Mærsk har lært lektien. — EU’s direktiv om netsikkerhed er ved at blive omsat til dansk lov, der indfører certificering og tilsyn med cyberforsvaret hos de vigtigste samfundstjenester og virksomheder. Foto: Fagpressen.eu
Ministerier uden it-kompetence skal føre tilsyn med it-sikkerhed
Af Claus Djørup
EU-direktivet om højere netsikkerhed (NIS-direktivet, The Directive on security of network and information systems) inden for energi-, transport-, bank-, finans- og sundhedssektoren gennemføres af de enkelte ministerier frem for én lov.
De fire aktuelle lovforslag fra transport-, sundheds-, forsvars- og erhvervsministrene førstebehandles tillige på fire adskilte folketingsmøder mellem 20. februar og 1. marts.
Det første vedrører transportsektoren og især de udpegede operatører af væsentlige transporttjenester, som forpligtes at melde om hackerangreb og lignede cyberhændelser til en CSIRT (Computer Security Incident Response Team), dvs. Center for Cybersikkerhed.
Naviair og ERTMS nævnes i lovforslaget som kritiske, digitale infrastrukturer, men ingen nævnes på forhånd som udpeget. Det beslutter ministeriet efter lovens vedtagelse, men listen vil også omfatte store, private selskaber.
Den umiddelbare konsekvens er en certificering, som skønnes at koste den enkelte virksomhed omkring 200.000 kroner.
”Lovforslaget stiller alene krav om, at operatøren skal træffe foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer for så vidt angår den del af en operatørs aktiviteter, hvor en hændelse vil få en væsentlig forstyrrende virkning for leveringen af en transporttjeneste.”
Kryptering
Høringen affødte flere bemærkninger om byrden, selv om man skulle tro, at det var i virksomhedernes egen interesse at højne og systematisere it-sikkerheden.
DSB har dog et indspark, som er kommet med i lovforslaget, nemlig at kommunikation omkring fortrolige og sensitive oplysninger krypteres. Krav om kryptering vil fremgå af bekendtgørelsen.
Opbygning af it-kompetence fra grunden
Den valgte sektoropdeling med flere kompetente myndigheder kan sprede tilsynsressourcerne mere, end hvad godt er, og synergieffekterne mellem forskellige tilsynsmyndigheder kan blive vanskelige at udnytte, advarer IT-Politisk Forening.
Der etableres nemlig ikke et centralt tilsyn fælles for alle. Tilsynet med transportsektoren overlades til Trafik-, Bygge- og Boligstyrelsen, som dermed skal bevæge sig ud i ukendt terræn og opbygge it-kompetencer fra grunden.
Det fremgår såmænd af lovforslaget, at styrelsen skal enten rekruttere medarbejdere med særlig kompetence til at håndtere meget specialiserede it-sikkerhedsopgaver eller købe denne kompetence hos eksterne konsulenter.
Ole Birk Olesen forsvarer de mangfoldigheden af tilsyn med, at der er stor forskel på de sektorer, der er omfattet af NIS-direktivet.
”Målet med sektoropdelingen er, at lovgivningen tilpasses den enkelte sektor for derved at opnå den bedst mulige beskyttelse af net- og informationssystemer og samtidig sikre, at erhvervslivet ikke pålægges unødvendige byrder,” hedder det.
Databeskyttelseslov gælder
Dansk Institut for Menneskerettigheder og IT-Politisk Forening kritiserer, at Center for Cybersikkerhed varetager rollen som CSIRT og dermed modtager underretninger om hændelser, da Forsvarets Efterretningstjeneste som er undtaget fra offentlighedsloven og fra centrale dele af forvaltningsloven.
Her forsikrer Ole Birk Olesen, at lovgivningen for databeskyttelse (de nye databeskyttelsesregler træder i kraft 25. maj) vil blive anvendt ved behandling af personhenførbare oplysninger.
Tilsyn med certifikater
Tilsynet skal klares inden for de eksisterende bevillinger. Dels vil den specialiserede opgave ikke være omfattende, dels opkrævet brugerbetaling.
For det første vil antallet af operatører af væsentlige transporttjenester være begrænset.
Dernæst vil tilsynet hovedsageligt bestå i en gennemgang af, om de certificerende organer til stadighed vurderer, at operatørerne lever op til betingelserne for at opretholde certifikatet.
”Opgaven kan varetages som et led i de tilsynsopgaver, som styrelsen allerede har på transportområdet,” pointerer han.
Sundhed, forsvar, finans
Sundhedsminister Elle Trane Nørby (V) har fremsat et tilsvarende lovforslag gældende for sundhedssektoren, hvor Sundhedsdatastyrelsen skal udøve ministerens tilsynsbeføjelser.
Forsvarsminister Claus Hjort Frederiksens (V) lovforslag vedrører internetudvekslingspunkter (Internet Exchange Points – IXP) og hjemler til Center for Cybersikkerheds tværgående myndighedsopgaver herunder den beredskabsenhed, der skal håndtere it-sikkerhedshændelser (CSIRT) og være kontaktpunkt i forhold til EU’s organer på området.
Erhvervsminister Brian Mikkelsens (K) lovforslag vedrører domænenavne- og topdomænenavnesystemer, finanssektoren samt udbydere af onlinemarkedspladser, søgemaskiner og cloud computing-tjenester.
Datoer for NIS-pakken
Tidsplan for førstebehandling af lovforslagene om sikkerhed i net- og informationssystemer:
20. februar: transportministerens L135
22. februar: sundhedsministerens L143
23. februar: forsvarsministerens L139
1. marts: erhvervsministerens L144
NIS-direktivet opremser syv sektorer, der kan beskrives som varme, mobilitet, pengevæsen, vand og internet:
1) Energi med delsektorer for el, olie og gas
2) Transport med delsektorerne luftfart, jernbaner, søfart og vej
3) Bankvæsen
4) Finansielle markedsinfrastrukturer
5) Sundhed
6) Drikkevandsforsyning- og distribution
7) Digital infrastruktur
Energisektoren
NIS-direktivet er delvis omsat i dansk lovgivning på energiområdet qua en bekendtgørelse fra 23. maj sidste år, der handler om it-beredskabet for it-systemer, der er kritiske for produktion eller forsyning af elektricitet eller naturgas.
Dengang vedgik Energistyrelsen, at bekendtgørelsen blev udsendt før regeringens arbejde med NIS-direktivet var afsluttet.
”Det vurderes imidlertid ikke forsvarligt at afvente implementeringen af NIS-direktivet før ikrafttrædelse af denne bekendtgørelse,” hed det.
Med andre ord kan energiregler for it-beredskab ventes justeret, nu da regeringen har besluttet sig for form og indhold af NIS-direktivet.
Statens it-sikkerhed er gennemhullet
NIS-lovgivningen er blot et led i den generelle cyberoprustning. I næste måned ventes regeringens strategi for cyber- og informationssikkerhed.
”Der er stadig et stykke vej endnu, før alle statslige myndigheder lever op til kravene til it-sikkerhed,” fastslog innovationsminister Sophie Løhde (V), da hun 12 februar fremlagde resultatet af Digitaliseringsstyrelsens spørgeskemaundersøgelse med besvarelser fra 87 statslige myndigheder om efterlevelse af ISO27001-principperne for it-sikkerhed.
– Der er stor spredning på modenheden i arbejdet med informationssikkerhed, lyder det i opsummeringens indledning.
– Særligt arbejdet med risikovurdering og leverandørstyring er mindre modent og opfattes generelt som mere vanskeligt arbejde. Særligt her ønskes mere ekstern støtte og vejledning. Til denne kategori kan også arbejdet med beredskabsplaner tilføjes, hvor særligt øvelser og test af disse vurderes som udfordrende, påpeger rapportens forfattere.
Det mest ømme punkt er niveauet for ‘awareness’, som er it-engelsk for årvågenhed eller opmærksomhed: – Arbejdet med planer for sikkerhedsaktiviteter er umodent!
Nationalbanken afprøver værn mod digitale indbrud
– Truslen på cyberområdet er stigende. F.eks er der i det netop indgåede forsvarsforlig afsat 1,4 milliarder kroner til at imødegå den stigende cybertrussel, skrev Danmarks .Nationalbank i en pressemeddelelse den 8. februar om arbejdet i ”Finansielt Sektorforum for Operationel Robusthed”.
Nationalbanken og den finansielle sektor etablerer et ”red team”-testprogram, hvor eksterne konsulenter efter aftale forsøger at komme ind i udvalgte systemer ved at bruge de teknikker, som organiserede it-kriminelle og avancerede hackergrupper anvender.
FE: Vedvarende cyberkrigsaktiviteter
Der er en meget høj og vedvarende cybertrussel mod Danmark, erklærer Forsvarets Efterretningstjeneste i sin årlige risikovurdering fra slutningen af 2017.
”Både danske myndigheder og virksomheder er konstant udsat for forsøg på cyberspionage, især fra fremmede stater. Samtidig bliver cyberangrebene stadigt mere avancerede, ligesom der sker en spredning af avancerede hackerværktøjer til flere ikke-statslige aktører,” skriver FE.
Cyberbudget begynder i det små
Forsvarsforliget fra 28. januar (V, LA, K + S, DF, R) afsætter i alt 1371 millioner kroner til cyberområdet og it-sikkerhed.
Det begynder med 31 millioner i år og stiger år for år til 567 millioner i 2023.
Liberal Alliance sagde nej til mandat i 2014
Ole Birk Olesens parti gav NIS-direktivet en kold skulder sammen med Dansk Folkeparti og Enhedslisten, da daværende forsvarsminister Nicolai Wammen (S) fik tidligmandat den 19. september 2014.
De fem EU-venlige partier er alene om opbakning til forslaget (Alternativet kom først ind ved folketingsvalget 18. juni 2015).
De tre nej-partier mente, at det er unødvendigt at blande kommissionen ind i it-sikkerhed.
De to blå nej-partier udgør i dag 50 af den nuværende regeringsbloks 90 mandater.
Konservative var dog også skeptiske ved den lejlighed.
– Forslaget skal snittes kirurgisk sådan til, at EU-reguleringen handler om det, der er relevant i forhold til grænseoverskridende konsekvenser for brud på it-sikkerheden, erklærede EU-ordfører Lars Barfoed (K).
De konservatives ja blev bl.a. hængt op på, at EU ikke kan intervenere i den nationale myndighedsstruktur.
To et halvt døgn senere slog TV-Avisen et formentligt kinesisk hackerangreb på Søfartsstyrelsen og hele erhvervsministeriet i april 2012 stort op. (Dj/180218)
© Ophavsretsklausul: Fagpressebureauets artikler og billeder må kun anvendes, distribueres eller publiceres efter aftale. Dette gælder også de i artiklerne nævnte personer, institutioner og virksomheder.