Private aktører er i dag med til at løse Danmarks sikkerhedsudfordringer. National sikkerhed er derfor ikke længere blot et anliggende for staten.

 

Offentlig-private partnerskaber markerer en bevægelse væk fra juridisk bindende, tidsbegrænsede kontrakter og hen imod en appel til selvregulering. Blandt andet inden for national cybersikkerhed har bevægelsen skabt en ny form for samarbejde mellem offentlige og private aktører.

 

Appel fører dog ikke automatisk til højere cybersikkerhed.

 

Offentlig-private partnerskaber kræver eksempelvis, at virksomheder og myndigheder deler forståelsen af cyberrisici, at der er gensidig tillid, og at der faktisk er ressourcer til at gøre noget ved problemerne. Ingen af delene kan tages for givet. Det vidner flere alvorlige cyberangreb om, herunder dem, vi har set i krigen i Ukraine.

 

Cyberangreb på rørledning rammer forbrugere

Mange samfundsvigtige funktioner – fra el over kollektiv trafik til telekommunikation – varetages i dag af private virksomheder. Når kritiske infrastrukturvirksomheder investerer i cybersikkerhed, sker det altid med en skelen til bundlinjen. Alene vurderingen af de omkostninger, et nedbrud kan koste en virksomhed, harmonerer dog ikke altid med den faktiske samfundsmæssige omkostning.

 

Det fører til mindre investering i cybersikkerhed, end hvad det nationale sikkerhedsbehov egentlig tilsiger.

 

Da virksomheden bag den største amerikanske olierørsledning, Colonial Pipeline, eksempelvis blev ramt af et cyberangreb i maj 2021, kostede det firmaet næsten fem millioner dollars i løsesum til cyberkriminelle. Det resulterede desuden i tabt fortjeneste i den lille uge, hvor olien ikke flød.

 

For forbrugere og virksomheder må det dog formodes, at de sekundære omkostning ved tomme benzintanke og højere benzinpriser var langt højere.

 

Colonial Pipeline, der var kategoriseret som kritisk infrastruktur, kunne have undgået angrebet, hvis firmaet havde investeret i basale cybersikkerhedsforanstaltninger. Hændelsen vidner om, at nogle kritiske infrastrukturvirksomheder ikke vurderer risiko med øje for de bredere samfundsmæssige konsekvenser.

 

Offentlig-privat samarbejde kræver tillid på tværs

Cyberangrebet på Colonial Pipeline understreger, at selv om statslige myndigheder rådgiver, vejleder og støtter private partnere, er det ikke nok. Hændelsen giver derfor anledning til at se nærmere på, hvem der skal betale for det forhøjede behov for cybersikkerhed, der følger med, når en virksomhed får betegnelsen ’kritisk infrastruktur’.

 

Her er det relevant at diskutere, hvor meget staten skal betale, og hvor meget virksomhederne skal bidrage.

 

I Danmark bidrager blandt andre Center for Cybersikkerhed (CFCS), som er en statslig myndighed under Forsvarets Efterretningstjeneste, med viden om cybersikkerhed, og hvordan vi som land kan imødegå cyberangreb.  

 

Men selv, hvis de danske politikere afsætter de rette økonomiske ressourcer, er det ikke sikkert, at samarbejdet kører gnidningsfrit. Det skyldes, at flere virksomheder er utrygge ved, at CFCS ligger under Forsvarets Efterretningstjeneste, og det har resulteret i utilstrækkelig videndeling.

 

Det betyder, at selv hvis de nuværende kritikpunkter imødekommes, opstår tilliden mellem offentlige og private aktører ikke af sig selv.

 

Tillid kræver langvarig opbygning og pleje af menneskelige relationer blandt de offentlige og private medarbejdere, der arbejder med cybersikkerhed i praksis. Erfaringer inden for cybersikkerhedsprofessionen viser dog, at en delt følelsen af loyalitet kan skabe et fællesskab, hvor videndeling og fælles retning opstår.

 

Små og mellemstore virksomheder er geopolitiske mål

National sikkerhed er betinget af, at hele samfundet er modstandsdygtigt. Cybersikkerhed spiller derfor en væsentlig rolle på alle niveauer i hele samfundet. Eksempelvis er ringe cybersikkerhed i de små og mellemstore virksomheder et lige så stort sikkerhedspolitisk problem, som det er inden for kritisk infrastruktur. Det skyldes blandt andet, at cyberkriminelle ikke er begrænset af geografi.

 

På samme tid ser nogle stater gennem fingre med kriminel adfærd fra eget territorium, så længe kriminaliteten rammer uden for landets grænser. Oveni kan cyberangreb fungere som et træk i en større konflikt, da vedvarende cyberangreb udstiller statens manglende evne til at beskytte borgerne.

 

Små og mellemstore virksomheder kan af den grund blive mål for et cyberangreb, hvis det er i en stats geopolitiske interesse, at cyberkriminelle forstyrrer små og mellemstore virksomheder i andre lande. 

 

Derfor har cyberkriminalitet især fra Rusland og Kina det seneste årti bidraget til, at vestlige regeringer i højere grad har rettet opmærksomheden og de politiske ressourcer på egne digitale sårbarheder og udbedringen af disse – frem for på udbredelse af et åbent, frit og tilgængeligt globalt internet. Samtidig har cyberkriminaliteten i form af afpresning og industrispionage medført, at både viden og penge har bevæget sig fra Vesten mod Rusland og Kina.

 

Center for Cybersikkerhed samarbejder ikke direkte med de små og mellemstore virksomheder, selv om virksomhederne kan søge hjælp i centerets vejledninger. Erhvervsstyrelsen har dog afsat en pulje på 50 millioner kroner, som kan søges af små og mellemstore virksomheder, der ønsker rådgivning om digital sikkerhed.

 

Ubalancen mellem alvoren af problemet og indsatsen skyldes ikke, at små og mellemstore virksomheder ikke har kendskab til eller bevidst ignorerer problemet. For virksomhederne kan der være lokale grunde til, at det ikke kan betale sig at højne cybersikkerheden.

 

Omvendt bliver statens forsøg på at forøge dens aktive indsats over virksomhederne mødt med kritik fra cybersikkerhedsindustrien, der finder statens indtog konkurrenceforvridende. Det dilemma skal adresseres, før små og mellemstore virksomheder opnår ressourcerne til at kunne indgå i et meningsfuldt partnerskab med offentlige myndigheder.

 

Big Tech træder ind i sikkerhedspolitik

Krigen i Ukraine har understreget kompleksiteten i relationen mellem staten og private virksomheder. En af grundene til, at cyberangrebene i løbet af krigen ikke har forårsaget mere skade i Ukraine, skyldes store virksomheder som Microsoft, Google, Amazon og SpaceX.

 

Allerede i begyndelsen af krigen løftede Microsoft store dele af Ukraines offentlige it-infrastruktur op i Skyen. Senere gav SpaceX Ukraine adgang til virksomhedens Starlink-satellitter, fordi en satellit fra Viasat, som Ukraines forsvar var afhængig af, blevet ramt af cyberangreb.

Mens Microsoft fortsat sidder med fingrene dybt nede i Ukraines it-systemer, har SpaceX lukket for det ukrainske forsvars adgang til Starlink, fordi Ukraine har brugt satellitterne til at styre landets militære droner.

 

Det vidner om, at store multinationale tech-konglomerater er blevet vigtige sikkerhedspolitiske aktører. Men det betyder også, at et land som Danmark meget vel kan være dybt afhængig af en udenlandsk virksomheds goodwill, hvis vi en dag kommer i krig. Men det er virksomheder, som vi ikke politisk og juridisk kan kontrollere.

 

Som det er nu, må vi blot håbe, at vores partnerskab med Big Tech er funderet på samme værdier og en følelse af loyalitet, så de prioriterer beskyttelsen af vores interesser frem for andres.

 

Både cyberangrebene før og i kontekst af krigen i Ukraine understreger, at det offentligt-private samarbejde er vigtigere end nogensinde før. Men det kræver politisk mod og handlekraft at skabe en fælles forståelse for cyberrisici, gensidig tillid og et tilstrækkeligt ressourcemæssigt fundament. Strategidokumenter, hensigtserklæringer og rådgivning gør det ikke alene.

 

Politikere skal stille høje cybersikkerhedskrav til kritiske infrastrukturvirksomheder og være villige til at betale for det. Professionelle inden for cybersikkerhed skal i maskinrummet kunne dele flere operationelle informationer og erfaringer på tværs af det offentlig-private skel. Myndigheder skal kunne engagere sig mere hands-on med cybersikkerheden i små og mellemstore virksomheder. På samme tid skal regeringen sikre håndfaste og bindende aftaler med de store tech-virksomheder, som Danmark er dybt afhængige af.