FORSVARSAKADEMIET - fak.dk eller sektoropgave.pdf · new cyber strategy occasion for rethinking the danish SECTOR RESPONSIBILITY PRINCIPLE”, der vil udkomme i Scandinavian Journal

FORSVARSAKADEMIET

BriefFEBRUAR 2018

Af Mikkel Storm Jensen, Major, MSc, Militæranalytiker, Institut for Strategi, Forsvarsakademiet

Sektoransvar eller sektoropgave?Ny cyberstrategi kræver gentænkning af sektoransvarsprincippet

SEKTORANSVAR ELLER SEKTOROPGAVE - Ny cyberstrategi kræver gentænkning af sektoransvarsprincippet Af Mikkel Storm Jensen, Major, MSc, Militæranalytiker, Institut for Strategi, Forsvarsakademiet

© Forsvarsakademiet

Alle rettigheder forbeholdes. Mekanisk, fotografisk eller anden gengivelse af eller kopiering fra denne publikation eller dele heraf er kun tilladt i overensstemmelse med aftaler mellem Forsvaret og Copy-Dan. Enhver anden udnyttelse uden Forsvarsakademiets skriftlige samtykke er forbudt i følge gældende lov om ophavsret. Undtaget herfra er korte uddrag til brug ved anmeldelser

København februar 2018ForsvarsakademietSvanemøllens KaserneRyvangs Allé 12100 København ØTlf.: +45 728 17000Ansvarshavende redaktør: Anja Dalgaard-Nielsen, Chef for Institut for Strategi

Layout: FAKISBN: 978-87-7147-226-4

3

Sektoransvar eller sektoropgave?

INDHOLDSFORTEGNELSE

Abstract .................................................................................................... 4

Indledning ................................................................................................. 5

Opbygning ............................................................................................... 6

Hvorfor er cyberresiliens uomgåelig? ............................................................ 6

Hvorfor er sektoransvar en nødvendig del af samfundets modstandsdygtighed mod cyberhændelser? ................................................................................ 6

Den kommende nationale strategi for cyber- og informationssikkerhed ............ 7

Den kommende strategi og behovet for en centraliseret definition af kritiske sektorer ....................................................................... 8

Den kommende strategi og behovet for centraliseret overblik .......................... 9

Det tværministerielle samarbejde er en udfordring ....................................... 10

Den offentlig-private koordination er begrænset i omfang ............................. 11

Den kommende strategi og behovet for centraliseret omkostningsfordeling ..... 12

Konklusion: Den kommende strategi vil næppe opfylde behovet for centraliseret ansvar i statens forvaltning af sektoransvaret ............................ 12

Litteratur ................................................................................................. 14

4


AbstractDette FAK-brief er baseret på en videnskabelig artikel af samme forfatter med titlen ”SECTOR RE-SPONSIBILITY OR SECTOR TASK? NEW CYBER STRATEGY OCCASION FOR RETHINKING THE DANISH SECTOR RESPONSIBILITY PRINCIPLE”, der vil udkomme i Scandinavian Journal of Military Studies i løbet af foråret 2018.

Statens traditionelle pligt til at beskytte sine borgeres og virksomheders liv og ejendom mod trusler til lands, til vands og i luften er siden årtusindskiftet blevet udvidet med endnu et domæne: cyberdo-mænet. I den sammenhæng forvalter staten et beredskab, som skal sikre samfundets modstands-dygtighed, i dette tilfælde Danmarks cyberresiliens. Dette område spiller en stigende rolle, i takt med at digitaliseringen af flere og flere aspekter af samfundet har medført, at cybertruslen har udviklet sig fra en perifer trussel til et nationalt sikkerhedsproblem.

Derfor har regeringen iværksat arbejdet med at udvikle en ny national strategi for cyber- og informa-tionssikkerhed, som skal bygge videre på resultaterne af den første strategi fra 2014, samt forpligtet Danmark til i 2018 at implementere EU’s NIS-direktiv.

Dette brief fokuserer udelukkende på de dele af strategien, der vedrører de administrative og forvalt-ningsmæssige aspekter af statens rolle i samfundets cyberresiliens. Det rejser spørgsmålet, om der i den sammenhæng er behov for en justering af det eksisterende grundlæggende princip for Danmarks beredskab, sektoransvarsprincippet, i retning af øget centralisering og klarere ansvarsfordeling – uanset om der afsættes flere eller færre midler til opgaven.

Emneord: Cyber, Strategi, EU, Resiliens, Beredskab, Forvaltning

5


IndledningCybertruslen mod Danmark er meget høj.” Sådan indleder Forsvarets Efterretningstjeneste sin risiko-vurdering for 2017 (Forsvarets Efterretningstjeneste, 2017). Statens traditionelle pligt til at beskytte sine borgeres og virksomheders liv og ejendom mod trusler til lands, til vands og i luften er siden årtusindskiftet blevet ud-videt med endnu et domæne: cyberdomænet. I den sammenhæng forvalter staten et beredskab, som skal sikre samfundets modstandsdygtighed. Med et mo-derne udtryk kan denne modstandsdygtighed kaldes ”resiliens”, hvilket betegner en form for robusthed, som ud over at kunne afvise udefrakommende stød også er i stand til konstant at absorbere utilsigtede påvirknin-ger, tilpasse sig en foranderlig kontekst og opsamle og udnytte erfaringer gennem implementering af læring. Danmarks cyberresiliens spiller en stigende rolle, i takt med at digitaliseringen af flere og flere aspekter af samfundet har medført, at cybertruslen har udviklet sig fra en perifer trussel til et nationalt sikkerhedsproblem (Christensen & Lund Petersen, 2017, s. 1435).

Derfor har regeringen iværksat arbejdet med at udvikle en ny national strategi for cyber- og informationssik-kerhed, som skal bygge videre på resultaterne af den første strategi fra 2014 (Regeringen, 2016a, s. 47). Sideløbende med denne proces har Danmark forpligtet sig til at implementere et EU-direktiv om foranstalt-ninger, der skal sikre et højt fælles sikkerhedsniveau i net- og informationssystemer for kritiske samfunds-mæssige og økonomiske aktiviteter (det såkaldte NIS-direktiv) inden den 9. maj 2018.

En national strategi for cyber- og informationssikker-hed må nødvendigvis omfatte en lang række aspekter, f.eks. opbygning og vedligeholdelse af en cyber- og informationssikkerhedskyndig arbejdsstyrke, militære cyberkapaciteter, internationalt samarbejde og op-bygning af internationale normer for staters ageren i cyberdomænet.

Anbefalinger: Regeringen bør overveje at benytte implemen-teringen af en ny national cy-ber- og informationssikker-hedsstrategi parallelt med EU’s NIS-direktiv til at: • Skabe klarere og mere ope-

rative institutionelle definiti-oner på, hvad der er kritisk infrastruktur og væsentlige leverandører.

• Forbedre den tværsektorielle koordination ved at sikre, at en myndighed har centralt overblik og kan vejlede, kontrollere og om nødven-digt beordre de sektoran-svarlige myndigheders im-plementering og forvaltning af Danmarks cyberresiliens.

• Udarbejde centralt fastsatte parametre for sektorernes implementering og drift af cyberresiliens.

• Forbedre samarbejdet med den private sektor gennem ovenstående tiltag samt fa-cilitere yderligere samarbej-de, f.eks. ved at gøre det lettere for virksomheder og borgere at anmelde cybe-rangreb ved at samle ind-rapportering ét sted.

• Forbedre den tværsektorielle koordination ved at lade en udpeget myndighed fordele udgifter til implementering og drift, der falder mellem eller dækker flere sektorer.

6


Dette brief1 fokuserer udelukkende på de dele af strategien, der vedrører de administrative og for-valtningsmæssige aspekter af statens rolle i samfundets cyberresiliens. Det rejser spørgsmålet, om der i den sammenhæng er behov for en justering af det eksisterende grundlæggende princip for Danmarks beredskab, sektoransvarsprincippet, i retning af øget centralisering og klarere ansvarsfor-deling – uanset om der afsættes flere eller færre midler til opgaven.

Opbygning Indledningsvis argumenteres for, at cyberresiliens har betydning for Danmarks sikkerhed, uanset hvilke andre foranstaltninger mod cybertrusler staten implementerer, og det diskuteres, hvorfor cyberresi-liensløsninger i et moderne, komplekst samfund kræver, at staten inddrager sektoransvarsmodellen. Herefter argumenteres der for, at det er nødvendigt at kombinere sektoransvar med elementer af centraliseret ansvar. Derpå præsenteres den kommende cyberstrategi, og i analyseafsnittet sammen-holdes de identificerede behov for centralisering af ansvar med den aktuelle situation i Danmark på cyberområdet, hvorefter det vurderes, i hvilket omfang den kommende cyberstrategi vil adressere disse udfordringer.

Hvorfor er cyberresiliens uomgåelig?En stat kan principielt beskytte samfundet i cyberdomænet på tre måder (Nye, 2016, s. 54–58). For det første kan staten forsøge at afskrække modstandere ved at true med modangreb i cyberdomænet eller den fysiske verden. Stater kan, måske, afskrækkes fra at angribe, men kriminelle og politisk motiverede angribere vil forsøge sig, så længe der er håb om gevinst eller opmærksomhed. For det andet kan staten stille krav om særlig beskyttelse af kritiske offentlige eller private systemer. Eks-tra beskyttelse gør det vanskeligere at angribe kritiske systemer, men selv den bedste beskyttelse er under konstant pres fra cyberangreb, menneskelige og tekniske fejl samt andre forhold såsom naturkatastrofer. Det er derfor usandsynligt, at man kan beskytte samfundets kritiske systemer fuld-stændigt. For det tredje kan staten udvikle samfundets cyberresiliens, her forstået som evnen til at afværge, undgå og overkomme negative effekter af hændelser i cyberdomænet. Hvis man antager, at fjendtlige stater overvejer, om de skal gennemføre angreb i cyberdomænet ud fra overvejelser om gevinst i forhold til omkostninger, vil gevinsten ved at angribe et samfund med en veludbygget cyberresiliens alt andet lige være mindre. Kriminelle, politisk motiverede aktivister, regulære uheld og menneskelige fejl kan ikke afskrækkes og forhindres ved hjælp af cyberresiliens, men resiliens vil minimere de negative effekter og optimere samfundets evne til at komme videre efter en hændelse. Det er derfor nødvendigt, at regeringen i sin kommende cyberstrategi inddrager samfundets cyber-resiliens, så Danmark er klar, når – ikke hvis! – dele af cyberdomænet falder ud.

Hvorfor er sektoransvar en nødvendig del af samfundets mod-standsdygtighed mod cyberhændelser?Udgangspunktet for diskussionen er, at staten har en basal forpligtigelse over for sine borgere og virksomheder i form af en social kontrakt. Staten yder dem beskyttelse, mod at de afgiver suveræni-

1) Dette FAK-brief er baseret på en videnskabelig artikel af samme forfatter med titlen ”SECTOR RESPONSIBILITY OR SECTOR TASK? NEW CYBER STRATEGY OCCASION FOR RETHINKING THE DANISH SECTOR RESPONSIBILITY PRINCIPLE”, der vil udkomme i Scandinavian Journal of Military Studies i løbet af foråret 2018.

7


tet (Pogson Smith, 1965, s. 133). I den forbindelse kan staten uddelegere opgaver til andre aktører, men ikke ansvaret for opgaveløsningen (Dunn-Cavelty & Suter, 2009, s. 184). I 2018 er det blevet en integreret del af statens forpligtigelse til at beskytte borgere og virksomheder at arbejde for, at samfundets kritiske infrastruktur og væsentlige leverancer fortsætter med at fungere efter negative hændelser med udspring i cyberdomænet. Samtidig har staten mistet en stor del af den direkte kontrol med disse forhold: Globalisering og neoliberale reformer har gjort, at hovedparten af den kritiske infrastruktur og de væsentlige leverancer er udliciteret til private virksomheder. Disse private virksomheder er ofte helt eller delvist udenlandsk ejet. Deres netværk af underleverandører kan i endnu højere grad operere uden for national kontrol, og netværkene er under konstant forandring. Den kritiske infrastruktur og leverandørernes produktion og kommunikation er baseret på ny og for-anderlig cyberbaseret teknologi og just in time-leverancer. Med andre ord har samfundet udviklet sig fra at være kompliceret til at være komplekst. Det betyder, at opgaven med at indsamle og bearbejde tilstrækkelig meget relevant information til at kunne reagere hensigtsmæssigt på en krise er blevet helt uoverskuelig, hvis man forestiller sig, at en central myndighed kunne løfte den opgave (Walker & Cooper, 2011). ”Den spidse ende” af samfundets sektorer er det eneste sted, der er tilstrækkelig viden til at reagere hurtigt og improvisere med henblik på at opretholde vitale leverancer og syste-mer (Dunn-Cavelty & Suter, 2009, p. 183). Centralisering er derfor ikke en gangbar løsningsmodel for samfundets evne til at opretholde vitale funktioner. Løsningen må være en variant af sektoran-svarsprincippet, hvor de enkelte sektorer identificerer og administrerer kritisk infrastruktur gennem en blanding af facilitering, motivering og lovgivning. Sektorerne kan med den rette kombination af organisation og incitamenter fungere som selvorganiserende netværk, der bidrager til samfundets resiliens (Dunn-Cavelty & Suter, 2009).

Den kommende nationale strategi for cyber- og informations-sikkerhed Regeringen satte i december 2016 Forsvarsministeriet i spidsen for et tværministerielt arbejde med at udvikle en ny national strategi for cyber- og informationssikkerhed (herefter benævnt cyberstrategien). Formålet kan opsummeres i et citat fra kommissoriet: ”Opretholdelsen af systemer og tjenester, som myndigheder, borgere og virksomheder kan have tillid til, er en forudsætning for den videre udvikling af velfærdssamfundet og udnyttelsen af de digitale muligheder. Trusler mod informationssikkerheden er reelle og har afledte effekter som eksempelvis økonomisk tab og tab af tillid til såvel den digitale udvikling som til de aktører, der udøver samfundsvigtige funktioner. Sikkerhed i løsningerne skal kontinuerligt afvejes i forhold til omkostninger, brugervenlighed og effektivitet” (Regeringen, 2016b).

Danmark har siden 2001 haft nationale strategier for den offentlige sektors, borgernes og virksom-hedernes udnyttelse af cyberdomænet (Digitaliseringsstyrelsen, 2017). Den første nationale strategi for cyber- og informationssikkerhed kom i 2014. Den fokuserede på staten, energi- og informations-sektoren og havde til formål at skabe et overblik over risici og svagheder (Regeringen, 2014).

Den kommende cyberstrategi skal bygge videre på de opnåede resultater og udbredes til flere sek-torer, dels gennem inddragelse af flere offentlige myndigheder, dels gennem øget samarbejde med private leverandører – i daglig tale kaldet ”public-private partnerships” (PPP). Strategien skal omfatte energi-, tele-, transport-, finans- og sundhedssektoren samt statslige myndigheder og institutioner, der varetager samfundskritiske funktioner. Dertil kommer en række ministerier, der har opgaver på

8


andre områder, f.eks. uddannelse. I alt deltager 13 ministerier. Strategien bør bygge på sektoran-svarsprincippet og understøtte tværsektoriel kommunikation og vidensdeling (Regeringen, 2016b). Parallelt med stategiens implementering skal EU’s direktiv om foranstaltninger til sikring af et højt fælles sikkerhedsniveau for net- og informationssystemer (det såkaldte NIS-direktiv) implementeres inden den 9. maj 2018, og strategien bør understøtte denne proces.

Ganske kort kan det hidtidige forløb med udvikling af Danmarks nye cyberstrategi beskrives såle-des: Forsvarsministeriet, der normalt håndterer beredskabsforhold, fik i december 2016 til opgave at koordinere det tværministerielle arbejde med udvikling og implementering af den nye strategi. Regeringen afsatte indledningsvis ikke ekstra midler til opgaven (Regeringen, 2016b, s. 4). Efter et halvt år med begrænset fremgang i arbejdet overdrog regeringen i august 2017 ansvaret for det tværministerielle arbejde til Finansministeriet, og der blev afsat en engangsbevilling på 100 mio. kr. til formålet. Forsvarsministeriet forestår dog fortsat den tværministerielle koordination af arbejdet med implementering af NIS-direktivet (Forsvarsministeriet, n.d.).

Det er sandsynligt, at den manglende fremdrift skyldes, at udarbejdelsen af input til den nye infor-mations- og cybersikkerhedsstrategi har skullet konkurrere med ministeriernes mange øvrige ker-neforpligtigelser og er blevet nedprioriteret. I den forbindelse er der næppe grundlag for at bebrejde Forsvarsministeriet den manglende fremdrift: Forsvarsministeriet har ikke mulighed for at påvirke tempoet eller kvaliteten af de andre ministeriers arbejde, og der var i den periode, hvor ministeriet havde ansvaret for den tværsektorielle koordination, ikke afsat ekstra midler til at gennemføre opgaven.

Den kommende strategi og behovet for en centraliseret definition af kritiske sektorerIdentifikation af kritisk infrastruktur stiller principielt krav om centralisering af beslutningsprocessen. For at sektorerne kan identificere, hvad der er kritisk i deres ressortområde, må man have centralt definerede strategiske kriterier. Det er samtidig et vigtigt element i et demokrati, at det i den de-mokratiske proces kan debatteres, hvad der prioriteres som kritisk, og hvad der kan nedprioriteres i en krisesituation. Samtidig kan sektorerne kun fungere som selvorganiserende netværk, hvis der er klare mål at selvorganisere indsatsen hen imod. Derfor bør staten med udgangspunkt i en sikker-hedspolitisk, social og økonomisk vurdering formulere klare mål og prioriteter, der skal kommunikeres ud til sektorerne.

Som i mange andre lande har staten udliciteret store dele af samfundets kritiske leverancer til net-værk af private virksomheder i indbyrdes konkurrence. Der foreligger ikke tal for Danmark, men i USA angiver handelskammeret, at private aktører udgør 85 % af det, som Department of Homeland Security definerer som kritisk infrastruktur (US Chamber of Commerce, 2018). Den amerikanske sundhedssektor, som er blandt de 16 sektorer, der defineres som kritiske, er for en stor dels ved-kommende privat (Departement of Homeland Security, n.d.). Da sundhedssektoren i Danmark for størstedelens vedkommende er offentlig, er det nærliggende at antage, at en analyse af kritisk in-frastruktur i Danmark baseret på samme kriterier som i USA ville komme frem til en privat andel på mindre end 85 %, omend stadig meget stor.

9


I Danmark har man i modsætning til mange andre lande (f.eks. Storbritannien, Holland, Sverige og USA) ikke nogen centralt bestemt institutionel definition af kritisk infrastruktur (CPNI 2018; Ministe-rie van Justitie en Veiligheid 2010, s. 4–6; Swedish Civil Contingencies Agency (MSB) 2014, s. 12; Departement of Homeland Security 2018; Christensen and Lund Petersen 2017, s. 3). Der er i lov-givningen kun påpeget en række sektorer som eksempler på kritiske sektorer (Lauta, Hoffmann, & Struwe, 2013, s. 8–9). I dansk forvaltning har sektorerne derfor til opgave at foretage en individuel og dynamisk fortolkning af begrebet, hvilket efterlader dem med et betydeligt frirum (Christensen & Lund Petersen, 2017, s. 3). Denne opgave suppleres fra maj 2018 af EU’s NIS-direktiv, der pålægger medlemslandene at identificere leverandører af væsentlige tjenester samt at sikre, at de lever op til en række krav med fokus på cyberdomænet. Hensigten er at øge leverandørernes og dermed med-lemslandenes og EU’s resiliens (Europa Parlamentet, 2016, s. 4). Ifølge Center for Cybersikkerhed skal NIS-direktivet implementeres parallelt med den kommende strategi ud fra sektoransvarsprincippet af de ressortansvarlige ministerier, som vurderer behovet for og formen af tilpasning af sektorlovgivning. De ressortansvarlige ministerier opstiller ligeledes kriterierne for operatører af væsentlige tjenester og fører tilsyn med overholdelsen af de sektorspecifikke regler for net- og informationssikkerhed (Jensen, 2017a).

Ud fra et operativt standpunkt er det nødvendigt at minimere udpegelsen af kritisk infrastruktur og leverandører af væsentlige tjenester for at kunne fokusere. Ud fra et administrativt og økonomisk standpunkt er der imidlertid også væsentlige incitamenter til at holde antallet nede: Hvis en leve-randør kategoriseres som væsentlig, eller en infrastruktur som kritisk, medfører det en række krav, der skal indgå i kontrakten med leverandøren. Det pålægger leverandøren en ekstra byrde i forhold til dennes konkurrenter og medfører alt andet lige øgede omkostninger, hvilket muligvis kan tvinge leverandøren til at øge prisen på sin leverance. Samtidig skal den pålæggende myndighed afsætte ressourcer til at kontrollere, at leverandøren lever op til de stillede krav.

Begge forhold forringer tydeligt mulighederne for at levere og indkøbe kritiske leverancer, i samme omfang som før leverancerne blev identificeret som kritiske. De samfundsmæssige gevinster i form af forbedret resiliens vil derimod ikke fremstå tydeligt, før der opstår en krise – en krise, der måske netop aldrig bliver aktuel, fordi samfundet er blevet mere resilient på grund af investeringer i foran-staltninger og kontrol.

Der er derfor risiko for, at sektorerne, eftersom de ikke er tildelt ekstra midler til driften af konse-kvenserne af cyberstrategien og NIS-direktivet, vil skele mere til de økonomiske hensyn end til de operative, når kritisk infrastruktur og leverandører skal identificeres. Den samme risiko er til stede, når sektorerne skal vurdere tilstrækkeligheden af egne foranstaltninger og forberedelser. Deres vur-dering vanskeliggøres yderligere af manglen på centralt fastsatte kriterier for kritisk infrastruktur.

Den kommende strategi og behovet for centraliseret overblikDen danske løsning på samfundets evne til at opretholde vitale funktioner har som beskrevet ovenfor traditionelt været sektoransvarsprincippet. Sektoransvar og bestemmelserne om den civile sektors planlægningsforpligtigelser er indeholdt i beredskabslovens kapitel 5 (§§ 24-28) (Forsvarsministeriet, 1992). Det fremgår klart af regeringens kommissorium, at den kommende strategi bør bygge på

10


sektoransvarsprincippet og understøtte tværsektoriel kommunikation og vidensdeling (Regeringen, 2016b, s. 2, 3). Som tidligere gennemgået er der gode teoretiske og praktiske grunde til at bygge samfundets resiliens op omkring sektoransvarsprincippet. Den, der har ansvaret på et bestemt område under en krise, er den samme, som har det daglige ansvar og dermed den bedste og mest opdaterede viden. Sektorerne har det bedste indblik, men de har ikke nødvendigvis overblik.

I Danmark har man en krisestyringsorganisation, der i ekstraordinære situationer træder sammen og løfter opgaven med at skabe overblik og koordinere sektorernes indsats (Beredskabsstyrelsen, 2015, s. 4, 8). Problemet i denne sammenhæng er, at der ikke er nogen myndighed, der har ansvar for og autoritet til at sikre kvaliteten og koordinationen af sektorernes planlægning og forberedelser imellem kriser (Beredskabsstyrelsen, 2004, s. 284; Christensen & Lund Petersen, 2017, s. 1). Forskellige gra-der af forberedelse samt svagheder i koordinationen mellem sektorerne og huller i overblikket bliver derfor først erkendt under en krise eller i heldigste fald under en af de nationale kriseøvelser, som ministerier og styrelser med beredskabsansvar deltager i hvert andet år (Beredskabsstyrelsen, 2018).

En væsentlig del af den praktiske gennemførelse af både NIS-direktivet og Danmarks første cyber-strategi består i implementering af ISO27001-standarder i offentlige myndigheder og hos private leverandører af væsentlige tjenester (Europa Parlamentet, 2016; Regeringen, 2014, s. 3). ISO-27001 er ikke en fast standard for cybersikkerhed, men en systematisk metodik til at udvikle, gennemgå og teste sin organisation og sine underleverandører, så man opnår størst mulig indsigt og robusthed til at overkomme hændelser – også i cyberdomænet (Digitaliseringsstyrelsen, n.d.). Hvis ISO-27001 bliver implementeret og vedligeholdt ordentligt, giver det sektorerne dybt indblik i egne forhold. Metoden giver dog kun i begrænset omfang overblik over gensidige afhængigheder og strategiske effekter af hændelser i andre sektorer. Der er derfor behov for en central organisering af tværsektoriel vidensdeling og koordination.

Man kan dele opgaven med tværsektoriel vidensdeling og koordination op i to delopgaver, der er delvist overlappende: tværministerielt samarbejde mellem de ansvarlige ressortministerier og deres respektive sektorer og strategisk samarbejde mellem private og offentlige aktører i og mellem sekto-rerne. De to delopgaver er repræsenteret i to samarbejdsfora: Den Tværministerielle Kontaktgruppe vedrørende Cybersikkerhed, som er et netværk for ministeriers topledelser, og Det Strategiske Sam-arbejdsforum om Cybersikkerhed, hvis medlemmer omfatter en række samfundsvigtige virksomheder fra den private sektor samt brancheorganisationer (Forsvarsministeriet, 2016).

Det tværministerielle samarbejde er en udfordringDet følger af sektoransvarsprincippets decentraliserede ansvar for cyber- og informationssikkerheds-strategien, at ressortministerierne hver især står for fortolkningen af ansvaret (Jensen, 2017a). Samtidig kontrollerer og evaluerer ministerierne selv, om deres sektorer lever op til ansvaret. Det indebærer alt andet lige en risiko for, at de forskellige sektorer ikke opnår en fælles forståelse af opgaven og ikke prioriterer den lige højt.

En fælles forståelse af sektoransvaret og prioritering af beredskabsopgaver var en udfordring, al-lerede inden cyberresiliens blev tilføjet (Beredskabsstyrelsen, 2006, s. 22–33). Ifølge Center for

11


Cybersikkerhed er der på nuværende tidspunkt forskellige modenhedsniveauer i arbejdet med både den nuværende og kommende cyberstrategi i de forskellige sektorer (Jensen, 2017a).

Den offentlig-private koordination er begrænset i omfangPå nuværende tidspunkt er der kun begrænset direkte og formaliseret vidensdeling og koordination mellem private aktører og staten på cyberområdet. Center for Cybersikkerhed gennemfører i rammen af Det Strategiske Samarbejdsforum briefinger tre gange årligt for relevante offentlige myndigheder og inviterede private virksomheder, hvor der er lejlighed til at vidensdele på tværs af sektorerne. Der er ingen formaliserede kriterier for, hvilke private aktører der inviteres, men de ca. 40 delta-gere i forummet kommer fra de øverste ledelseslag i it- og telesektoren, finanssektoren, energi- og forsyningssektoren, forsvarssektoren og transportsektoren. Hertil kommer en række mere teknisk betonede møder i Teknisk Forum, hvor specialister på området kan vidensdele. Mødernes indhold er klassificeret, og der må ikke refereres fra møderne til offentligheden (Jensen, 2017a). Foruden disse møder er der en række andre kontaktflader mellem staten og den private sektor. Der foregår en meget betydelig vidensdeling gennem udveksling af tekniske og andre oplysninger, når private eller offentlige virksomheder anmelder cyberangreb eller andre hændelser. I Danmark er virksomhe-der som udgangspunkt ikke forpligtet til at anmelde cyberhændelser, men siden 2016 har offentlige myndigheder og virksomheder samt virksomheder inden for bestemte sektorer – særligt telesektoren – været forpligtet til at anmelde angreb. Øvrige virksomheder opfordres dog til at anmelde angreb, og de kan gøre det, uden at andre får kendskab til hændelsen (Center for Cybersikkerhed, 2016).

Ifølge Rådet for Digital Sikkerhed deltager interesseorganisationer fra den private sektor, f.eks. Dansk Erhverv og Dansk Industri, i Center for Cybersikkerhed løbende orienterings- og erfaringsudvekslingsmøder, hvilket er udbytterigt for begge parter. Samtidig er disse og andre relevante interesseorganisationer af Digitaliseringsstyrelsen blevet indbudt til i en høringsrunde at komme med idéer og bidrag til den kommende cyber- og informationsstrategi. Et af de ønskede punkter er en fælles varslings- og indberetningsportal, så virksomheder ikke først skal finde ud af, om de skal indrapportere hændelser til Datatilsynet, politiet (NC3) eller Forsvarets Efterretningstjeneste (Center for Cybersikkerhed). Rådet for Digital Sikkerhed vurderer generelt, at det er positivt, at der kommer fastere rammer for cyber- og informationssikkerhed i samfundet, men at det er en udfordring, at de respektive sektorer og ansvarlige ministerier mangler erfaring med at løse disse opgaver. Hertil kom-mer, at Rådet for Digital Sikkerhed ser en videreførelse på cyberområdet af de svagheder, der historisk er fulgt af at implementere samfundsmæssige beredskabsforhold gennem sektoransvarsprincippet: Sektorerne har indsigt i egne forhold, men i mindre grad overblik, og samvirket mellem sektorerne er vanskeligt. En anden udfordring er ifølge Rådet for Digital Sikkerhed, hvordan omkostningerne til implementering af en ny strategi skal fordeles mellem det offentlige og virksomhederne, samt det forhold, at sektorerne ikke er tildelt ekstra midler til drift af strategien (Jensen, 2017c).

Nogle private sektorer, f.eks. finanssektoren, er af egen drift gået hurtigere frem på cybersikkerheds- og resiliensområdet, end de har behøvet i forhold til lovgivningen. Under ledelse af Danmarks National-bank dannede finanssektoren i 2016 Finansielt Sektorforum for Operationel Robusthed (FSOR). FSOR har gennemført krise- og beredskabsøvelser og siden 2017 indgået i et nordisk finansielt cybersik-kerhedssamarbejde (FSOR, 2017) (Hansen, 2017). Det er sandsynligt, at finanssektoren er rykket

12


særlig hurtigt, fordi den vurderede, at de potentielle omkostninger ved manglende imødegåelse af cybertrusler oversteg udgifterne ved at indføre et passende niveau af modforanstaltninger. Der er dog mange andre dele af den private sektor, hvor de samme markedsmekanismer ikke formår at trække cybersikkerheden op på et samfundsmæssigt optimalt niveau. Det er ikke vanskeligt at forestille sig en situation, hvor de tab, en virksomhed risikerer ved cyberhændelser, herunder virksomhedens økonomiske incitament til at bekoste cyberresiliens, vil være langt mindre end de tab, samfundet risikerer som følge af kaskader af afledte konsekvenser. Et helt teoretisk eksempel kunne være en underleverandør til en mindre, men vigtig servicefunktion i Københavns Lufthavn, f.eks. det firma, der forestår afisning af fly. Man kunne forestille sig en situation, hvor en cyberhændelse midlertidigt medførte, at afisningsleverandøren ikke vidste, hvilke fly der skulle afises, og hvor i lufthavnen de stod. Firmaet ville så skulle skifte til analoge styringssystemer, og fly ville blive forsinket i betydeligt omfang. Hændelsen ville sandsynligvis medføre en bod eller lignende for firmaet. De samfundsmæssige omkostninger på grund af aflyste flyafgange ville formentlig være langt større, især hvis de afledte anden- og tredjeordenseffekter regnes med.

Den kommende strategi og behovet for centraliseret omkostningsfordelingRegeringen har i sit oplæg til den nye cyberstrategi ikke peget på, hvordan udgifter, der spreder sig over flere sektorer – eller lander mellem dem – skal fordeles. De tildelte 100 mio. kr. er et engangsbeløb, der primært skal dække tværsektorielle aktiviteter – ikke sektorernes interne udgifter og den løbende drift. Hovedparten af ressourcerne til at udvikle, indføre og opretholde de øgede krav til sektorerne i form af pålagte foranstaltninger, forvaltning, facilitering og kontrol, som en ny cyberstrategi vil medføre, skal stadig findes i konkurrence med ministeriernes øvrige opgaver. Det vil derfor fremover være en løbende opgave for de respektive sektorer selv at finde midlerne, og der skal løbende tages administrativ eller politisk stilling til fordeling af udgifter, der dækker flere sektorer.

Digitaliseringsstyrelsen kan på grund af det igangværende arbejde med at udarbejde strategien ikke på nuværende tidspunkt kommentere på det konkrete indhold, herunder hvorvidt der er enighed om, hvad sektoransvarsprincippet indebærer, når ansvar og udgifter skal fordeles mellem de involverede ministerier (Jensen, 2017b).

Konklusion: Den kommende strategi vil næppe opfylde behovet for centraliseret ansvar i statens forvaltning af sektoransvaretAfslutningsvis er det, efter denne lange præsentation af udfordringer med ansvarsfordeling mellem ressortministerierne og omfanget af det offentlig-private samarbejde, værd at fremhæve, at der er sket fremskridt med statens og virksomhedernes cyberresiliens gennem de seneste år.

Center for Cybersikkerhed oplever gennem deres omfattende kontakt med både private og offentlige aktører, at implementeringen af Danmarks første cyberstrategi har medført en modning og kvalificering af cybersikkerhedstiltagene. Centret vurderer, at det er en udvikling, der alt andet lige vil fortsætte med den nye strategi og EU-direktivet (Jensen, 2017a).

13


Med det forbehold, at den kommende cyber- og informationsstrategi i skrivende stund (januar 2018) ikke er færdig, kan man på baggrund af analysen drage følgende konklusioner:

Behovet for en centraliseret definition af kritiske sektorer: Det er mindre sandsynligt, at strategien vil skabe klarere rammer for, hvad der udgør kritisk infrastruktur i Danmark. Der er ikke i kommissoriet for den kommende strategi lagt op til en skarpere institutionel definition af kritisk infrastruktur. Alt andet lige vil den parallelle implementering af NIS-direktivet dog betyde, at der i den sammenhæng skal tages konkret stilling til, hvem og hvad der er væsentlige leverandører ud fra EU’s mere opera-tive kriterier.

Behovet for centraliseret overblik: Sektoransvaret for beredskab har været gældende i hvert fald siden 1992 (Forsvarsministeriet, 1992), uden at det er lykkedes at opnå en ensartet tilgang til og fortolkning af, hvad ansvaret indebærer for alle ressortministerierne. På den baggrund er det mindre sandsynligt, at det vil lykkes Digitaliseringsstyrelsen at opnå en fælles forståelse blandt ministerierne af opgaverne med den kommende cyberstrategi, herunder også fordelingen af ansvaret for imple-mentering og kontrol.

Behovet for centraliseret omkostningsfordeling: Der er på nuværende tidspunkt (januar 2018) ikke sat ekstra midler af til ressortministeriernes individuelle udgifter til drift af eventuelle løbende eks-traudgifter i forbindelse med den kommende strategi. Det må forventes, at de 13 involverede res-sortministerier fortsat individuelt skal prioritere cyberopgaverne i forhold til øvrige opgaver. Ud over spørgsmålet om fordeling af den offentlige sektors andel af udgifterne udestår også spørgsmålet om, hvordan private virksomheder, der identificeres som væsentlige leverandører eller kritisk infrastruktur, skal dække medfølgende omkostninger.

14


Litteratur15 års fælles digitaliseringsstrategier | Digitaliseringsstyrelsen. (2017). Retrieved November 21,

2017, from https://www.digst.dk/Strategier/Strategi-2016-2020/15-aars-digitaliseringsstrategi

Beredskabsloven - Beredskabsloven - retsinformation.dk (1992). Retrieved from https://www.rets-information.dk/Forms/R0710.aspx?id=52845

Beredskabsstyrelsen. (2004). National Sårbarhedsudredning Udvalget for National Sårbarhedsud-redning. Birkerød. Retrieved from https://brs.dk/viden/publikationer/Documents/Sårbarhed-sudredning_2004.pdf

Beredskabsstyrelsen. (2006). National Sårbarhedsrapport 2006.

Beredskabsstyrelsen. (2015). Krisestyring i Danmark. Birkerød: Beredskabsstyrelsen. Retrieved from http://brs.dk/viden/publikationer/Documents/Krisestyring i Danmark.pdf

Beredskabsstyrelsen. (2018). Krisestyringsøvelser. Retrieved January 31, 2018, from http://brs.dk/beredskab/idk/krisestyringsoevelser/Pages/Krisestyringsoevelser.aspx

Center for Cybersikkerhed. (2016). Vejledning til underretningsunderordning i tilfaelde af cyberan-greb. København: Forsvarets Efterretningstjeneste. Retrieved from https://fe-ddis.dk/cfcs/CFCSDocuments/Vejledning til underretningsunderordning i tilfælde af cyberangreb (nyt govcert-nummer).pdf

Christensen, C. K., & Lund Petersen, K. (2017). Cybertruslen: Kompleksitet der kræver (an)svar. Copenhagen. Retrieved from http://static-curis.ku.dk/portal/files/179618812/T_nketanken_Ret_Sikkerhed_Policy_Paper_Nr._1_Cyberkriminalitet_.pdf

Christensen, K. K., & Lund Petersen, K. (2017). Public–private partnerships on cyber security: a practice of loyalty. International Affairs, 93(10), 1435–1452. https://doi.org/10.1093/ia/iix189

CPNI. (2018). Critical National Infrastructure | CPNI | Public Website. Retrieved January 11, 2018, from https://www.cpni.gov.uk/critical-national-infrastructure-0

Departement of Homeland Security. (n.d.). Critical Infrastructure Sectors | Homeland Security. Re-trieved January 8, 2018, from https://www.dhs.gov/critical-infrastructure-sectors

Digitaliseringsstyrelsen. (n.d.). Hvad er ISO27001? | Digitaliseringsstyrelsen. Retrieved January 11, 2018, from https://www.digst.dk/informationssikkerhed/Implementering-af-ISO27001/Implementering-af-ISO27001/Hvad-er-ISO27001

15


Dunn-Cavelty, M., & Suter, M. (2009). Public–Private Partnerships are no silver bullet: An expanded governance model for Critical Infrastructure Protection. International Journal of Critical Infra-structure Protection, 2(1), 179–187. https://doi.org/10.1016/j.ijcip.2009.08.006

Europa Parlamentet. EU NIS Direktiv (Europa Parlamentets og Rådets Direktiv (EU) 2016/1148), EU NIS Direktiv (Europa Parlamentets og Rådets Direktiv (EU) 2016/1148) § (2016). EUROPA PARLAMENTET. Retrieved from http://eur-lex.europa.eu/legal-content/DA/TXT/PDF/?uri=CELEX:32016L1148&from=EN

Forsvarets Efterretningstjeneste. (2017). Efterretningsmaessig Risikovurdering 2017. København. Retrieved from https://fe-ddis.dk/SiteCollectionDocuments/FE/EfterretningsmaessigeRisikovur-deringer/Risikovurdering2017.pdf

Forsvarsministeriet. (n.d.). Regeringen styrker indsatsen mod cybertrusler. Retrieved September 5, 2017, from http://www.fmn.dk/nyheder/Pages/regeringen-styrker-indsatsen-mod-cybertrusler.aspx

Forsvarsministeriet. (2016). Samarbejde på cybersikkerhedsområdet. Retrieved September 5, 2017, from http://www.fmn.dk/temaer/cybersikkerhed/Pages/Samarbejde-paa-cybersikkerhedsom-raadet.aspx

FSOR. (2017). Test af krise beredskab gennemført med succes. Retrieved from http://www.national-banken.dk/da/finansielstabilitet/Documents/FSOR_test af kriseberedskab.pdf

Hansen, S. L. (2017). Nordisk samarbejde i finanssektoren styrker kampen mod cyberkriminalitet. Retrieved January 11, 2018, from http://finansdanmark.dk/nyheder/2017/nordisk-samarbejde-i-finanssektoren-styrker-kampen-mod-cyberkriminalitet/

Jensen, M. S. (2017a). Interview med Center for Cybersikkerhed 01112017.

Jensen, M. S. (2017b). Interview med Digitaliseringsstyrelsen 24112017. København.

Jensen, M. S. (2017c). Interview med rådet for digital sikkerhed 20122017.

Lauta, K. C., Hoffmann, R., & Struwe, L. B. (2013). Cyberwarfares udfordringer af begrebet kritisk infrastruktur. Retrieved from http://curis.ku.dk/ws/files/66128849/Cyberwarfare.pdf

Ministerie van Justitie en Veiligheid. (2010). 2de inhoudelijke analyse bescherming vitale infrastructuur. Retrieved from https://www.nctv.nl/binaries/bijl-1-2010-2e-inhoudelijke-analyse-bescherming-vitale-infrastructuur_tcm31-32507.pdf

Nye, J. S. J. (2016). Deterrence and Dissuasion in Cyberspace. International Security, 41, 44–71.

Pogson Smith, W. G. (1965). HOBBES’S LEVIATHAN REPRINTED FROM THE EDITION OF 1651 WITH AN ESSAY BY THE LATE (1st ed.). Oxford: Clarenden Press. Retrieved from http://files.liberty-fund.org/files/869/0161_Bk.pdf

16


Regeringen. (2014). National strategi for cyber- og informationssikkerhed – Øget professionalisering og mere viden, December 2014. København. Retrieved from http://www.fmn.dk/nyheder/Do-cuments/National-strategi-for-cyber-og-informationssikkerhed.pdf

Regeringen. (2016a). FOR ET FRIERE, RIGERE OG MERE TRYGT DANMARK. Regeringsgrundlaget. Copenhagen. Retrieved from http://www.stm.dk/multimedia/Regeringsgrundlag2016.pdf

Regeringen. Kommissorium for det tværministerielle arbejde med den nationale strategi for cyber- og informationssikkerhed 2017-2019 (2016). Copenhagen: The Danish Government. Retrieved from http://www.fmn.dk/nyheder/Documents/Kommissorium.pdf

Swedish Civil Contingencies Agency (MSB). (2014). Action Plan for the Protection of Vital Societal Functions & Critical Infrastructure. Retrieved from https://www.msb.se/RibData/Filer/pdf/27412.pdf

US Chamber of Commerce. (2018). Critical Infrastructure Protection, Information Sharing and Cyber Security | U.S. Chamber of Commerce. Retrieved January 8, 2018, from https://www.uscham-ber.com/issue-brief/critical-infrastructure-protection-information-sharing-and-cyber-security

Walker, J., & Cooper, M. (2011). Genealogies of Resilience, 14(2), 1–29.