Mette Nikander

@Klavs Klavsen. Når jeg lige søger hurtigt, ser det ud til at f.eks. Tyskland er klar med nogle udmeldinger på https://www.bmi.bund.de/ men jeg har ikke haft tid til at granske det nærmere.....

Jeg helt enig med Hans Christian Koch. Det yderst kritisabelt at vi ikke har en regering der er i stand til at lede landet efter internationale sikkerhedsforskrifter og lovgivninger for Danmarks cybersikkerhedsforsvar, men snarere er gået i udvalgsmøder om udvalgsmøder og interne resort-magtkampe....

Imens der fortvivlet ventes.....Man bør tænke på, hvordan det er tænkeligt, at man kan angribes, afdække sikkerhedshuller og tiltag og beskrive dette og de overvejelser man har gjort...så er man ikke helt galt på vej. Det bør trusselsbilledet taget i betragtning, være i enhver virksomheds interesse at gøre, NIS2 eller ej. Dagrofa er jo en stor virksomhed, i fald af at man er underleverandør til udenlandske virksomheder, skal de være NIS2 compliant. Det betyder også at man skal udvise den samme ansvarlighed og compliance i alle de lande man er repræsenteret i. Jeg ville derfor skele til hvilke lande hvor virksomheden er repræsenteret, som er nået længere. Men der vil ligesom med GDPR ikke blive anvist værktøj til styring af NIS2 compliance eller anbefaling af specifikke tekniske foranstaltninger. Jeg vil mene at så længe man udviser agtpågivenhed, rettidig omhu i sine processer og datahåndtering og dokumenterer dette, så er man godt på vej. Tiltag udover almindelig traditionel sikkerhed såsom firewalls, antimalware og kryptering, er løsninger og aktiviteter, der gør organisationen mere modstandsdygtig og agil. Derfor skal man

• Aktivt arbejde med Security Awareness, så organisationen menneskeligt set er mere parat og vidende. På teknologisiden kan det omfatte simuleret phishing og e-learning om sikkerhed og compliance, men det kan også være organisatorisk klogt at afholde organisatoriske sikkerhedsøvelser (IR og CM)
• Se på anvendelse af adgangsbegrænsende teknologier, både - styring af digitale identiteter- For hvem eller hvad, hvornår og hvor længe må en session være åben
• Sørg for at sikkerhedsteste systemer og adgange (penetrationstests udefra og ind og inde i netværk)
• Overvej løsninger der kan opdage anomalier (typisk XDR, EDR eller netværkssensorer) der kan være særdeles nyttige.
• Tænk også at tiltag skal dække OT og IOT
• Alle loggenererende løsninger kan med fordel samles i et ISMS for centralt overblik og administration, for evne til hurtig inddæmning og reaktion på angreb.

Mange store virksomheder har faktisk disse løsninger og tiltag på plads og måske også mere branchespecifikt. I den sammenhæng bliver NIS2 et eftersyn og i princippet en skrivebordsøvelse, hvor der skal dokumenteres. Det kan selvfølgelig tage tid og er man bekymret for om man når rundt om det hele, er der cybersikkerhedsvirksomheder, der kan bidrage med hjælp.

PS! Nu håber jeg selvfølgelig blot at der tænkes sikkerhed ind løsningerne (DevopsSec, som de ikke selv bør stå for, men få eksternt revideret og tilsikret).....

Dette er et fantastisk skridt i den rigtige retning. Oprigtig opbakning herfra og Kudos for mod og ihærdighed. Jeg håber at kommunerne vil lære at samarbejde og dele deres løsninger og viden, til gavn for hele samfundet , vores sikkerhed, privacy og økonomi. Det vil være vejen frem...

Hmm altså 300 millioner kroner er jo næppe alene til hindring af succesfulde DDoS anreb, for det kræver jo meget få økonomiske ressourcer i den sammenhæng. Lidt som at sige "Ja vi kan ikke lave risengrød, fordi vi fik afvist støtte til en 7 retters menu".....

Det er en skandale at Techgiganterne kan lægge så stort et pres på beslutningsprocesserne i EU. Det er som om man helt glemmer at der ikke bare er tale om data, men faktiske identiteter med pricacyrettigheder...Så ja, NOYB må igen blive vejen frem.

@thomas Rasmussen Well når større virksomheder nu mødes med øgede krav, vil det jo nedarves til leverandørleddene og det er det, der er problemet, mange vil ikke parate eller være klar over hvad der er på vej og det bliver et klart konkurrenceparameter:-)

Det er beskæmmende. "Den amerikanske it-mastodont skal ændre ordlyden i en såkaldt instruks som betyder, at selskabet lover aldrig at sende ukrypterede data fra platformen til et usikkert tredjeland", det er vel i bund og grund ikke ordlyden der skal ændres, men faktisk hvor data bevæger sig til og fra og hvor de opbevares og det vil uanset hvad, være uden for EU i helt basal teknisk betragtning,- dermed i brud med loven. det har før forlydt at data er data uanset om de er krypteret, og at kryptering dermed egentlig ikke er tilstrækkeligt. Der kan i min optik gribes efter kryptering i grelle tilfælde, hvor en tjeneste er tvingende nødvendig. Men dertil er det at skrive at man kryptererer ikke tilstrækkeligt. Der skal jo i bydende situationer tilsirkes at der rent faktisk også altid krypteres og at det ikke er udbyderen der har krypteringsnøglerne... Jeg finder det kritisabelt at der ikke blot etableres alternative EU løsninger, men at landet i stigende grad synes at drives af techgiganter. Vi har ikke korruption i Danmark lyder det, men der ydes så signifikante rabatter til det offentlige og platforme adopteres i en grad, der uafladeligt skaber alt for markante afhængigheder. Det samlede EU må vågne op og stoppe alle den parlamenteren, men istedet skride til handling. EU Data i EU!

Jeg tror da også, at den værste skrubbelløshed har lagt sig, og at man nu i virksomheder i langt større grad tænker privacy og dataetik ind og det også har været med til at opbremse cloud-iveren.....men det er selvfølgelig ikke i de store techvirksomheders interesse, at den overvejelse debateres. Dansk Industri er på det felt også et stort talerør for mere digitalisering og cloud....Vi har savnet rettidig omhu og måske den tendens vi ser nu, er et tegn på at der endelig tænkes "STOP-THINK"

Jeg bemærker bl.a. at Nixu A/S ikke er på listen og det burde virksomheden være, idet at Nixu er leverandør til en hel del danske virksomheder, også de helt store....... Udfra øvrige kommentarer kan man konkludere- at før man laver sådan en liste er det en god ide at undersøge hvad der sker i markedet.....;-)

Man har med andre ord truffet en beslutning om kontinuerlig brud på borgernes privacy, oven i købet på et grundlag, som man ikke kan overskue og da den amerikanske nationale lov ikke vil blive lavet om, og da den overruler alt andet, ja så er man da blot igang med at forlænge pinen. Jeg har forstået at Microsoft har initiativer på vej til årsskiftet, der vil løse lignende cloudproblematikker, og er spændt på at se løsningen.

Er Datatilsynet ved at slippe grebet? Finansloven har da sendt et tydeligt politisk tegn på, at når man kommer efter offentige myndigheder, ja så kan man godt risikere efterfølgende at miste sine bevillinger.....ja det lugter det da ihvertfald af...og tegner et billede af en flok utroligt uambitiøse og uvidende politikere på det digitale område...

Til den vågne politiker her op til valget: Få dig en klar og tydelig politik på det digitale område- "and stick to it"!

Jeg kan til stadighed ikke helt forstå hvordan virksomheder under Danmarks kritisk infrastruktur, bliver ved med at overse deres forpligtelser, når både Datatilsyn, CFCS og diverse standarder tydeligt opfordrer og hjælper på vej til at man følger loven og respekterer privacy.
Mon det igen er økonomi der afgører, at man vælger tilstrækkelig sikkerhed og compliance fra?
Datatilsynet kan i denne sag, nok dele mere ud end en advarsel,- oven i det kommer så den udgift, der rammer Lokaltog, for at redde data...det ville nok være billigere at gøre det rigtigt første gang... "When will they ever learn"...

Grådighed er på alle måder den digitale verdens værste fjende. Techgiganterne og andre mastodonter støtter selvfølgelig hinandens dagsordner og ved at placere flest mulige data i skyen, satser de på at lægge pres på, at loven retter sig efter deres strategi og grådighed, fremfor fremme af borgernes/kundernes rettigheder. Der gambles med private kunders privacy - Det er uartigt, flabet og uhyggeligt og jeg håber ikke at de slipper godt afsted med det, men lobbyister fra techgiganterne skal nok gøre deres, sammen med en stab af supersælgere, der farer rundt og forvisser kunderne om at ”EU kommissionen og datatilsynene nok skal falde til patten” og ”kære kunde der er penge at spare…mange penge ved at gå i skyen med data også dem du holder for andre, så kom nu Mulle….du vil jo gerne være med i legen ikk?” Hvis man har en plan B der handler om at etablere en private cloud, så kom i gang- der er ikke en god nok undskyldning for andet.

Man har jo god fokus på cybersikkerhed og trusler også mod kritisk infrastruktur, hos de større aktører, som også selv arbejder meget seriøst med problematikkerne og foretager væsentlige investeringer. Cyberstrategi udkast har der været mange af gennem årene, men gennemgående er, at de aldrig når at træde i kraft, før den næste strategi kommer til. Alle må indse at skulle tage ansvar og at de i stor udstrækning skal kune være på egen hånd og kan ikke forvente at der bliver holdt "en hånd under", for den digitale udviling er hurtigere end vores beslutningsprocesser.

Jeg tror grundlæggende at man specifikt skal se noget anderledes på problematikken i SMV markedet, hvor der er en særlig tendens og forventning om at kunne fralægge sig ansvar og kunne hente hjælp. Cybersikkerhed er som låse på døren,- jo flere og des stærkere låse, des højere sikkerhed. Får man et fysisk indbrud, kan politiet tage sig af det ( ihvertfald i de fleste tilfælde), men drejer det sig om cybersikkerhed, så er ressourcerne der ikke og mangler generelt i samfundet, så det nytter ikke at vente på strategier eller forvente hjælp. Vældigt ofte angribes virksomheder, fordi de ikke aktivt har taget stilling til,- og arbejdet med cybersikkerhed, hverken omkring medarbejdere, deres adfærd, processer og viden eller omkring egnede værnende teknologier og korrekt konfiguration. Mange virksomheder særligt i SMV laget, har undervurderet trusselsbilledet og har ikke sat de "låse på døren" der i realiteten skulle til. Det er ofte sparet væk, enten med hensyn til at udtage profit, eller med henblik på investering i vækst. Nogle SMV virksomheder, særligt familieejede eller med en lidt ældre bestyrelse, har desværre en perception af, at brud på cybersikkerheden, er noget Politiet eller Forsvaret skal sørge for at hindre, eller at de for virksomheden, kan rage kastanjerne ud af ilden, hvis det går galt. Man mangler erkendelse for- og forståelse af, at der skal ske en forebyggelse. For når først data er korrumperet, mistet, eller taget til ransom, eller når en hacker har været inde og stoppe processer, forsyninger, eller har misbrugt identiteter, stjålet fortrolige oplysninger og søgte patenter, verserende retssager el. lignende,- så er det for sent. Trusselsbilledet bliver udbygget hver dag og det bør anerkendes og sættes til enhver virksomheds investering i eksistens og vækst, at man skal foretage de rigtige investeringer i cybersikkerhed,- omkring awareness såvel som i teknologier og services. Cybersikkerhed bliver alt mere avanceret og det kræver ofte specialviden. Ja det koster penge, til tider mange, men det er simpelthen en uundgåelig omkostning, hvis man vil drive virksomhed. Lidt som når man bygger hus og må indse, at man skal bruge varme og vand og skal regne med at skulle inddrage håndværkere og ikke blot kan klage og hente hjælp fra Politiet og Forsvaret, når de sparsomme vandslanger i stedet for vandrør man af sparehensyn, selv har anlagt, springer læk....

Jeg er enig i meget af kommentarsporet og kan tilføje, at Skat jo f.eks. også på Facebook åbnede mulighed for at borgere kunne stille spørgsmål, som borgerene nok ikke selv var klar over, ikke burde flurere på Facebook. Men det bør de GDPR ansvarlige fra Skat jo vide. Det undrer mig egentlig at Datatilsynet ikke har været opmærksomme på det.....med reference til det Norske Datatilsyns fokus: "Det kan være, at den registrerede opgiver for meget personlig information, herunder særlige kategorier af data, i en slags misforstået fortrolig dialog med Datatilsynet – enten offentligt eller i private beskeder. Den enkelte kan misforstå Datatilsynets tilstedeværelse som en garanti for, at platformen er mere databeskyttelsesvenlig, end den faktisk er,« skriver tilsynet i rapporten"

Det er da en god nyhed at man vil sammenlægge dette for ressorucebesparelser, så længe de enkelte kommuner fortsat passer deres øvrige opgaver som dataansvarlige:-)