Øget fokus på cybersikkerhed i Danmark og Europa

Et nyt lovforslag om net- og informationssikkerhed er netop sendt i høring. Lovforslaget giver Center for Cybersikkerhed nye beføjelser. Forslaget møder stadig kritik i telebranchen. Samtidig ønsker EU øget og bredere standardisering på cybersikkerhedsområdet og opfordrer SMV'er til at vælge cloud-løsninger pga. de store sikkerhedsfordele.

CENTER FOR CYBERSIKKERHED FÅR BRED BEMYNDIGELSE

Center for Cybersikkerhed (CFCS), som er en national sikkerhedsmyndighed under Forsvarsministeriet, får i et nyt lovforslag om net- og informationssikkerhed en række nye beføjelser. Lovforslaget har i en tidligere udgave været lækket på internettet, men er siden blevet ændret. Det fremstår nu i en mindre indgribende udgave, hvor det mest omdiskuterede forslag – CFCS' adgang til kommunikationen imellem telekunder uden forudgående retskendelse – er blevet fjernet.

CFCS overtager alle myndighedsopgaver vedrørende net- og informationssikkerhed for teleudbydere. De fremgik før af teleloven og blev varetaget af IT- og Telestyrelsen. CFCS får også en vidtrækkende bemyndigelse til løbende at indføre ny regulering og påbyde foranstaltninger for netudbyderne for at sikre sikkerhedsniveauet. Denne bemyndigelse anses af kritikere for at være næsten uden begrænsninger og er af Teleindustrien blevet kaldt en åben ’ladeport', som kan medføre store omkostninger.

FOKUS OGSÅ PÅ LEVERANDØRAFTALER OG FORSYNINGSINDUSTRIENS IT-SYSTEMER
Som noget nyt vil CFCS kunne tvinge en 'Stand-still' periode på op til 10 dage igennem i situationer, hvor en netudbyder påtænker at indgå en aftale om leverance af væsentlige dele af netudbyderens tjeneste eller drift. Stand-still-perioden udsætter aftaleindgåelsen, og tillader CFCS at gennemgå kontrakten og dens implikationer for net- og informationssikkerheden.

Lovforslaget kommer samtidig med, at CFCS udvider med tre nye enheder. Det sker som led i den nationale IT-strategiplan, hvor CFCS er tiltænkt en mere synlig og central rolle.

Mest interessant er en ny enhed, som skal rådgive virksomheder i forsyningssektoren om deres SCADA-systemer (indlejrede industrielle systemer), som særligt er sårbare, når de bliver koblet på nettet. Mange af systemerne har aldrig været designet med sikkerhed for øje, og de kan udgøre en sikkerhedsrisiko i den kritiske infrastruktur.

Lovforslaget er sendt i høring, og hvis det vedtages, træder loven efter planen i kraft den 1. december 2015.

ENISA'S CYBERSIKKERHEDSRÅD: ØG STANDARDISERING OG VÆLG CLOUD
I Europa har Det Europæiske Agentur for Net- og Informationssikkerhed (ENISA) opfordret til en øget standardisering på cybersikkerhedsområdet. Udviklingen på området går for langsomt, og der er behov for, at EU justerer strategien. ENISA's kritik går blandt andet på, at EU's indsats omkring cybersikkerhed er fragmenteret og uens på tværs af brancher. ENISA foreslår derfor én samlet fælles standard for cybersikkerhed.

ENISA opfordrer endvidere SMV'er (små og mellemstore virksomheder) til at fravælge egne datasystemer og i stedet vælge cloud-leverandører. Cloud-leverandøren kan typisk yde en service, der gør det muligt at opnå et højt sikkerhedsniveau med 24 timers beredskab, mulighed for øget kapacitet ved et "DdoS"-angreb og en løbende evaluering af sikkerhedssårbarheder. Alt sammen løsninger som ellers vil være for omkostningstunge for SMV'er.

I den sammenhæng er det dog vigtigt, at man som virksomhed laver en ordentlig due diligence af sin cloud-leverandør og vurderer leverandørens sikkerhedsniveau.

 

---