Når der sker en brist i it-sikkerheden, vil automatreaktionen typisk være, at det er noget, man som virksomhed eller offentlig myndighed så vidt muligt forsøger at gemme væk.

Men sådan skal det ikke være, hvis det står til Bjarke Alling, der er en del af formandskabet i Cybersikkerhedsrådet, der er nedsat af regeringen.

Han ser det som en af sine vigtige opgaver at få gjort op med det, han kalder mørketallet, og i stedet skabe en kultur, hvor man får problemer om it-sikkerhed frem i lyset. Nøgleordet er vidensdeling.

"Det handler om, at vi får en kultur i Danmark, hvor det er naturligt at tale om, at der er sårbarheder. For hvis vi ikke taler om dem, så finder vi aldrig ud af, hvordan man løser dem," forklarer han til ITWatch.

Det nationale cybersikkerhedsråd blev nedsat af regeringen ved årsskiftet som et rådgivende organ, der skal komme med indspark til at styrke sikkerhedsindsatsen og vidensdelingen om trusler i cyberspace.

Det er sammensat af repræsentanter fra både den offentlige og private sektor samt forbrugersiden og forskningsverdenen.

I alt tæller rådet 20 medlemmer, og Bjarke Alling er udpeget som den private sektors formand, mens Rikke Hougaard Zeeberg, adm. direktør i Digitaliseringsstyrelsen, deles om den offentlige sektors formandspost med Center for Cybersikkerheds chef, Thomas Lund-Sørensen.

Ifølge Bjarke Alling kan det give mening at skele til luftfartindustrien, hvor transparens er afgørende for at undgå samme fejl to gange.

"Det er ikke fremmet for os, at vi deler viden, når der sker fejl. Inden for it-sikkerhed skal vi dog have ændret kulturen i Danmark fra, at man holder det hemmeligt, når en udvikler laver fejl, til at man fortæller om det. Så i stedet for at være pinligt berørt over, at man har dummet sig, så skal man være stolt."

Konkret forestiller han sig, at man opbygger en vidensdatabase, hvor man kan søge i tidligere it-sikkerhedshændelser. Det er dog vigtigt, at data er anonymiseret, fordi virksomhederne kan se it-sikkerhed som et følsomt konkurrenceparameter, som ens konkurrenter ikke skal have kendskab til.

"Mit personlige håb er, at vi får et system i Danmark, hvor virksomheder kan søge i en hændelsesdatabase og finde kvalificeret viden," siger han.

Han fremhæver, at der kan være tale om et økosystem, hvor forskere, myndigheder og den private sektor arbejder sammen. Målet er at blive klogere og samtidig gøre det muligt at trække på faglige ressourcer, der kan analysere hændelsen.

"Og så skal det publiceres i et format, som naturligvis ikke udstiller folk."

Bjarke Alling understreger, at der kan gå op til ti år, før sådan en platform er på plads.

"Det kommer til at tage mange år, fordi vanerne skal ændre sig rundt omkring."

Den praktiske vej

Bjarke Alling kom personligt ind i it-branchen på en utraditionel måde. Oprindeligt arbejdede han med kulturelle projekter, men i løbet af 90'erne drejede han fokus over mod it. Han stiftede it-firmaet Liga, som han stadig står i spidsen for som koncerndirektør.

"Jeg har lært det via den praktiske vej, og så har det af og til været nyttigt at gå ind i den teoretiske kasse," som han forklarer.

Arbejdet i Cybersikkerhedsrådet er stadig nyt, og derfor kan Bjarke Alling endnu ikke lægge konkrete planer frem om, hvordan rådet vil gribe sit arbejde an.

Men at det er et vigtigt arbejde, lægger han ikke skjul på. Han fremhæver, at vi i ti år har arbejdet med at åbne internettet – og nu kommer næste årti til at stå i sikkerhedens tegn. Problemet er, at internettet ikke er designet til at være sikkert fra grunden af.

"Vi har stort set digitaliseret alle vores aktiver: Vores helbredsdata, vores finansdata og nu også vores privatliv. Alle de ting, som man tidligere ville have puttet i kuverter og have haft låst inde i et rum, har vi nu sat strøm til og puttet på en harddisk. Men vi har en infrastruktur, der er såbar som bare pokker."

Han mener, at der stadig er for mange, der ikke tager truslen alvorligt, fordi den kan virke abstrakt og være svær at forholde sig til. Det ville aldrig ske med vedligeholdelse af en bygning, hvor ejeren helt naturligt vil sikre sig, at væggene ikke begynder at krakelere.

På samme måde skal man være opmærksom på truslen i cyberspace og kortdække trusselsbilledet, så man kan reagere fremfor at agere.

"Typisk siger virksomheder, efter at være blevet ramt af et ransomware-angreb, at de gerne ville have vidst, hvad de ved nu. Den kommer lige med det samme. Hvis jeg var virksomhed, bestyrelse eller direktør, så ville jeg låse mig inde i nogle dage og læse nogle af de her forskellige rapporter om cybertrusler. Jeg ville bruge energi på at få fakta på bordet."

It er horisontalt

I Danmark er der flere forskellige myndigheder, der beskæftiger sig med cybersikkerhed, og der har flere gange været rejst kritik af, at det i stigende omfang helt afgørende spørgsmål for vores infrastruktur ligger alt for spredt.

Eksempelvis er noget forankret hos Center for Cybersikkerhed, mens Digitaliseringsstyrelsen har en koordinerende rolle i forhold til sikkerhed i den offentlige sektor. 

Men Bjarke Alling mener, det giver fin mening, at man har flere myndigheder, der arbejder med spørgsmålet.

"Der er it i alt, det er fuldstændig horisontalt, og der er ikke et centralt sted, hvor man kan sige, at it er forankret. Derfor er det fornuftigt, at vi har grupperinger placeret tæt på forskellige områder."

Der har været kritik af, at man i det danske cyberberedskab overser mange trusler, fordi den centrale myndighed i form af Center for Cybersikkerhed med sin tilknytning til Forsvarets Efterretningstjeneste naturligt vil have fokus på trusler fra andre stater og se mindre på, at en stor del af cyberangrebene også kommer fra private med et økonomisk motiv.

Samtidig er Center for Cybersikkerhed ifølge kritikere født i en kultur om at holde informationer tæt til kroppen.

Den debat har Bjarke Alling ingen holdning til.

"Jeg har ikke nogen mening om det. Det er en akademisk diskussion. Når jeg møder Thomas Lund-Sørensen og mennesker fra Center for Cybersikkerhed, så kan jeg mærke en meget stor grad af oprigtighed på dem."

Hvordan vil du sikre, at det her råd ikke bare bliver endnu et råd i rækken, men at det rent faktisk får gennemført noget ?

"Der sidder 20 medlemmer i rådet med et ønske om at skabe forandring. Vi er der frivilligt, så der sidder ikke nogen og høster en økonomisk gulerod. Vi sidder der, fordi vi vil det."

"Samtidig er forudsætningerne for at skabe noget til stede. Jeg noterer, at man har sat penge af i finansloven, at der skal være et sekretariat og så videre. Så man har givet vilkårene for at kunne gøre noget. Og så er det op til os som råd at kunne få noget fra hånden."

TDC-chef vil bringe praktisk erfaring med i cybersikkerhedsråd 

ITB har ønsker til cybersikkerhedsrådet – skal danne bro mellem aktørerne