Smittestop-appen blev udviklet i al hast under coronakrisen og frigivet i juni 2020. Blot et halvt år tidligere havde det nye nationale cybersikkerhedsråd set dagens lys, og selv om der var pres på for at få appen klar, blev det alligevel prioriteret, at rådet skulle have tid til at rådgive myndighederne om Smittestops sikkerhed.
Cybersikkerhedsrådet pegede på en række spørgsmål, som staten og sundhedssektoren ikke var opmærksomme på.
– Smittestop-appen havde set anderledes ud, hvis man ikke havde taget en debat med Cybersikkerhedsrådet, siger Bjarke Alling.
Han er medlem af og tidligere formand for Cybersikkerhedsrådet, der netop er sat i verden for at rådgive regeringen om, hvordan den digitale sikkerhed styrkes.
Bjarke Alling mener, at de danske virksomheder, organisationer og myndigheder skal blive meget bedre til at dele viden og stå frem med deres erfaringer med konkrete angreb, utilstrækkelige arbejdsgange og utidssvarende problemer. For kun ved at dele det, vi ved, bliver vi klogere og stærkere mod den fælles fjende: de cyberkriminelle.
Denne artikel er en del af et tema, der handler om at dele viden under hackerangreb:
Tal om det
Forhandleren
Sæt spot på ulykken
Et af Cybersikkerhedsrådets fokuspunkter er at konsolidere, koordinere og systematisere videndeling mellem myndigheder, erhvervsliv og forskning.
– Landskabet af aktører, der deler viden, er fragmenteret. Der ligger data hos Erhvervsstyrelsen, Datatilsynet og en meget lang række andre, siger Bjarke Alling.
Større deling af viden er også et af punkterne i regeringens nationale strategi for cyber- og informationssikkerhed, som blev lanceret i december 2021 og gælder frem til 2024. Her understreges det blandt andet, at videndelingen i små og mellemstore virksomheder skal skærpes. Bjarke Alling anerkender strategiens fokus på videndeling. Men han efterlyser åbenhed om strategien fra myndighedernes side.
– Bag strategien ligger der et endnu større og langt mere detaljeret dokument, som beskriver de enkelte punkter i strategien. Det dokument har jeg ikke set. Det deler man desværre ikke med folk uden for staten, siger han.
Hvis myndighederne var mere åbne om planlægningen, ville det ifølge Bjarke Alling være gavnligt. Hvis de delte mere, ville det afmontere spekulationer om, hvorvidt de overhovedet har gjort sig konkrete tanker om deres initiativer. Det kræver dog, at embedsværket ændrer deres arbejdsprocesser.
– Men jeg ved, at Cybersikkerhedsrådet allerede har rykket ved tilgangen. Embedsværket har skullet vænne sig til at være lidt mere åbne over for rådets medlemmer, end man historisk har været, siger Bjarke Alling.
Det skulle meget nødigt føre til en fyring, at man fortæller om uhensigtsmæssigheder i it-systemerne
Nogle af de spørgsmål, der bliver drøftet på Cybersikkerhedsrådets møder, bliver ikke ført til referat. Det har ifølge Bjarke Alling betydet, at åbenheden omkring trusler og modtræk er større end sædvanligt, måske i særlig grad for medlemmerne fra den private sektor, fordi de kan føle sig trygge ved, at deres input ikke bliver debatteret i pressen. Og det fremmer udvekslingen af erfaringer, mener han.
Bjarke Alling er overbevist om, at bevægelsen mod en mere gavnlig arbejdsgang i statsadministrationen er kommet for at blive.
– Det er der også brug for. Der er mange, som gerne vil bidrage og være med til at skabe en forandring. Målet er vi enige om – nemlig større sikkerhed. Vi er også enige om, at vi skal være mere robuste. Hvis du ikke er robust, så bliver du angrebet, siger han.
Det er reguleret ved lov, hvorvidt en bestemt virksomhed må sidde i erfagruppe med konkurrerende virksomheder. Ingen har lyst til at blive anklaget for karteldannelse, og det er et problem, når det gælder videndeling. Bjarke Alling efterlyser derfor en revidering af loven, så det bliver muligt at dele viden uden at risikere at få en sag på halsen.
GDPR-reglerne er et andet eksempel på, hvordan lovgivning gør det svært at dele viden, mener han. Her kan en virksomhed ende i en situation, hvor data er indberettet og lagret til ét formål og samtidig kan være nyttige for andre i arbejdet for øget sikkerhed.
Så mange af de små og mellemstore virksomheder har ifølge den nationale strategi for cyber- og informationssikkerhed, 2021, et utilstrækkeligt sikkerhedsniveau i forhold til deres risikoprofil
Men man kan selvfølgelig ikke bare bruge data til et andet formål end det, der er givet samtykke til. Så der er ifølge Bjarke Alling behov for at kigge på procedurerne for, hvordan samtykke indhentes og formuleres.
– Jeg tror, vi skal anlægge en mere videnskabelig tilgang til problemstillingen. Lad os nu få idéer, erfaringer og synspunkter op på tavlen. Og så finde ud af, hvad den rigtige model er for Danmark. Det handler blandt andet om at finde en balance mellem, hvad der er efterretningsinformation, og hvad der ikke nødvendigvis skal være hemmeligt. Vi er nødt til at få det hele kortlagt, siger han.
Bjarke Alling er ud over at være medlem af Cybersikkerhedsrådet også formand for IT-Branchens IT-sikkerhedsudvalg.
Han har i den egenskab været med til at udarbejde et kodeks for, hvordan virksomheder skal udføre sikkerhedstest. Det skal forhindre, at medarbejdere kommer i klemme. Kodekset handler om de såkaldte red-team-test, hvor en professionel ekstern part afprøver, hvordan virksomhedens medarbejdere håndterer sikkerheden af de data, som virksomheden besidder.
– Disse test skal udføres på etisk og korrekt vis, og de skal ikke sætte hverken virksomhed eller ansatte i en ubehagelig situation. IT-sikkerhedsudvalget har udarbejdet et kodeks for gennemførsel af sikkerhedstest for at sikre, at ingen af de involverede føler sig trådt på. Kodekset sikrer desuden standardprocedurer for sikkerhedstest på tværs af branchen, siger han.
Kodekset blev udarbejdet i 2019 efter en penibel sag i Nyborg Kommune. Kommunen udformede i samarbejde med it-sikkerhedsfirmaet Prueba Cybersecurity en test af 4kløverskolen i Ørbæk på Fyn. Skolen blev udvalgt tilfældigt og havde ikke kendte problemer med personfølsomme oplysninger.
Nyborg Kommune betalte en mand for at møde op på 4kløverskolen, og under dække af at være udsendt af kommunen – og med falsk id-kort og skjult kamera – forsøgte han at narre skolens ansatte til at udlevere personfølsomme oplysninger. For skolelederen var testen så voldsomt et tillidsbrud, at han var langtidssygemeldt i en periode. Senere fik han udbetalt en erstatning fra Nyborg Kommune.
– Vi fik efter sagen fra Nyborg flere fagforeninger med på at formulere nogle spilleregler for red-team-test, som beskytter medarbejderne mod at blive udskammet for at lave fejl. Sikkerhedstjek og indsamling af viden skal ikke handle om at mistænkeliggøre medarbejdere, men om at træne evnen til at kunne modstå svindel, siger Bjarke Alling.
Det ville være gavnligt, hvis staten var mere generøs med åbenhed omkring sin planlægning
Et andet eksempel på dilemmaet med at teste sikkerheden er en sag fra den forberedende grunduddannelse FGU Vestegnen.
I slutningen af oktober 2021 tikkede en mail ind i medarbejdernes mailboks. Det var en glædelig overraskelse. Enhver medarbejder, som gjorde sig den ulejlighed at give en række personlige oplysninger, ville blive belønnet med 8.500 kroner. Men fælden klappede. Mailen var falsk. Hanne Fischer, direktør for FGU Vestegnen, havde godkendt mailen. Hun forklarede senere, at den var en del af et uddannelsesforløb i GDPR og styrket cybersikkerhed.
– Nogle medarbejdere blev naturligvis stiktossede og forventede faktisk at få udbetalt pengene. Det var altså bare dumt. Lad nu være med at snyde folk for pokker, siger Bjarke Alling.
Han er sikker på, at FGU Vestegnen ikke havde lavet den fejl, hvis skolen havde fulgt IT-Branchens kodeks, og han mener, at sagen understreger vigtigheden af at få fagforeningerne med på arbejdet for større sikkerhed:
– Vi vil enormt gerne lære af folks fejl. Men vi skal da ikke udstille og udskamme afdelinger eller enkelte medarbejdere. Det skulle meget nødigt føre til en fyring, fordi man fortæller om uhensigtsmæssigheder i it-systemerne.
Bjarke Alling anerkender, at mange nok vil betragte hans holdning om åbenhed som tindrende naiv, for man kan ikke ændre menneskets tilbøjelighed til at ville skjule egne svagheder.
Men han understreger, at cybertruslen er en permanent tilstand, og at kulturen skal ændres. Og skal cybersikkerheden øges rundtomkring på de danske arbejdspladser, er det ifølge Bjarke Alling afgørende at skabe et rum, hvor vi kan tale om tingene. Og ambitionen skal række videre end de whistleblowerordninger, mange virksomheder opretter for at øge sikkerheden.
– Det her handler om at have den rette mentalitet ude i virksomhederne og organisationerne. Vi skal diskutere kulturen. Vi skal motivere og honorere folk, der tør stå frem med ting, som ikke er i orden, og pege på steder, hvor trusler kan opstå. I stedet for at banke dem ned med en hammer, skal vi bære dem på en trone. Kulturændringen er nødvendig, siger han.
Videndeling er et prioriteret område i regeringens nyeste cybersikkerhedsstrategi, National strategi for cyber- og informationssikkerhed 2022-2024. Strategien pointerer, at evnen til at dele viden er afgørende for et højere sikkerhedsniveau. Der er derfor behov for, at samarbejdet på tværs af sektorer styrkes, så alle kan blive endnu bedre til at dele viden på tværs og lære af hinanden. Statslige myndigheder skal også være bedre til at anvende data fra indberetninger til at formidle viden om trusler og sårbarheder.