DI: Cybertrussel kræver dansk oprustning

- Der er behov for et væsentlig stærkere offentlig-privat samarbejde. Mere viden- og informationsdeling, men også reelle partnerskaber. Gerne som en såkaldt smv:cert, som vi har foreslået. Altså en enhed eller indsats, en slags alarmcentral, der skal sikre, at også smv’erne har ét samlet sted at gå hen for at få vejledning og hjælp når skaden er sket - idag står de alt for alene, når ballonen går op, siger branchedirektør i DI Digital, Camilla Ley Valentin.

DI har i dag samlet 200 virksomheder og eksperter for at drøfte den alvorlige situation til konferencen ”Cybersikkerhed anno 2024”. Det sker oven på weekendens talrige angreb mod danske virksomheder og myndigheder.

Højeste trusselsvurderinger

- Trusselsbilledet er slemt – Center for Cybersikkerhed kan ikke komme højere op i trusselsvurdering, og aktørbilledet er mere diverst og dygtigere end nogensinde. Vi ser det jo i øjeblikket med de mange angreb, der sandsynligvis kommer fra russiske grupper, men det er ikke kun de store virksomheder og myndighederne, der er udsatte. Cyberangreb er blevet Big business, siger Camilla Ley Valentin.

- Det betyder også, at alle kan blive ramt. Fra den store til den lille. Ingen kan se sig fri, og der ligger et ansvar hos alle aktører om at forholde sig til deres cybersikkerhed. Det gælder virksomheder, myndigheder og den enkelte.

DI peger på, at det ikke er alle angreb, der er lige farlige. DDoS-angreb, som i de her dage har ramt virksomheder og myndigheder, er som sådan ikke ”farlige” i den forstand udover, at de gør hjemmesider utilgængelige – formålet med dem er snarere at skræmme og destabilisere.

- Når det er sagt, kan et ”simpelt” DDoS-angreb, hvor en hjemmeside er utilgængelig, også få stor betydning, f.eks. for en virksomhed der lever af sit onlinesalg, siger Camilla Ley Valentin.

- Vi gør derfor også, hvad vi kan for at understøtte vores medlemsvirksomheder, så godt vi kan, i at finde det rette sikringsniveau for dem, men virkeligheden er også, at der er behov for mere fokus og for, at man fra offentlig side stempler ind og ser på, hvordan man kan hjælpe virksomhederne mere på vej – når der f.eks er tale om russiske grupper, kan man ikke overlade det til den enkelte virksomhed.

Venter stadig på NIS2

Der er nye regler om cybersikkerhed på vej fra EU i form af det nye NIS2-direktiv. Regulering, som DI grundlæggende støtter op om, fordi samfundet er afhængige af, at vi sikrer de mest centrale dele.

- Virkeligheden er bare, at direktivet trådte i kraft for 13 måneder siden, og regeringen har stadig ikke fastlagt ressortansvaret eller sendt lovgivning i høring. Reglerne skal overholdes til oktober, og med den nuværende tidsplan fremlægges lovgivningen også først for folketinget til oktober. Det efterlader selvsagt ikke meget tid for virksomhederne til at blive compliant.

- Vores spørgsmål er derfor, hvordan man forestiller sig, at virksomhederne skal nå at leve op til reglerne? Vi taler altså om signifikante bødestraffe her, og det kan ikke være rigtigt, at regeringens og myndighedernes træghed skal gå ud over virksomhederne, siger Camilla Ley Valentin.