Når man taler med den nye chef for Center for Cybersikkerhed (CFCS), er man ikke det mindste i tvivl om, at han er formet af det private erhvervsliv.

Allerede få minutter inde i samtalen har Thomas Flarup, der tiltrådte stillingen i foråret, nemlig fremhævet ord som ’værdiskabelse’, ’return on Investment’ og ’bundlinjefokus’, og fremhævet, at CFCS skal give rådgivning, der batter på landets direktionsgange.

Den nye cyberchef understreger, at han ikke ser behov for at ændre dramatisk på Center for Cybersikkerhed - men samtidig er man heller ikke i tvivl om, at den nye mand på posten også har en ny og anderledes måde at se centret på.

”Jeg er grundskolet i det private, og det tænker jeg ikke en ulempe i dette job. Det er vigtigt at vide, hvad it-sikkerhedscheferne har brug for, når de skal til møde med direktionen og bestyrelsen i de enkelte virksomheder. Jeg oplever erhvervslivet som meget professionelle, men kan have en bekymring om, at cyberrisici nogle gange bliver underbelyst,” siger han.

Lang proces

Der lå ellers en lang proces bag ansættelsen af den nye cyberchef, som afløser den mangeårige leder Thomas Lund-Sørensen, der stoppede i centret sidste år for at prøvet noget nyt, hvorefter at der måtte både stillingsopslag, genopslag og mange måneders venten til, før centret endelig kunne melde ud, at jobbet var gået til den ingeniøruddannede Thomas Flarup, der kommer til Center for Cybersikkerhed efter mange år i blandt andet KMD, TDC og Boston Consulting Group.

Men selv om den nye cyberchef har en ganske anden baggrund end sin forgænger, der var diplomat, ser Thomas Flarup ikke store forandringer for sig. Tværtimod fremhæver han igen og igen, hvor værdifuld en ressource, CFCS har vist sig at være for Danmark.

”Jeg ser ikke behov for fundamental ny retning for CFCS, men mere en fokusering og justering. Vi har fokus på at styrke cyberresiliensen i samfundets kritiske funktioner, både i vores offentlige institutioner, og sandelig også i det private. Meget af den kritiske IT-infrastruktur udvikles, driftes og vedligeholdes af private virksomheder. Det ved jeg med min baggrund fra det private,” siger han.

Verden forandrer sig

Han fremhæver, at verden omkring centret har forandret sig - og at hans job nu er, at forstå og udvikle den værdi, centret skaber i Danmark. Men ikke at ryste posen. Tværtimod håber han, at han kan skabe et samspil med den private sektor, hvor det står skarpere og mere veldefineret, hvad centret kan.

”Centeret står overfor et faseskifte. Et skifte fra opstart og vækst, til nu mere fokus på organisk vækst og værdiskabelse. Det er vores opgave nu. At fokusere på værdiaftrykket, som centret skaber i samspil med andre myndigheder og samarbejdspartnere. Eller populært sagt: Et fokusskifte fra top- til bundlinje,” siger Thomas Flarup.

Han fortsætter:

”Det er en stor og spændende udfordring. Der er meget værdi på spil for det danske samfund, både i det offentlige og private. Jeg kan ikke tænke på noget mere meningsfuldt end at arbejde med teknologi og data til at løse et så vigtigt grundproblem, der kun vil stige i relevans i fremtiden.”

Han træder til efter en periode, hvor centret både er blevet kritiseret for at kommunikere for generisk, men også for at bevæge sig ind på områder, hvor private virksomheder også forsøger at gøre sig gældende, omend på kommercielle vilkår.

Tvivl om rollen

Og endelig har især sagen mod FE-chef Lars Findsen, der blev anholdt efter mistanke om en for åbenmundet omgang med statshemmeligheder vakt opsigt blandt folk i sikkerhedsbranchen, der overfor ITWatch har fremhævet, at stillingen kunne blive svær at besætte, fordi nogle ville betakke sig for at vove sig ind i den udadvendte funktion som cyberchef, hvor man både skal kommunikere meget, men dog alligevel helst ikke for meget om truslerne mod Danmark på det digitale område.

Det er ikke en bekymring, Thomas Flarup har haft.

”En af centrets vigtige opgaver er at opbygge og dele viden, som kan hindre fremtidige cyberangreb. Der kan være situationer, hvor vi skal beskytte kilder og oplysninger, men det er der klare regler og procedurer for at håndtere. Mit mål er, at centret skal være åbent, og dele, hvad der er muligt for at understøtte cyberresiliensen i samfundet. Selvfølgelig inden for rammerne af, hvad vi må lovgivningsmæssigt,” siger han.

Han fortsætter:

”Centret vil have fokus på cyberresiliensen i samfundets kritiske funktioner, blandt andet ved at styrke samarbejdet med den private sektor og det brede cyberøkosystem. Med andre ord: et endnu stærkere value proposition for den private sektor med de produkter og services CFCS leverer.”

Trusselsbilledet i udvikling

Udviklingen i trusselsbilledet er velkendt og velbeskrevet de senere år. Først skabte hjemmearbejdet under Covid en ny situation, dernæst kom krigen i Ukraine og en lang række af historier om virksomheder, der er blevet udsat for angreb med ransomware, ofte også med læk af forretningskritiske data og afpresning i kølvandet.

Men trods det øgede fokus både i det private erhvervsliv og fra politikerne, er der stadig meget at gøre på sikkerhedsområdet, mener han.

”For mig er tilstrækkelig modstandskraft ikke et statisk slutmål, men mere en tilstand, vi ønsker at opnå. Så visionen må være, at danske systemer bliver så svære at kompromittere, og sandsynligheden for at angreb fejler bliver så høj, at return on investment for de cyberkriminelle bliver så uattraktiv, at de søger andre steder hen.”

Han fremhæver flere sektorspecifikke initiativer som en positiv udvikling, hvor samfundskritiske sektorer selv laver beredskaber, og nævner blandt andet den finansielle sektor som en rollemodel for, hvordan man kan arbejde struktureret med cybersikkerhed.

”Derfor er jeg glad for at vide, at der bliver gjort et så godt stykke arbejde hos virksomhederne på at reducere sårbarhed og træne de ansatte. Vi ser desværre, at cyberkriminalitet er meget destruktivt overfor vores samfund, for aktionærer og vores værdier. ”

Derfor fremhæver han også, at vejen frem ikke nødvendigvis er yderligere vækst i centret, men især en styrkelse af samarbejdet med de private sikkerhedsfirmaer.

Nul politik

”Jeg er glad for at vide, at der bliver arbejdet godt med løbende at forbedre cyber- og informationssikkerheden i mange virksomheder ud fra en fornuftig risiko-baseret tilgang. Sårbarheder bliver reduceret, de ansatte bliver trænet og så videre. Men vi ser desværre fortsat, at cyberkriminalitet leder til store værditab for virksomheder, aktionærer og i sidste ende samfundet,” siger Thomas Flarup.

Thomas Flarup understreger flere gange under interviewet, at han ikke har i sinde at blande sig i den politiske dimension omkring centret. Til gengæld noterer han sig, at den politiske opbakning til centret er høj og stabil over årene, og at den ikke ser ud til at blive mindre.

I stedet vil han nøjes med at fokusere på den opgave, der ligger foran.

”For mig har det været en god dag, når vi har varslet en trussel i så god tid, at virksomheden fik tid til at reagere,” siger han.

Center for Cybersikkerhed henter ny topchef fra KMD

CFCS: Truslen for cyberspionage mod Danmark er meget høj