Den 18. december 2014 DI ITEK-gennemgang: National strategi for cyber- og informationssikkerhed 1. Overordnet vurdering En række sager med store datatab fra vigtige danske dataejere, som f.eks. CPR, SSI, Rigspolitiet og Nets har præget mediebilledet i den senere tid. I det lys har regeringen sat fokus på sikkerhedsområdet og lavet en strategi indeholdende 27 konkrete initiativer, som skal bidrage til højne det danske sikkerhedsniveau. Strategien indeholder desuden sikkerhedsanbefalinger fra vækstplanen. Strategien vil i 2015 blive fulgt op af lovgivning, der bl.a. vil implementere en række af de tiltag, som EU Kommissionens forslag til Network Information Security Directive lægger op til. Dårlig sikkerhed i den offentlige sektor er en trussel mod danske virksomheder. DI ITEK har udarbejdet et debatoplæg, der indeholder en række anbefalinger om konkrete initiativer, som vil kunne hæve sikkerhedsniveauet i det den offentlige sektor. Regeringens nye strategi indeholder en lang række af de efterspurgte initiativer, og DI ITEK hilser det derfor velkommen, at regeringen nu sætter fokus på, hvordan sikkerheden kan løftes i den offentlige sektor. Det er nødvendigt med bedre sikkerhed, hvis vi i Danmark skal forblive et digitalt foregangsland. Overordnet vurderes det, at regeringens strategi er ambitiøs og indeholder elementerne til et løft af sikkerheden. Der er dog enkelte reservationer at fremføre. For det første er der flere af initiativerne, som vi afventer at se mere konkrete detaljer på, inden deres effekter kan vurderes. For det andet kunne det have været ønskeligt, at erhvervslivet i højere grad havde været involveret i strategiens tilblivelse. For det tredje kunne strategien have haft et større fokus på sikkerheden i regioner og kommuner, end det er tilfældet. For det fjerde kunne man have lagt større vægt på beskyttelse af personoplysninger herunder Datatilsynets rolle.
For det femte er det centralt, at strategiens tiltag ikke får den negative effekt, at private sikkerhedsleverandører presses ud af markedet, fordi staten selv vil håndtere sin sikkerhed og måske endda udnytte denne i kommercielle sammenhænge. For det sjette afsættes der ikke nye midler til området - strategien skal finansieres som en omlægning af eksisterede midler inden for de berørte ministeriers ressortområder. Endelig er Center for Cybersikkerhed (CFCS) under Forsvarets Efterretningstjeneste (FE) udpeget til at spille en betydelig rolle i strategiens udførelse. Man kan undre sig over, at det skulle være nødvendigt, at så mange sikkerhedstiltag behøver at skulle foregå i regi af efterretningstjenesten med de konsekvenser, det har for gennemsigtighed og retssikkerhed. DI ITEK vil følge virkeliggørelsen af strategiens initiativer tæt. 2. Gennemgang af initiativerne Bedre implementering af ISO27001 og tilsyn hermed Professionalisering og styrket it-tilsyn Staten skal blive bedre til at implementere sikkerhedsstandarden ISO27001, og en række forskellige initiativer sættes i søen for at understøtte en bedre implementering. I tilknytning hertil skal der laves et statsligt tilsynskoncept, som kan understøtte ministeriers eget it-tilsyn med, at standarden efterleves. Der skal yderligere udarbejdes risikovurdering af offentlige it-projekter og arbejdes med privacy by design. Endelig skal der arbejdes med en styrkelse af de sikkerhedsmæssige kompetencer dels hos statens egne medarbejdere og dels i uddannelsessystemet. Der lægges op til, at der sker en styrket fællesoffentligt samarbejde med kommuner og regioner på it-sikkerhedsområdet, og at det i forbindelse med en kommende digitaliseringsstrategi skal vurderes, om der er behov for en yderligere indsats i forhold til ISO270001 DI ITEK bakker op bag de skitserede tiltag. Vi har peget på, at ISO27001 ikke implementeres i tilstrækkeligt omfang, og at kontrollen med implementeringen er utilstrækkelig. Der er derfor behov for at stramme op på disse punkter for at undgå datatab. Ligeledes har vi peget på, at der er behov for flere kompetencer på dette område, og vi har opfordret til, at der arbejdes med privacy impact assessment, som leder op til privacy by design. DI ITEK bakker op om et styrket fokus på it-sikkerhed i det fællesoffentlige samarbejde om digitalisering, men der er behov for, at en række af initiativerne på det statslige område også gennemføres i kommuner og regioner. I forårets drøftelser af en kommende fællesoffentlig digitaliseringsstrategi for perioden 2016-2020 anbefaler DI ITEK, at regeringen gør det til en prioritet, at også kommuner og regioner skal anvende ISO27001 i deres it-sikkerhedsarbejde på linje med staten. 2
Det er vigtigt, at de kompetencer, som skal udvikles, bruges til at gå i dialog med private sikkerhedsleverandører frem for at tage markedsandele fra private leverandører. De private leverandører er ikke begrænset til at indhente erfaringer fra det danske marked. En del af dem er globale virksomheder, der får internationale efterretninger om sårbarheder, nye former for ondsindet kode m.v. Den viden er meget nyttig, og det vil være et tab for den offentlige sektor ikke at kunne få adgang til den. Sikkerhedskrav til leverandører og opfølgning Viden om cybersikkerhed Klare krav til leverandører Myndighederne vil stille klare sikkerhedskrav til leverandørerne og løbende følge op på, at de overholdes. Dette skal bl.a. ske ved at give inspiration til, hvilke sikkerhedsmæssige krav der skal stilles ved indgåelse af it-kontrakter. Det skal også ske ved, at der skal udarbejdes en helt ny standardkontrakt for it-driftskontrakter. Opfølgningen skal følge CFCS anbefalinger i Styrkelse af sikkerheden i statens outsourcede it-drift, som bl.a. inkluderer bruger og rettighedsstyring, effektive sikkerhedsprocesser og test., at det er positivt, at myndighederne gør sig klart, hvilket sikkerhedsbehov de har brug for, og dermed bliver i stand til at indgå i en fornuftig dialog med leverandørerne. Vi har selv påpeget at det er vigtigt at der udarbejdes præcise kontrolmål, for at kunne kontrollere, at sikkerheden har et niveau, der afspejler risici. Det er imidlertid vigtigt, at der gives mulighed for dialog i udbudsprocesserne, således at der ikke blot kommer en maksimal liste med sikkerhedskrav, som der ikke er reflekteret over. De sikkerhedskrav der stilles, bør afvejes efter en konkret risikovurdering. Styrket cybersikkerhed og mere viden på området Der kvitteres i strategien for det bidrag til informationssikkerheden, som private sikkerhedsleverandører bidrager med. Af hensyn til konsekvenser mod samfundet ved cyberangreb tillige med efterretningstjenernes muligheder for adgang til visse typer af efterretninger, lægges der imidlertid op til, at den offentlige sektor selv skal have en styrket viden på dette område. Blandt de konkrete tiltag fremhæves, at vurdering af cybertrusler skal forbedres. Desuden skal der ske en styrkelse af sikker kommunikation i staten. Erhvervslivet skal inddrages i disse processer f.eks. gennem etablering af et særligt kompetencecenter på SCADA-sikkerhed, der bl.a. skal servicere energibranchen og gennem etablering af et virksomhedsråd. Overordnet er det vigtigt, at de aktiviteter, som den offentlige sektor iværksætter, ikke trænger de private sikkerhedsleverandører ud af markedet. Der findes på en række af de foreslåede områder stærke kompetencer hos de private sikkerhedsleverandører, som ville kunne bidrage til at løfte de skitserede arbejdsopgaver. DI ITEK har haft meget fokus på sikkerhed i produktionssystemer, herunder SCADA-sikkerhed. Vi er derfor glade for, at re- 3
geringen sætter fokus på dette område. Vi vil dog opfordre meget stærkt til, at erhvervslivet inddrages i de foreslåede SCADA-aktiviteter - gerne gennem etablering af erfa-grupper om emnet på tværs af sektorerne. Desuden er beskrivelsen af det kommende virksomhedsråd for it-sikkerhed ganske luftig. Vi ser frem til at få præciseret Rådets arbejdsområder. Lovgivning for tele-, el- og naturgassektoren Danmark skal være mere aktiv internationalt Viden til borgere og virksomheder og styrkelse af politiet Robust infrastruktur i energisektoren og telesektoren Der lægges i strategien op til at indføre ny lovgivning i tele-, elog naturgassektorerne. Det forventes, at det kommende lovforslag på området vil give CFCS meget stor kompetence til at få indblik i teleselskabernes infrastruktur og data. Desuden kan der stilles konkrete krav til telesektorens sikkerhed. Med strategien lægges der desuden op til at gennemføre en styrkelse af kravene til cyber- og informationssikkerhed i el- og naturgassektoren. DI ITEK er enig i, at det er vigtigt med en god beskyttelse af kritisk infrastruktur i det danske samfund. Imidlertid er det også vigtigt, at regeringen ikke stiller virksomheder, som opererer i Danmark, værre end de øvrige europæiske kolleger. Det er også vigtigt, at regeringen nøje opstiller rammer for, hvad de data, som myndighederne får adgang til, kan bruges til, og hvordan de skal beskyttes. Danmark som international medspiller Cyber- og informationssikkerhed fylder til stadighed mere på den internationale dagsorden. På flere forskellige fronter er der lagt op til, at internationalt samarbejde og international regulering bliver styrket. Danmark skal bidrage til og sætte sit fingeraftryk på disse internationale diskussioner. DI ITEK er enig i, at det vil være godt for danske interesser, dersom Danmark gør en styrket indsats i det internationale arbejde. Stærk efterforskning og klar information Regeringen understreger borgernes og virksomhedernes ansvar for egen situation. Samtidig skal der gøres en indsats for at tilvejebringe den fornødne viden for, at disse grupper kan beskytte deres udstyr og data. Der gennemføres en informationsindsats for borgerne, og borger.dk styrkes. Samtidig skal der tages initiativ til at styrke viden om cyber- og informationssikkerhed i folkeskolen. Til virksomhederne vil der blive udviklet et sikkerhedstjek i samarbejde mellem CFCS og erhvervsorganisationerne. Politiets muligheder skal styrkes gennem en udbygning af Rigspolitiets NC3 og PET. DI ITEK er enig i, at der er behov for at styrke viden til borgere og virksomheder. Vi har selv peget på at uddannelse er helt centralt - herunder uddannelse i folkeskolen. Undervisning i folkeskolen kan dog ikke stå alene, og vi opfordrer til at også de videregående uddannelser bringes i spil. 4
Det omtalte virksomhedstjek er ganske luftigt beskrevet, og vi ser frem til en dialog om, hvordan det skal udformes. DI ITEK er enig i behovet for at styrke såvel Rigspolitiet som PET. Der kunne dog godt ønskes et mere internationalt fokus på politiets arbejde, således at der kommer forbedrede muligheder for at bekæmpe international it-kriminalitet. Opfølgning og det fremadrettede arbejde Strategiens elementer skal alle være gennemført inden udgangen af 2016. 5