Forsvarsminister Trine Bramsen præsenterede onsdag regeringens udspil til et styrket dansk cyberforsvar. Udspillets stort anlagte initiativer rammer dog ved siden af skiven og har først og fremmest til formål at imponere Nato-partnerne forud for mandagens topmøde, mener it-sikkerhedsekspert.

Et quick fix, der skal give indtryk af, at der sker noget. It-sikkerhedsekspert John Foley fælder en hård dom over det cyberudspil, som regeringen præsenterede onsdag.

»Jeg er langt fra imponeret og tror mere, at det er et håndtag til at få fat i de 500 millioner kroner, som blev båndlagt i forbindelse med det seneste forsvarsforlig,« siger han med henvisning til, at forsvarsforligskredsen øremærkede en halv milliard til cyberområdet i forbindelse med indgåelsen af forsvarsforliget for 2018-2023.

I det netop fremlagte udspil lægger regeringen ellers op til at give cyberområdet et markant løft med tilførslen af en halv milliard kroner, der udmøntes i både et cyberhjemmeværn, et såkaldt cyberindsatshold samt en permanent cyberværnepligt. Dertil kommer en række investeringer i tekniske forsvarsværker, datamonitorering, offensive værktøjer med mere. I centrum indsatsen står både i dag og fremover Center for Cybersikkerhed, der i udspillet kaldes for Danmarks “cyberhjerne”.

Behovet for et fornyet fokus på cyberområdet er nødvendigt, slog forsvarsminister Trine Bramsen (S) fast i forbindelse med præsentationen:

»Cyberangreb er ikke noget, der kommer engang ud i fremtiden. De er her – og de rammer også Danmark, danske myndigheder og virksomheder. Selvom vi har et godt cyberværn i dag, skal vi ruste os til fremtidens udfordringer. Det kræver flere og bedre redskaber. Ikke mindst stiller det krav om stærke kompetencer i hele Danmark,« lød der fra forsvarsminister Trine Bramsen i forbindelse med præsentationen, hvor det samtidig blev annonceret, at flere uddannelses- og arbejdspladser indenfor cybersikkerhedsområdet skal placeres i provinsen.

Timingen af udspil ikke tilfældig

At regeringen præsenterer sit cyberudspil netop nu, er ingenlunde tilfældigt, mener John Foley, som i dag er selvstændig ekspert i cybersikkerhed, men for et årti siden med til at etablere Center for Cybersikkerhed (CFCS) under Forsvarets Efterretningstjeneste (FE).

»Jeg tror, at det er til brug for det kommende Nato-topmøde, så man kan pege på, at ikke nok med, at vi for nylig har afsat halvanden milliard til Arktis, nu har vi også afsat en halv milliard til cyberområdet. Nu kan vi pege på to milliarder ekstra i vores forsvarsbudget hen imod de to procent af bnp, man lovede,« siger John Foley og tilføjer, at timingen af præsentationen derfor i høj grad er udtryk for spin:

»Ellers ville man have ventet til den kommende nationale cybersikkerhedsstrategi, der skulle have været færdig nu, men som er skubbet til efteråret og den nye folketingssamling. Med den strategi vil man kunne komme hele vejen rundt, og alle ministerier, virksomheder og private ville komme med forslag til tiltag, der kunne styrke Danmarks cybersikkerhed. Den er man ikke blevet færdig med. Nu står Nato-topmødet for døren, og så skal man se at få lagt sin klamme hånd på den halve milliard, som så kan havne i et bundløst hul,« siger John Foley og tilføjer, at man derved samtidig sikrer sig, at der afsættes flere midler, når cybersikkerhedsstrategien skal udarbejdes senere på året.

Men én ting er timing og strategisk-økonomiske hensyn, en anden er selve udmøntningen og de konkrete tiltag i udspillet. Heller ikke disse imponerer John Foley synderligt, siger han.

»Jeg savner den koordinerende, cybersikkerhedsmæssige indsats til gavn for samfundet og befolkningen som helhed. Det her er til gavn for CFCS og FE, som via deres netovervågningssystemer kan komme ind i virksomhederne og plædere for, at virksomhederne skal aflevere en masse informationer, uden at der kommer noget den anden vej.«

Civile kompetencer negligeres

I det hele taget mangler Danmark et politisk blik for, at cybersikkerhedsopgaverne i de fleste tilfælde løses bedst af det private erhvervsliv, mener John Foley, der derfor gerne havde set erhvervslivet tilgodeset og inddraget i højere grad, end tilfældet er i dag.

»Problemet har været, at virksomheder og private ikke får noget igen fra CFCS og FE, som ikke arbejder for samfundet som sådan, men mere for deres egen lille verden. Det er det, kritikken går på. Det får de nu held til med de ekstra penge og den måde, de bygger systemet op på.«

Samtidig giver den statslige indblanding anledning til andre bekymringer for John Foley og hans kolleger i cybersikkerhedsbranchen, uddyber han og kobler sine bekymringer til den senere tids afsløringer af FE’s medvirken til amerikansk spionage.

»Med de initiativer, der gennemføres, vil man yderligere kunne gå ind i de enkelte virksomheders systemer og tappe alt, der måtte være af informationer af den ene eller anden slags – også research og forretningshemmeligheder. Nu spekulerer jeg: Hvilken garanti har vi for, at det ikke går råt for usødet videre til NSA via vores kabler ude på Sandagergård (FE’s datacenter på Amager, red.)?«

Dertil kommer, siger John Foley, at FE og CFCS ofte halter efter udviklingen på cyberområdet. Derfor er det i alles interesse, at man retter blikket mod det civile erhvervsliv i højere grad end i dag. Det er af samme grund, at cyberindsatsholdet – en slags udrykningshold, der skal hjælpe myndigheder og virksomheder under cyberangreb – heller ikke får gode arbejdsbetingelser, bemærker han.

»Al respekt for de mennesker i Center for Cybersikkerhed, som gør et godt og troværdigt stykke arbejde, men det er altså ikke der, kompetencerne ligger. De store spidskompetencer ligger ude cybersikkerhedsvirksomhederne, der gang på gang afslører, hvad der sker af det ene og andet. Der hører vi jo ikke noget fra Center for Cybersikkerhed. Jeg tror ikke på, at en udrykningsstyrke, der kan komme ud og hjælpe, besidder den fornødne indsigt, kompetence og viden til at være en slags hjælpende hånd i sådan en situation.«

»Det er noget fikumdik«

Heller ikke den allerede meget omdiskuterede oprettelse af et cyberhjemmeværn tror John Foley på anvendeligheden af. Folk i branchen vil ganske enkelt ikke have interesse i frivilligt at løse opgaver, som man betales for i det civile, ligesom det heller ikke vil blive godt modtaget, at staten de facto bliver en konkurrent til netop it-sikkerhedsfirmaerne.

Et enkelt sted i regeringens udspil nærmer man sig imidlertid noget af det rigtige. Her står nemlig, at det skal undersøges, hvilke fordele og ulemper, der vil være ved at placere CFCS civilt i forhold til under FE, som det er tilfældet i dag. Selvom man kunne foranlediges til at tro, at John Foley på dette punkt ville være mere positivt stemt, tvivler han på, at intentionerne er ægte:

»Det er deres figenblad, for hvad er kommissoriet for det? Det var kravet fra flere af forsvarsudvalgets medlemmer, at man analyserede, hvad der ville gøre størst gavn: at have det civilt eller ikke-civilt. Men det er ren proforma. De skriver selv den analyse, og lur mig, om ikke den vil sige, at det ligger godt, hvor det ligger. Det tror jeg.«

Alt i alt er den garvede cybersikkerhedsekspert altså ikke begejstret for cyberudspillet, som ifølge ham ikke imødegår de behov, der findes for en samlet cybersikkerhedsindsats i samspil med det civile erhvervsliv:

»Jeg mener, det er noget fikumdik. Et quick fix, der skal give indtryk af, at nu sker der noget, nu handler Trine Bramsen. Men det sker under falske forudsætninger, for de 500 millioner kroner skulle have været udmøntet på en hel anden måde, end det nu bliver. Jeg tror, det er for at komme den nationale cybersikkerhedsstrategi i forkøbet, så man ikke pludselig får ideer om, at de penge skal bruges til noget andet. Og så er det for at give Nato indtryk af, at Danmark kan og bidrager med noget udover Arktis og er på vej mod de to procent,« opsummerer John Foley.

OLFI har foreholdt Center for Cybersikkerhed John Foleys kritikpunkter, men her har man ikke ønsket at medvirke i artiklen.