Cybersikkerhed er en afgørende forudsætning for vores gennemdigitaliserede samfund, og derfor var det glædeligt, at regeringen, med den nationale strategi for cyber- og informationssikkerhed og de mange sektorstrategier, har forstået at løfte indsatsen på området markant.
”Center for Cybersikkerhed har de seneste år i høj grad vist sin berettigelse, og har været med til at hjælpe danske myndigheder og virksomheder med at imødegå og beskytte sig mod cyberangreb. Med det nye lovforslag får de en endnu mere central rolle i det danske samfund, og her er der desværre ting, der vækker bekymring,” siger Bjarke Alling formand for IT-Branchens sikkerhedsudvalg og koncerndirektør i Liga ApS.
Ulig konkurrence på markedet
Flere elementer i lovforslaget vil gøre CFCS i stand til at tilbyde og påbyde ydelser gratis. Som eksempler kan nævnes muligheden for at tilbyde et aktivt cyberforsvar (kapitel 3.2, s. 15), installation af sikkerhedssoftware på lokale netværk og enheder (kapitel 3.3, s. 17) og forebyggende sikkerhedstekniske undersøgelser (kapitel 3.4, s.21).
Ydelser som i dag tilbydes af kommercielle aktører, og derfor er yderst problematisk for det danske marked for it-sikkerheds produkter og services.
”Vi er ikke i tvivl om, at CFCS har adgang til efterretningsviden, som it-leverandørerne ikke har, og at det kan give nogle muligheder, som branchen ikke har. Men de fleste af centerets informationer kommer fra kommercielle aktører og vil kunne løses mindst ligeså godt af private aktører,” udtaler Bjarke Alling.
Brug eksperterne i stedet for at udkonkurrere dem
I stedet for at tilbyde aktiviteter i konkurrence med markedet, anbefaler IT-Branchen, at CFCS i langt højere grad gør brug af de kommercielle aktører.
”Den ekspertise som hele erhvervslivet sidder inde med kan bringes langt bedre i spil, ved at CFCS alene står for det efterretningsbaserede analysearbejde, mens den konkrete dataindsamling og det aktive cyberforsvar bør overlades til den enkelte virksomhed eller private aktører.”
En model kunne være at stille minimumskrav til sikkerheden i virksomheder, der varetager kritisk infrastruktur, eller ved at indgå en rammeaftale med flere leverandører, således at alle tilsluttede organisationer kan vælge mellem en række godkendte løsninger.
Herved kan CFCS bruge deres kompetencer og ressourcer mere effektivt, ligesom ressourcerne i den danske it-sikkerhedsbranche ligeledes kan bringes bedre i spil.
Krav om tilslutning til sensornetværket er problematisk
Det er samtidig højest problematisk, at lovforslaget lægger op til, at CFCS kan påbyde private virksomheder at blive tilsluttet Netsikkerhedstjenesten.
For mange virksomheder kan det kan være kritisk at blive tvunget til tilslutning, uden at kunne redegøre overfor kunder og ejerkreds, hvad data bliver brugt til og hvor de havner.
”Vi har en lang tradition i Danmark for tillid og åbenhed, og Danmark har netop en international styrkeposition, fordi der er tillid til dansk digitalisering, og fordi Danmark internationalt er kendt for at have et åbent statsapparat. Det er vi på vej til at skylle ud i vasken,” siger Bjarke Alling.
Tvangstilslutning til overvågningstjenesten risikerer derfor både at ramme danske virksomheders eksport samt internationale investeringer i forskning og produktudvikling i Danmark.