen med en tekniker.
“Vi kommer ind og får kigget på maskinerne og kan se, at strømmen virker. Gad vide hvad det så kan være, tænker vi. Når vi så logger ind i maskinerne, kan vi se, at de er blevet krypteret. Der står bare en e-mailadresse, man kan kontakte,” siger Martin.
Den fredag i august 2023 skulle vise sig at blive en skæbnesvanger dag for Azerocloud og Martin Haslund Johansson. Azerocloud bliver ramt af et såkaldt ransomware-angreb, hvor hackerne bryder ind i systemet og krypterer alle data og samtlige back-ups. Alt er tabt.
Ikke et enkeltstående tilfælde
Det angreb, Azerocloud oplevede, er ikke det første af sin slags. Cybertruslen i Danmark er vurderet “høj”, og selvom Azerocloud er et skræmmeeksempel, bliver danske virksomheder, offentlige institutioner og myndigheder stadig udsat for cyberangreb hver eneste dag. Alene antallet af cyberangreb mod danske små- og mellemstore virksomheder er steget med 64% i 2022 sammenlignet med samme periode året før, viser en analyse fra organisationen SMVdanmark.
Håndteringen af den slags angreb ligger i hænderne på Center for Cybersikkerhed (CFCS), som er vores nationale it-sikkerhedsmyndighed. Centeret ligger placeret under Forsvarets Efterretningstjeneste (FE).
Placeringen i FE har den vigtige fordel, at den giver mulighed for et værdifuldt internationalt samarbejde. Værdien af det samarbejde er dog ikke helt så stor, som man umiddelbart kunne tro, fordi FE er omkranset af fortrolighed, og det smitter af på CFCS. Derfor kan CFCS ikke altid dele de advarsler, de får, med de virksomheder og myndigheder, der er i farezonen.
Det er ifølge eksperter og virksomheder et problem, fordi en tidlig underretning kan give mulighed for at redde vigtige data og lave back-ups af systemer, inden det er for sent.
Explainer: Hvem har ansvaret for cybersikkerhed i Danmark?
Cybersikkerhed er et fælles ansvar
Kritikken er ikke ny, og så sent som i februar 2023 blev en række kritikpunkter udfoldet i en analyse udsendt af FE. Udover placeringen under FE, sættes der også spørgsmålstegn ved logikken i, at centerets ansvar er begrænset til “virksomheder, der understøtter samfundsvigtige funktioner.” Som det ser ud lige nu, har virksomheder og myndigheder selv ansvaret for at sikre sig mod cyberangreb, hvis ikke de varetager en samfundsvigtig opgave.
Virksomheder uden samfundsvigtige funktioner føler sig derfor overset, og måske med god grund. I hvert fald er det ifølge Jens Myrup Pedersen, professor i cybersikkerhed ved Aalborg Universitet, et problem, fordi cybersikkerhed er en fælles trussel og dermed et fælles ansvar.
“Cybersikkerhed er ikke bare den enkelte virksomheds problem. Hvis mange virksomheder bliver lagt ned samtidig, så bliver det også et samfundsmæssigt problem. Og derfor, synes jeg, bliver det også et samfundsmæssigt ansvar at hjælpe og stille krav,” siger han.
Åbne ører løser ikke problemet
Dansk Erhverv er en af de organisationer, som har afgivet høringssvar til analysen af CFCS’ samarbejde med private virksomheder. Et af høringssvarets vigtigste kritikpunkter er netop den lukkethed placeringen under FE giver og uklarheden omkring centerets rolle over for erhvervslivet. Ifølge Joen Magieres, politisk konsulent hos Dansk Erhverv, har de ikke ændret position siden kritikken i høringssvaret for godt ni måneder siden. De føler sig hørt, men der mangler stadig handling.
Joen Magieres er politisk konsulent hos Dansk Erhverv, som har over 18.000 medlemsvirksomheder, heriblandt både nogle af Danmarks største og mindste. Foto: Anne Sofie Thrane
“Vi har et rigtigt stærkt samarbejde med CFCS, men vi ser samtidig gerne, at man tager flere skridt for at blive en mere åben myndighed. Det vil styrke samarbejdet med den private sektor,” siger han.
Selvom der er et godt samarbejde, og CFCS er lydhøre over for kritikken, har man hos Dansk Erhverv altså stadig sine bekymringer. Centeret har nemlig kun en koordinerende rolle for cybersikkerheden, og det gør det svært for en virksomhed at vide, hvem de skal henvende sig til, når de har mistanke om et angreb.
“Hvis du er en fødevarevirksomhed, virker det rationelt, at det er Fødevarestyrelsen, som du skal sparre med. Men i realiteten kan det sagtens være, at både Digitaliseringsstyrelsen, Erhvervsstyrelsen og Center for Cybersikkerhed også har en del af ansvaret,” siger Joen Magieres.
CFCS anerkender problematik
Mark Fiedel, chef for cyberanalyse hos CFCS, anerkender, at centeret har et udviklingspunkt på netop den front.
“Vi har sammen med andre myndigheder kontinuerligt fokus på, hvordan man kan få større klarhed og enkelhed i forhold til, hvordan man som virksomhed kommer til at møde myndigheds-Danmark på cybersikkerhedsområdet.”
Ifølge Mark Fiedel burde cyberangreb dog være en grundlæggende risiko, virksomheder forholder sig til på linje med andre risici. Når det er sagt, er han helt enig i, at centeret bør gøre mere.
“I den her kontekst, at være åbne og tilgængelige samt at få fagligt relevant viden ud til dem, der skal bruge den, så vil vi sådan set gerne gøre rigtig meget mere. Den begrænsende faktor er ofte tid, og at kunne dele med de rigtige,” siger Mark Fiedel.
Han mener dog ikke, at placeringen under Forsvarets Efterretningstjeneste er en begrænsende faktor. Tværtimod er det en afgørende forudsætning for, at de kan være effektive.
Nye forslag, ingen handling
I april 2023 udgav en gruppe af i alt tolv cybereksperter og fagpersoner Kalvebod Brygge Deklarationen. Deklarationen peger på ni konkrete punkter, som gruppen mener er absolut nødvendige at få implementeret.
Gruppen foreslår blandt andet, at man samler ansvaret for civil cybersikkerhed, digitalisering og it i en ny myndighed – og den skal ikke ligge under Forsvaret.
Et af gruppens medlemmer er it-rådgiver John M. Foley. Han var med på Christiansborg for at fremlægge deklarationen, og modtagelsen fra politikerne var god, mener han. Men… så skete der heller ikke mere.
“Altså, når man snakker med politikere, så siger de jo altid, ‘Tak, fordi I kom. Nu vil vi inddrage det her i vores overvejelser,’ og så hører man ikke ret meget mere fra dem,” siger John.
Et dominospil af lovgivning
Jeppe Søe (M), næstformand for Udvalget for Digitalisering og IT, forstår frustrationen over den manglende handling, men ifølge ham er den civile myndighed, som Kalvebod Brygge Deklarationen foreslår, ikke realistisk. Der er gode årsager til, at centeret ligger, hvor det gør – men det er årsager, som offentligheden ikke må kende til, og derfor kræver enhver ændring grundig overvejelse og lange politiske forhandlinger.
“Jeg lægger mig fladt ned i forhold til, at det går langsomt. Jeg kan godt forstå den kritik, og jeg ved, at rigtig mange virksomheder simpelthen ikke får den hjælp, de skal have. Men bare man piller ved én lov, så påvirker det tyve love, og derfor kræver det grundigt, politisk arbejde. Det tager bare tid,” siger han.
Jeppe Søe er medstifter af Moderaterne og medlem af Folketingets præsidium. Foto: Anne Sofie Thrane
Men… hvad er så løsningen?
Måske er det netop lovgivning, som er nøgleordet. Professor Jens Myrup Pedersen, peger i al fald på, at fokus skal rykkes fra placering til retningslinjer.
“For mig er det egentlig mere vigtigt, hvad det er for nogle konkrete krav, man stiller til forskellige aktører, og hvordan man hjælper dem med at leve op til dem.” siger han.
Hos Dansk Erhverv synes man også, at tydeligere retningslinjer er en del af løsningen.
“Klarere retningslinjer ville hjælpe vores medlemmer enormt meget. Lige nu forsøger vi at videreformidle al den viden, vi får fra myndighederne, fordi virksomhederne ikke har ressourcerne til at tage det initiativ selv,” siger Joen Magieres fra Dansk Erhverv.
Man kan, hvad man vil
Dansk Erhverv foreslår også, at man ændrer i loven for Center for Cybersikkerhed, fordi en “lovændring ift. Lov om CFCS – fx en oplysningspligt – kan gøre det muligt at dele viden, hvilket lige nu er vanskeligt pga. de særlige regler, der gælder for efterretningstjenesten.” Det fremgår af høringssvaret.
Ifølge Peter Lind Nielsen, advokat hos Bech Bruun og specialist i it-ret, er det muligt at ændre i loven, men det er op til politikerne:
“Loven om Center for Cybersikkerhed, er en lov som alle andre love, og kan derfor ændres med almindeligt flertal. Om det kan lade sige gøre, er vel en politisk vurdering. For man kan, hvad man vil.”
Det er dog ikke så sort-hvidt, mener Jeppe Søe. Det er en stor risiko at løbe, og vi risikerer at invitere ubudne gæster indenfor.
“Det lyder jo virkelig nemt. Det kræver bare, at vi ved til bunds, hvad det er, vi fjerner. Hvad er det vi åbner for, og hvem giver vi pludselig adgang til at se alt det, vi tidligere har haft behov for at holde hemmeligt?”
Skal der ske en lovændring, skal den handle om tilføjelser til opgaverne frem for en oplysningspligt, mener Jeppe Søe. Man skal zoome ind på CFCS’ opgaver og udvide dets ansvarsområder, så det også har en forpligtelse over for den private sektor.
“Jeg tror, at CFCS i stedet skal have to opgaver, som det skal tage lige alvorligt. De har nærmest fuldt fokus på forsvaret og alt det, der er hemmeligt, men når der så kommer nogle med et konkret problem, får de nærmeste ikke et svar,” siger Jeppe Søe.
Ingen hjælp at hente
Tilbage i Albertslund er Azerocloud gået konkurs. Maskinerne er undersøgt af politiet i forbindelse med efterforskningen og er nu taget ned, og Martin Haslund Johansson søger nyt job i stedet for nye hostingkunder.
“Det har taget ufatteligt hårdt på mig. Det er der ingen tvivl om,” siger han.
Da angrebet skete, hørte Martin ikke fra CFCS. Heller ikke selvom politiet formoder, at angrebet blev foretaget af en russisk aktør.
“Center for Cybersikkerhed blandede sig ikke på noget tidspunkt. Men de havde været mere end velkomne.”
Vi har foreholdt kritikken af den manglende indblanding i Azeroclouds angreb for Center for Cybersikkerhed, som svarer, at de ikke kommenterer på enkeltsager.