Click here to load reader

FORSVARSAKADEMIET - fak.dk eller  · PDF filenew cyber strategy occasion for rethinking the danish SECTOR RESPONSIBILITY PRINCIPLE”, der vil udkomme i Scandinavian Journal of Military

  • View
    212

  • Download
    0

Embed Size (px)

Text of FORSVARSAKADEMIET - fak.dk eller  · PDF filenew cyber strategy occasion for rethinking...

  • FORSVARSAKADEMIET

    Brief FEBRUAR 2018

    Af Mikkel Storm Jensen, Major, MSc, Militæranalytiker, Institut for Strategi, Forsvarsakademiet

    Sektoransvar eller sektoropgave? Ny cyberstrategi kræver gentænkning af sektoransvarsprincippet

  • SEKTORANSVAR ELLER SEKTOROPGAVE - Ny cyberstrategi kræver gentænkning af sektoransvarsprincippet Af Mikkel Storm Jensen, Major, MSc, Militæranalytiker, Institut for Strategi, Forsvarsakademiet

    © Forsvarsakademiet

    Alle rettigheder forbeholdes. Mekanisk, fotografisk eller anden gengivelse af eller kopiering fra denne publikation eller dele heraf er kun tilladt i overensstemmelse med aftaler mellem Forsvaret og Copy- Dan. Enhver anden udnyttelse uden Forsvarsakademiets skriftlige samtykke er forbudt i følge gældende lov om ophavsret. Undtaget herfra er korte uddrag til brug ved anmeldelser

    København februar 2018 Forsvarsakademiet Svanemøllens Kaserne Ryvangs Allé 1 2100 København Ø Tlf.: +45 728 17000 Ansvarshavende redaktør: Anja Dalgaard-Nielsen, Chef for Institut for Strategi

    Layout: FAK ISBN: 978-87-7147-226-4

  • 3

    Sektoransvar eller sektoropgave?

    INDHOLDSFORTEGNELSE

    Abstract .................................................................................................... 4

    Indledning ................................................................................................. 5

    Opbygning ............................................................................................... 6

    Hvorfor er cyberresiliens uomgåelig? ............................................................ 6

    Hvorfor er sektoransvar en nødvendig del af samfundets modstandsdygtighed mod cyberhændelser? ................................................................................ 6

    Den kommende nationale strategi for cyber- og informationssikkerhed ............ 7

    Den kommende strategi og behovet for en centraliseret definition af kritiske sektorer ....................................................................... 8

    Den kommende strategi og behovet for centraliseret overblik .......................... 9

    Det tværministerielle samarbejde er en udfordring ....................................... 10

    Den offentlig-private koordination er begrænset i omfang ............................. 11

    Den kommende strategi og behovet for centraliseret omkostningsfordeling ..... 12

    Konklusion: Den kommende strategi vil næppe opfylde behovet for centraliseret ansvar i statens forvaltning af sektoransvaret ............................ 12

    Litteratur ................................................................................................. 14

  • 4

    Sektoransvar eller sektoropgave?

    Abstract Dette FAK-brief er baseret på en videnskabelig artikel af samme forfatter med titlen ”SECTOR RE- SPONSIBILITY OR SECTOR TASK? NEW CYBER STRATEGY OCCASION FOR RETHINKING THE DANISH SECTOR RESPONSIBILITY PRINCIPLE”, der vil udkomme i Scandinavian Journal of Military Studies i løbet af foråret 2018.

    Statens traditionelle pligt til at beskytte sine borgeres og virksomheders liv og ejendom mod trusler til lands, til vands og i luften er siden årtusindskiftet blevet udvidet med endnu et domæne: cyberdo- mænet. I den sammenhæng forvalter staten et beredskab, som skal sikre samfundets modstands- dygtighed, i dette tilfælde Danmarks cyberresiliens. Dette område spiller en stigende rolle, i takt med at digitaliseringen af flere og flere aspekter af samfundet har medført, at cybertruslen har udviklet sig fra en perifer trussel til et nationalt sikkerhedsproblem.

    Derfor har regeringen iværksat arbejdet med at udvikle en ny national strategi for cyber- og informa- tionssikkerhed, som skal bygge videre på resultaterne af den første strategi fra 2014, samt forpligtet Danmark til i 2018 at implementere EU’s NIS-direktiv.

    Dette brief fokuserer udelukkende på de dele af strategien, der vedrører de administrative og forvalt- ningsmæssige aspekter af statens rolle i samfundets cyberresiliens. Det rejser spørgsmålet, om der i den sammenhæng er behov for en justering af det eksisterende grundlæggende princip for Danmarks beredskab, sektoransvarsprincippet, i retning af øget centralisering og klarere ansvarsfordeling – uanset om der afsættes flere eller færre midler til opgaven.

    Emneord: Cyber, Strategi, EU, Resiliens, Beredskab, Forvaltning

  • 5

    Sektoransvar eller sektoropgave?

    Indledning Cybertruslen mod Danmark er meget høj.” Sådan indleder Forsvarets Efterretningstjeneste sin risiko- vurdering for 2017 (Forsvarets Efterretningstjeneste, 2017). Statens traditionelle pligt til at beskytte sine borgeres og virksomheders liv og ejendom mod trusler til lands, til vands og i luften er siden årtusindskiftet blevet ud- videt med endnu et domæne: cyberdomænet. I den sammenhæng forvalter staten et beredskab, som skal sikre samfundets modstandsdygtighed. Med et mo- derne udtryk kan denne modstandsdygtighed kaldes ”resiliens”, hvilket betegner en form for robusthed, som ud over at kunne afvise udefrakommende stød også er i stand til konstant at absorbere utilsigtede påvirknin- ger, tilpasse sig en foranderlig kontekst og opsamle og udnytte erfaringer gennem implementering af læring. Danmarks cyberresiliens spiller en stigende rolle, i takt med at digitaliseringen af flere og flere aspekter af samfundet har medført, at cybertruslen har udviklet sig fra en perifer trussel til et nationalt sikkerhedsproblem (Christensen & Lund Petersen, 2017, s. 1435).

    Derfor har regeringen iværksat arbejdet med at udvikle en ny national strategi for cyber- og informationssik- kerhed, som skal bygge videre på resultaterne af den første strategi fra 2014 (Regeringen, 2016a, s. 47). Sideløbende med denne proces har Danmark forpligtet sig til at implementere et EU-direktiv om foranstalt- ninger, der skal sikre et højt fælles sikkerhedsniveau i net- og informationssystemer for kritiske samfunds- mæssige og økonomiske aktiviteter (det såkaldte NIS-direktiv) inden den 9. maj 2018.

    En national strategi for cyber- og informationssikker- hed må nødvendigvis omfatte en lang række aspekter, f.eks. opbygning og vedligeholdelse af en cyber- og informationssikkerhedskyndig arbejdsstyrke, militære cyberkapaciteter, internationalt samarbejde og op- bygning af internationale normer for staters ageren i cyberdomænet.

    Anbefalinger: Regeringen bør overveje at benytte implemen- teringen af en ny national cy- ber- og informationssikker- hedsstrategi parallelt med EU’s NIS-direktiv til at: • Skabe klarere og mere ope-

    rative institutionelle definiti- oner på, hvad der er kritisk infrastruktur og væsentlige leverandører.

    • Forbedre den tværsektorielle koordination ved at sikre, at en myndighed har centralt overblik og kan vejlede, kontrollere og om nødven- digt beordre de sektoran- svarlige myndigheders im- plementering og forvaltning af Danmarks cyberresiliens.

    • Udarbejde centralt fastsatte parametre for sektorernes implementering og drift af cyberresiliens.

    • Forbedre samarbejdet med den private sektor gennem ovenstående tiltag samt fa- cilitere yderligere samarbej- de, f.eks. ved at gøre det lettere for virksomheder og borgere at anmelde cybe- rangreb ved at samle ind- rapportering ét sted.

    • Forbedre den tværsektorielle koordination ved at lade en udpeget myndighed fordele udgifter til implementering og drift, der falder mellem eller dækker flere sektorer.

  • 6

    Sektoransvar eller sektoropgave?

    Dette brief1 fokuserer udelukkende på de dele af strategien, der vedrører de administrative og for- valtningsmæssige aspekter af statens rolle i samfundets cyberresiliens. Det rejser spørgsmålet, om der i den sammenhæng er behov for en justering af det eksisterende grundlæggende princip for Danmarks beredskab, sektoransvarsprincippet, i retning af øget centralisering og klarere ansvarsfor- deling – uanset om der afsættes flere eller færre midler til opgaven.

    Opbygning Indledningsvis argumenteres for, at cyberresiliens har betydning for Danmarks sikkerhed, uanset hvilke andre foranstaltninger mod cybertrusler staten implementerer, og det diskuteres, hvorfor cyberresi- liensløsninger i et moderne, komplekst samfund kræver, at staten inddrager sektoransvarsmodellen. Herefter argumenteres der for, at det er nødvendigt at kombinere sektoransvar med elementer af centraliseret ansvar. Derpå præsenteres den kommende cyberstrategi, og i analyseafsnittet sammen- holdes de identificerede behov for centralisering af ansvar med den aktuelle situation i Danmark på cyberområdet, hvorefter det vurderes, i hvilket omfang den kommende cyberstrategi vil adressere disse udfordringer.

    Hvorfor er cyberresiliens uomgåelig? En stat kan principielt beskytte samfundet i cyberdomænet på tre måder (Nye, 2016, s. 54–58). For det første kan staten forsøge at afskrække modstandere ved at true med modangreb i cyberdomænet eller den fysiske verden. Stater kan, måske, afskrækkes fra at angribe, men kriminelle og politisk motiverede angribere vil forsøge sig, så længe der er håb om gevinst eller opmærksomhed. For det andet kan staten stille krav om særlig beskyttelse af kritiske offentlige eller private systemer. Eks- tra beskyttelse gør det vanskeligere at angribe kritiske systemer, men selv den bedste beskyttelse er under konstant pres fra cyberangreb, menneskelige og tekniske fejl samt andre forhold såsom naturkatastrofer. Det er derfor usandsynligt,

Search related