-
Imens Danmark kæmper mod cyberangreb og hybridtrusler, sylter regeringen de centrale EU-love, som skal beskytte os
ソース: BDK Borsnyt / 10 12 2024 00:19:35 America/New_York
Netop nu ligger et kinesisk skib mistænkt for at klippe datakabler i Østersøen i dansk farvand under intensiv overvågning af Forsvaret. Der er konstante, ondsindede cyberangreb mod samfundsvigtig infrastruktur i vores gennemdigitaliserede land, imens mystiske droner har svirret over boreplatforme i Nordsøen, og gasledninger nær Bornholm er blevet saboteret. Men til trods for at regeringen igen og igen understreger den alvorlige sikkerhedspolitiske situation, har den syltet den helt centrale EU-lovgivning, som skal sikre, at samfundet kan modstå truslerne. Gang på gang er den blevet forsinket – og nu er EUs deadline for at komme i mål så langt i bakspejlet, at regeringen må gå bodsgang til Europa-Kommissionen. Sikkerhedssituationen taget i betragtning skriger langsommeligheden til himlen, lyder det fra CenSec, Danmarks nationale klynge for forsvars-, rum- og sikkerhedsindustrien, som samler de fleste aktører inden for området. »Det er selvfølgelig dybt beklageligt, og specielt i en tid, hvor hybridkrigene er så nære, og hvor man ser russiske infiltreringer i for eksempel infrastruktur. Vi har ikke tid at give af. Det er nu, vi skal styrke,« siger fungerende direktør, Dustin Wilden. Hos Dansk Industri er »useriøs« et af de pænere ord, som branchedirektør for DI Digital, Andreas Holbak Espersen, kobler på regeringens håndtering af direktiverne. »Vi synes, det er helt enormt ærgerligt, fordi vi som samfund har brug for at bevæge os i en markant mere sikker retning og for at styrke os over hele linjen, både det fysiske og netdelen. Implementeringen har været en farce,« siger branchedirektøren. Også militæranalytiker Mikkel Storm fra Forsvarsakademiet undrer sig. Han forsker blandt andet i cyberkrig. »Man kan undre sig over, at truslen – af god grund – bliver talt så meget op, men tilsyneladende ikke har høj prioritet, når det kommer til stykket. Sad jeg som russisk efterretningsanalytiker, ville jeg konkludere, at det åbenbart ikke er vigtigere for Danmark end som så,« siger han. Militæranalytiker: Det nye er, at russerne vil ødelægge ting Et fuldstændigt teoretisk eksempel kan illustrere, hvad den nye lovgivning skal afhjælpe. Læseren skal forestille sig en dansk lufthavn, som givet beskytter sig efter alle kunstens regler allerede nu. Men hvad hvis den lille virksomhed, som står for at afise flyene, bliver lammet af et cyberangreb? Er temperaturen som den typisk er i disse dage, kommer der ikke et eneste fly i luften, før der igen kan sprøjtes frostvæske på vinger og hale. Den slags små nøglefunktioner er samfundet fuldt af, og en modstander skal »bare« ramme det svageste led for at lave ravage. De to EU-direktiver skal tvinge danske myndigheder til at kortlægge de mange kritiske gensidige afhængigheder. Når det er på plads, skal de sikre standardiserede minimumskrav til sikkerheden, både fysisk og på cyberområdet. Det samme skal resten af Europa, så ingen bliver det svageste led. Også NATO har efterlyst bedre overblik og koordination. Alligevel var det først for nylig, at Danmark overhovedet fik et ministerium for samfundssikkerhed – og indtil videre uden større bestemmende magt. Men indarbejdelsen af direktiverne i dansk lov – CER-direktivet på det fysiske område og NIS2 på cyberområdet – er blevet udsat den ene gang efter den anden. I oktober stod det klart, at Danmark først kommer i mål langt efter EUs deadline. Spørger man militæranalytikeren Mikkel Storm fra Forsvarsakademiet, står det i skærende kontrast til den akutte situation, efterretningsvæsenerne tegner op. »Trusselsvurderinger fra blandt andet Forsvarets Efterretningstjeneste og PET viser, at cybertruslen mod Danmark er den højeste, der har været. Og det nye er, at russernes risikovillighed er større end nogensinde før. De er gået fra bare at drille os til også at ville ødelægge ting, både i cyberdomænet og det fysiske,« siger Mikkel Storm. Han peger på, at virksomheder kan have et naturligt incitament til at snige sig uden om at sikre sig mod cyber- og hybridangreb. For det er besværligt og dyrt. Virker det, kan man ikke se, hvad man får for pengene. Og er der ingen angreb, kan det føles som penge ud af vinduet. »Men med direktiverne tvinger EU os til at gøre noget ved det,« siger militæranalytikeren. Det svage led lagde Danmarks fragtflagskib død Spørger man DI, har de også et eksempel på, hvor sårbare vi er, hvis vi ikke får styr på de store sammenhænge. For en af Danmarks mest hæderkronede virksomheder, Mærsk, blev i 2017 lagt ned i flere dage af et stykke ondsindet kode – oprydningen kostede flere milliarder kroner. Man skulle tro, at en global logistikgigant har styr på den slags. Og det havde den sikkert også. Det hjælper bare ikke noget, når virussen som i dette tilfælde sneg sig ind via et stykke software fra en underleverandør. »Det er tilbage til det svageste led. Vi er så forbundne som samfund – vi har så mange afhængigheder på kryds og tværs. Og vi står svagere, hvis vi ikke har det sikringsniveau, som de direktiver er med til at understøtte,« siger Andreas Holbak Espersen. Direktiverne skal også få myndighederne til at kigge indad. Et eksempel er sikkerhedsgodkendelsen af nye medarbejdere, som lige nu tager månedsvis. Det skal der findes løsninger på, hvis mange nye virksomheder udpeges som kritiske nok til, at efterretningsvæsenerne skal hjælpe med at standse eksempelvis russisk eller kinesisk infiltration. DI kan ikke forstå, at det ikke har haft højere prioritet for regeringen at komme i mål, i stedet for at lade direktiverne blive kastebolde mellem ministerier, til de landede lige midt i det nyetablerede ministerium for samfundssikkerhed og beredskab. Her har minister Torsten Schack (V) meldt en ny forsinkelse ud, som nu har medført såkaldte åbningsskrivelser fra Europa-Kommissionen. Det er første skridt i en traktatbrudssag mod et medlemsland. »Det er en farce, at vi på den ene side som samfund, fra politisk hold og fra staten, siger, at vi skal op i et helt andet gear med sikkerheden, og så ligger det så længe, når der kommer noget lovgivning fra EU, som sigter til netop det,« siger DI-branchedirektøren. Energisektor savner aktuelle trusselsvurderinger Brancheorganisationen Green Power Denmark, som taler for den danske energisektor, savner først og fremmest aktuelle trusselsvurderinger fra efterretningsvæsenerne. Direktiverne lægger nemlig op til, at beskyttelsen skal dimensioneres efter truslen. Men den er selskaberne lige nu selv henvist til at vurdere. »Vi skal bygge vores beskyttelse på en risikobaseret tilgang. Men vi savner grundlæggende de trusselsvurderinger, vi skal agere på. Det hænger ikke sammen,« siger teknologidirektør Jørgen S. Christensen. Den langsommelige proces giver dog også andre forviklinger. For faktisk er det lovforslag, som omhandler el- og varmeforsyningen, allerede sendt til politikerne. Loven forventes at træde i kraft til marts – måneder før hovedlovene, der skal gælde resten af samfundet, og som forventes at blive mindre skrappe. Dermed vil selskaber, som leverer både el, varme og vand, operere under flere lovgivningsregimer på en gang. Og underleverandører vil skulle overholde den skrappeste af lovene, hvis de vil handle med energiselskaberne – selv om de mindre skrappe love, de kommer til at høre under, ikke engang er trådt i kraft endnu. »Det svækker ikke sikkerheden hos os. Men det giver det her rodede billede hos leverandørerne, for de vil jo opleve krav pr. første marts, hvis de skal levere til mine medlemmer,« siger Jørgen S. Christensen. Minister: »Det er naturligvis ikke optimalt« Netop de små og mellemstore virksomheder har Jesper Florin, lederen af sikringsafdelingen hos Dansk Brand- og Sikringsteknisk Institut, blik for. For mange selskaber, som i dag lever nogenlunde i fred og ro, vil pludselig opdage, at de skal sikre sig langt mere. »Vi estimerer at 1.200-2.000 virksomheder vil være direkte omfattet. Og mange af dem starter fra nul, når de skal til at arbejde med det. Det kommer til at ramme dem,« siger Jesper Florin. De fleste af de mindre virksomheder har vidst, at kravene var på vej. Men den forsinkede lovgivning har betydet, at de har ventet med at beskytte sig, til de vidste, hvad de skulle opfylde. »At vi ikke kommer i gang, kan jo i værste fald betyde, at nogen kan have succes med at lave et hybridangreb. Vi står mere svækket, indtil vi får det arbejdet ind, særligt i de sektorer hvor der ikke tidligere har været krav om fysisk sikring,« siger Jesper Florin. Det er nu beredskabsminister Torsten Schack Pedersens (V) opgave at komme i mål med direktiverne. Og for ham er det afgørende med »en god og grundig proces«. »Reglerne har stor betydning for erhvervslivet og myndigheder, og derfor er det afgørende for mig, at vi får en god og grundig proces i forbindelse med gennemførelse af direktivet i Danmark,« lyder det skriftligt fra Torsten Schack Pedersen. »Det er naturligvis ikke optimalt, at vi har måttet skubbe implementeringen. Men som jeg før har sagt, er cybersikkerhedsområdet simpelthen for vigtigt til, at vi haster noget igennem. Derfor har vi besluttet at skubbe implementeringen med fuld åbenhed over for Folketinget og Kommissionen,« lyder det fra ministeren. Danmark er ikke alene om langsommeligheden. Således har EU åbnet en traktatbrudssag mod 23 medlemslande for ikke at implementere NIS2-direktivet og 24 lande for at være forsinket med CER-direktivet. https://www.berlingske.dk/politik/imens-danmark-kaemper-mod-cyberangreb-og-hybridtrusler-sylter-regeringen