Bjarke Alling er formand for Cybersikkerhedsrådet, bestyrelsesformand og koncern­direktør for samt stifter af it-virksomheden Liga. Siden 2018 formand for IT-Sikkerhedsudvalget i organisationen IT-Branchen. Foto: Magnus Møller

VIDENDELING

Tal om det

Truslen om cyberkriminalitet mod Danmark har i årevis været meget stor. Lige før årsskiftet fremlagde regeringen sin nationale strategi for cyber- og informationssikkerhed. Den fokuserer blandt andet på trusler og sikkerhedshændelser. Bjarke Alling, der er medlem af og tidligere formand for Cybersikkerhedsrådet, mener, at åbenhed i forbindelse med angreb er et vigtigt – men ofte undervurderet – våben.

Smittestop-appen blev udviklet i al hast under coronakrisen og frigivet i juni 2020. Blot et halvt år tidligere havde det nye nationale cybersikkerhedsråd set dagens lys, og selv om der var pres på for at få appen klar, blev det alligevel prioriteret, at rådet skulle have tid til at rådgive myndighederne om Smittestops sikkerhed.

Cybersikkerhedsrådet pegede på en række spørgsmål, som staten og sundhedssektoren ikke var opmærksomme på.
– Smittestop-appen havde set anderledes ud, hvis man ikke havde taget en debat med Cybersikkerhedsrådet, siger Bjarke Alling.

Han er medlem af og tidligere formand for Cybersikkerhedsrådet, der netop er sat i verden for at rådgive regeringen om, hvordan den digitale sikkerhed styrkes.
Bjarke Alling mener, at de danske virksomheder, organisationer og myndigheder skal blive meget bedre til at dele viden og stå frem med deres erfaringer med konkrete angreb, utilstrækkelige arbejdsgange og utidssvarende problemer. For kun ved at dele det, vi ved, bliver vi klogere og stærkere mod den fælles fjende: de cyberkriminelle.

Tema:

Denne artikel er en del af et tema, der handler om at dele viden under hackerangreb:

Tal om det
Forhandleren
Sæt spot på ulykken

Et af Cybersikkerhedsrådets fokuspunkter er at konsolidere, koordinere og systematisere videndeling mellem myndigheder, erhvervsliv og forskning.
– Landskabet af aktører, der deler viden, er fragmenteret. Der ligger data hos Erhvervsstyrelsen, Datatilsynet og en meget lang række andre, siger Bjarke Alling.

Større deling af viden er også et af punkterne i regeringens nationale strategi for cyber- og informationssikkerhed, som blev lanceret i december 2021 og gælder frem til 2024. Her understreges det blandt andet, at videndelingen i små og mellemstore virksomheder skal skærpes. Bjarke Alling anerkender strategiens fokus på videndeling. Men han efterlyser åbenhed om strategien fra myndighedernes side.
– Bag strategien ligger der et endnu større og langt mere detaljeret dokument, som beskriver de enkelte punkter i strategien. Det dokument har jeg ikke set. Det deler man desværre ikke med folk uden for staten, siger han.

Hvis myndighederne var mere åbne om planlægningen, ville det ifølge Bjarke Alling være gavnligt. Hvis de delte mere, ville det afmontere spekulationer om, hvorvidt de overhovedet har gjort sig konkrete tanker om deres initiativer. Det kræver dog, at embedsværket ændrer deres arbejdsprocesser.
– Men jeg ved, at Cybersikkerhedsrådet allerede har rykket ved tilgangen. Embedsværket har skullet vænne sig til at være lidt mere åbne over for rådets medlemmer, end man historisk har været, siger Bjarke Alling.

Det skulle meget nødigt føre til en fyring, at man fortæller om uhensigts­mæssigheder i it-systemerne
- Bjarke Alling, medlem af Cybersikkerhedsrådet

Nogle af de spørgsmål, der bliver drøftet på Cybersikkerhedsrådets møder, bliver ikke ført til referat. Det har ifølge Bjarke Alling betydet, at åbenheden omkring trusler og modtræk er større end sædvanligt, måske i særlig grad for medlemmerne fra den private sektor, fordi de kan føle sig trygge ved, at deres input ikke bliver debatteret i pressen. Og det fremmer udvekslingen af erfaringer, mener han.

Bjarke Alling er overbevist om, at bevægelsen mod en mere gavnlig arbejdsgang i statsadministrationen er kommet for at blive.
– Det er der også brug for. Der er mange, som gerne vil bidrage og være med til at skabe en forandring. Målet er vi enige om – nemlig større sikkerhed. Vi er også enige om, at vi skal være mere robuste. Hvis du ikke er robust, så bliver du angrebet, siger han.

Den rigtige model

Det er reguleret ved lov, hvorvidt en bestemt virksomhed må sidde i erfagruppe med konkurrerende virksomheder. Ingen har lyst til at blive anklaget for karteldannelse, og det er et problem, når det gælder videndeling. Bjarke Alling efterlyser derfor en revidering af loven, så det bliver muligt at dele viden uden at risikere at få en sag på halsen.

GDPR-reglerne er et andet eksempel på, hvordan lovgivning gør det svært at dele viden, mener han. Her kan en virksomhed ende i en situation, hvor data er indberettet og lagret til ét formål og samtidig kan være nyttige for andre i arbejdet for øget sikkerhed.

40%

Så mange af de små og mellemstore virksomheder har ifølge den nationale strategi for cyber- og informationssikkerhed, 2021, et utilstrækkeligt sikkerhedsniveau i forhold til deres risikoprofil

Men man kan selvfølgelig ikke bare bruge data til et andet formål end det, der er givet samtykke til. Så der er ifølge Bjarke Alling behov for at kigge på procedurerne for, hvordan samtykke indhentes og formuleres.
– Jeg tror, vi skal anlægge en mere videnskabelig tilgang til problemstillingen. Lad os nu få idéer, erfaringer og synspunkter op på tavlen. Og så finde ud af, hvad den rigtige model er for Danmark. Det handler blandt andet om at finde en balance mellem, hvad der er efterretningsinformation, og hvad der ikke nødvendigvis skal være hemmeligt. Vi er nødt til at få det hele kortlagt, siger han.

Red-team-test

Bjarke Alling er ud over at være medlem af Cybersikkerhedsrådet også formand for IT-Branchens IT-sikkerhedsudvalg.

Han har i den egenskab været med til at udarbejde et kodeks for, hvordan virksomheder skal udføre sikkerhedstest. Det skal forhindre, at medarbejdere kommer i klemme. Kodekset handler om de såkaldte red-team-test, hvor en professionel ekstern part afprøver, hvordan virksomhedens medarbejdere håndterer sikkerheden af de data, som virksomheden besidder.
– Disse test skal udføres på etisk og korrekt vis, og de skal ikke sætte hverken virksomhed eller ansatte i en ubehagelig situation. IT-sikkerhedsudvalget har udarbejdet et kodeks for gennemførsel af sikkerhedstest for at sikre, at ingen af de involverede føler sig trådt på. Kodekset sikrer desuden standardprocedurer for sikkerhedstest på tværs af branchen, siger han.


Kodekset blev udarbejdet i 2019 efter en penibel sag i Nyborg Kommune. Kommunen udformede i samarbejde med it-sikkerhedsfirmaet Prueba Cybersecurity en test af 4kløverskolen i Ørbæk på Fyn. Skolen blev udvalgt tilfældigt og havde ikke kendte problemer med personfølsomme oplysninger.

Nyborg Kommune betalte en mand for at møde op på 4kløverskolen, og under dække af at være udsendt af kommunen – og med falsk id-kort og skjult kamera – forsøgte han at narre skolens ansatte til at udlevere personfølsomme oplysninger. For skolelederen var testen så voldsomt et tillidsbrud, at han var langtidssygemeldt i en periode. Senere fik han udbetalt en erstatning fra Nyborg Kommune.
– Vi fik efter sagen fra Nyborg flere fagforeninger med på at formulere nogle spilleregler for red-team-test, som beskytter medarbejderne mod at blive udskammet for at lave fejl. Sikkerhedstjek og indsamling af viden skal ikke handle om at mistænkeliggøre medarbejdere, men om at træne evnen til at kunne modstå svindel, siger Bjarke Alling.

Det ville være gavnligt, hvis staten var mere generøs med åbenhed omkring sin planlægning
- Bjarke Alling, medlem af Cybersikkerhedsrådet

Et andet eksempel på dilemmaet med at teste sikkerheden er en sag fra den forberedende grunduddannelse FGU Vestegnen.

I slutningen af oktober 2021 tikkede en mail ind i medarbejdernes mailboks. Det var en glædelig overraskelse. Enhver medarbejder, som gjorde sig den ulejlighed at give en række personlige oplysninger, ville blive belønnet med 8.500 kroner. Men fælden klappede. Mailen var falsk. Hanne Fischer, direktør for FGU Vestegnen, havde godkendt mailen. Hun forklarede senere, at den var en del af et uddannelsesforløb i GDPR og styrket cybersikkerhed.
– Nogle medarbejdere blev naturligvis stiktossede og forventede faktisk at få udbetalt pengene. Det var altså bare dumt. Lad nu være med at snyde folk for pokker, siger Bjarke Alling.

Han er sikker på, at FGU Vestegnen ikke havde lavet den fejl, hvis skolen havde fulgt IT-Branchens kodeks, og han mener, at sagen understreger vigtigheden af at få fagforeningerne med på arbejdet for større sikkerhed:
– Vi vil enormt gerne lære af folks fejl. Men vi skal da ikke udstille og udskamme afdelinger eller enkelte medarbejdere. Det skulle meget nødigt føre til en fyring, fordi man fortæller om uhensigtsmæssigheder i it-systemerne.

Kulturen skal ændres

Bjarke Alling anerkender, at mange nok vil betragte hans holdning om åbenhed som tindrende naiv, for man kan ikke ændre menneskets tilbøjelighed til at ville skjule egne svagheder.

Men han understreger, at cybertruslen er en permanent tilstand, og at kulturen skal ændres. Og skal cybersikkerheden øges rundtomkring på de danske arbejdspladser, er det ifølge Bjarke Alling afgørende at skabe et rum, hvor vi kan tale om tingene. Og ambitionen skal række videre end de whistleblowerordninger, mange virksomheder opretter for at øge sikkerheden.
– Det her handler om at have den rette mentalitet ude i virksomhederne og organisationerne. Vi skal diskutere kulturen. Vi skal motivere og honorere folk, der tør stå frem med ting, som ikke er i orden, og pege på steder, hvor trusler kan opstå. I stedet for at banke dem ned med en hammer, skal vi bære dem på en trone. Kulturændringen er nødvendig, siger han.

Mere viden, større sikkerhed

Videndeling er et prioriteret område i regeringens nyeste cybersikkerhedsstrategi, National strategi for cyber- og informations­sikkerhed 2022-2024. Strategien pointerer, at evnen til at dele viden er afgørende for et højere sikkerhedsniveau. Der er derfor behov for, at samarbejdet på tværs af sektorer styrkes, så alle kan blive endnu bedre til at dele viden på tværs og lære af hinanden. Statslige myndigheder skal også være bedre til at anvende data fra indberetninger til at formidle viden om trusler og sårbarheder.


Læs også...

Ole Tange, it-politisk rådgiver i PROSA, har i denne uge indsendt en klage over Danmarks Radio til Datatilsynet. Det skyldes DRs krav om obligatorisk…

Er du på jagt efter et nyt job i it-branchen? Og er du i tvivl om, hvad virksomhederne især kigger efter? PROSAbladet har spurgt en række…

Fra Baltikums største sciencepark i udkanten af Tallinn sikrer Tehnopol, at hundredvis af startups kommer flyvefærdigt ud i virkeligheden. De får…

Estiske børn og unge får praktisk talt tech ind med modermælken, da it og tech-gadgets er en helt central del af hverdagen i både børnehaver,…

I Estland har borgerne kunne stemme digitalt siden 2005. Der har været kritik og debat, men i dag er det mere end halvdelen af esterne, der bruger…

Hvis man i Estland gerne vil skifte spor i sin karriere, er der en lang række muligheder for at videreuddanne sig inden for it. Skoler og online…

I denne udgave af PROSAbladet har vi lavet et tema-nummer om Estland. Det er sjældent, at vi giver så meget spalteplads til et tema – men det baltiske…

Pulserende krea-værksted klæder estiske børn på med både tech-skills og startup-mentalitet. Der er ingen læreplaner eller kedelige eksamener, men 3D…

Det minder om en blanding af X Factor og Den store bagedyst, og det lægger på 15. år gaderne øde i Estland. Velkommen til tv-talentshowet Rakett69,…

Estland har rykket sig ufattelig langt de seneste 30 år – men hvad skal der ske nu? En af udfordringerne er, at Estland kommer til at mange hænder og…