Abstract
4 GEOFORUM • JUNI 2024 AF MIKKEL STORM JENSEN, FORSVARSAKADEMIET Cyberresiliens vil sige modstandsdygtighed og evnen til at komme i gang igen efter uheld eller angreb. Det er ikke kun Danmark, der kaemper med de herover naevnte udfordringer. Dr. Mika Kerttunnen, der har bidraget til Finlands og over tyve andre landes nationale cyber-og informations sikkerhedsstrategier, sammenfatter situationen således: " Der er tre slags lande i verden: Dem uden cyberresiliensstrategier, dem med urealistiske strategier, der ikke kan imple-menteres, og dem med realistiske strategier, der er dårligt implementeret. " Hvilken kategori ville Kerttunnen så placere Danmark i? Cyber-og informationssikkerhedsstrategier i Danmark Vi har siden 2014 implementeret tre nationale cyber-og informationssikkerhedsstrategier samt EU's NIS-direktiv for cybersikkerhed i medlems-landenes kritiske infrastruktur. Vi står midt i det lidt forsinkede arbejde med at implementere EU's andet direktiv på området, NIS2. Er de så reali-stiske? Danmarks seneste cyberstrategi fra 2021 taler mere om hensigter end konkrete midler og metoder, men den står ikke alene. Den bygger på de to første, saerdeles konkrete strategier og implementeres sammen med EU's også ret klart formulerede krav. Det placerer Danmark i Kerttunnens tredje kategori: Vi har en realistisk strategi – men der er udfordringer med imple-menteringen. Denne artikel fokuserer på den rolle, som organi-satorisk overblik spiller for statens implemente-ring af resiliensstrategierne i Danmark. Det er blot en ud af statens mange nødvendige bidrag til at skabe cyberresiliens, men opgaven er blevet aktualiseret i lyset af de stadigt mere alvorlige trusler fra cyberdomaenet, hvor såvel kriminelle som statslige aktører konstant søger efter svag-heder, der kan udnyttes til afpresning, spionage og sabotage. Samtidig er Danmarks mangel på centralt beredskabsoverblik blevet kritiseret af NATO som noget, der begraenser vores evne til at leve op til Atlantpagtens artikel 3: Vores forpligtig-else til at passe på os selv. Central eller decentral opgaveløsning For at forstå den rolle, som overblik spiller, må man traede et skridt tilbage og se på, hvordan staten organiserer sit bidrag til den samfunds-maessige resiliens. Der er principielt to tilgange: Man kan centralisere eller decentralisere opgave-løsningen. I det analoge industrisamfund, som praegede det 20. århundrede, var centralisering en god løsning. En velfungerende statslig administration kunne i krig eller krise allokere ressourcer gennem standardkommunikationssystemer til kritisk infrastruktur, der i øvrigt ofte var statsligt ejet, eller i det mindste ejet af nationalt baserede private virksomheder med et overskueligt net af underleverandører. Det gjorde staten til en centralt placeret maskiningeniør, der ved hensigts-maessig allokering af ressourcer og kommandoer kunne prioritere, så ramte dele af kritisk infra-struktur kunne udbedres, og " samfundsmaskinen " komme op i omdrejninger igen. Dengang var samfundet kompliceret – opgaven med central styring i kriser var vanskelig – men nu Overblik, sikkerhed og kritisk digital infrastruktur-en vanskelig og traels opgave Man må have den dybeste respekt for hvor svaer en opgave, det er for staten at skabe rammerne for cyber-resiliens i Danmarks kritiske infrastruktur. Det er saerdeles komplekst at fastlaegge de organisa-toriske og juridiske rammer, og opgaverne er ovenikøbet teknisk vanske lige og under konstant udvikling, så man når aldrig i mål. 4