Bare det var oktober hele året rundt

Sommeren har sluppet sit tag i Danmark i disse dage. Den første nattefrost har indfundet sig, og bladene på skovens træer skifter farve. Oktober er en fantastisk måned for informationssikkerheden. Se hvorfor her.

Henrik Larsen, chef for DKCERT

Henrik Larsen, der er chef for DKCERT, skriver hver måned en klumme i Computerworld Online om aktuelle spørgsmål om informationssikkerhed. Vi bringer klummerne her, efterhånden som de udkommer.
Mange ærgrer sig sikkert over det, men som sikkerhedsmand ser jeg hvert år frem til oktober, for overgangen til det rigtige efterår i oktober markerer også, at det er den måned, hvor ENISA's sikkerhedsmåned går i gang. I år glæder jeg mig ekstra meget.

Og for god ordens skyld lige en disclaimer, inden jeg tager fat på reklamerne: Jeg er medlem af bestyrelsen for Rådet for Digital Sikkerhed og af Cybersikkerhedsrådet. Så er det på plads.

Sikkerhedsmåned

Oktober er den måned, som EU's sikkerhedsagentur ENISA har udnævnt til European Cyber Security Month, og hvor en lang række aktiviteter rundt omkring i Europa sættes i værk for at sætte fokus på informationssikkerhed.

Det sker blandt andet for forskningsnettene i Europa, hvor der gennem GÉANT - det fælleseuropæiske samarbejde om forsknings- og uddannelsesnet, som forbinder de nationale forskningsnet i Europa med hinanden og med forskningsnet i andre verdensdele – laves forskellige initiativer, der har til formål at øge opmærksomheden på cyber- og informationssikkerhed.

Dette sker også på nationalt plan i de europæiske lande, hvor myndigheder og andre aktører sætter sig sammen under samme paraply for at hæve dagsordenen på informationssikkerhedsmåneden.

Forældre skal lære børn om sikkerhed

I Danmark er der tradition for at gennemføre informationskampagner, og i år har man valgt at sætte fokus på, hvordan forældre kan gøre deres børn sikre på nettet.

Vi har endnu til gode at se kampagnen og de kommunikative greb, som tages i brug for at skabe opmærksomhed om dette. Uanset gennemslagskraften er det efter min opfattelse en rigtig vigtig vinkel at angribe problemstillingen på, for når alt kommer til alt, har forældre ansvaret for deres børns informationssikkerhed. Ligesom de har ansvaret for deres fysiske sikkerhed og anden form for opdragelse i øvrigt.

Tillad mig at tilføje: Det er ikke kun af hensyn til børnenes informationssikkerhed. Også af hensyn familiens informationssikkerhed, er det vigtigt, at alle er klædt godt på til at møde truslerne.

Bag kampagnen står Digitaliseringsstyrelsen, KL og Danske Regioner i samarbejde med Center for Cybersikkerhed.

Også lidt til os andre

Men ikke kun børnene og deres forældre er målgruppen i årets sikkerhedsmåned. Der er også andre aktiviteter, bl.a. til os der har passeret den alder, hvor børneopdragelse kræver en hel del af ressourcerne.

Af hensyn til hos andre er der nemlig gode folk i det ganske land, der stiller deres viden og erfaring til rådighed for alle interesserede til forskellige arrangementer.

I år er det af naturlige grunde i overvejende grad virtuelt. Det gør til gengæld, at vi alle kan deltage hjemmefra uden at behøve at fare land og rige rundt.

Fx synes jeg, at temaet om, hvordan man bedst muligt forbereder sig på et cyberangreb, som itadvokater.dk står bag, lyder meget interessant og relevant for de fleste. Også hvad det mere borgernære angår er der aktiviteter, for eksempel byder Svendborg Bibliotek sig til med tre kurser om hhv. phishing, kodeord og nethandel, Vejen Bibliotek har et arrangement om Cambridge Analytica-skandalen og Sydsjælland og Lollands-Falsters Politi en videokonference om sikker samhandel. Her er målgruppen udskolingsbørn, gymnasieelever, elever ved forberedende grunduddannelser, efterskoler, SOSU- og andre ungdomsuddannelser.

Også Rådet for Digital Sikkerhed er på banen i samarbejde med KPMG og Danish Hub for Cybersecurity, med et dialogforum, der kan tage stilling til udfordringen vedr. den mangedoblede efterspørgsel på cyber- og informationssikkerhedskompetencer. En efterspørgsel, som udbuddet af kompetencer ikke kan følge. Dialogforummets hovedprioritet er at kunne bistå til realisering af konkrete initiativer, der gør en forskel, og holder i den kontekst et webinar i sikkerhedsmåneden.

Endelig er myndighederne på banen. Således indleder Cybersikkerhedsrådet måneden med webinaret ”Kort og konkret om cybersikkerhed”, fredag 2. oktober. Og ellers er der mulighed for bookning af oplæg og webinarer. Center for Cybersikkerheds afdeling ”Civil Rådgivning” holder oplæg om alt lige fra ISO27001, sikkerhed i SMV’ere, adfærdsorientereret informationssikkerhed og så videre.

Samtidig kan man også booke oplæg fra medlemmer af Cybersikkerhedsrådet. Alt dette fremgår af kalenderen på www.sikkerdigital.dk

Topledere skal lære om informationssikkerhed

Og nu til noget helt andet, som ikke har så meget med cybersikkerhedsmåneden og temaet for kampagnen at gøre. Og dog.

I sidste uge blev kommissoriet for det nye cyber- og informationssikkerhedsstrategi lagt frem med fire temaer, hvoraf jeg særligt bemærker det første tema: Ledelsesforankring og kompetenceopbygning. Her fremgår blandt andet, at ”cyber- og informationssikkerhed skal være et ledelsesspørgsmål i både virksomheder og myndigheder, og strategien skal sikre en vedvarende topledelsesmæssig forståelse, forankring og prioritering af området.”

Det er lige netop, hvad man – med lidt godt vilje, ganske vist – kunne sige, at årets kampagne i sikkerhedsmåneden tager forskud på. Kampagnen har som mål, at forældre skal lære deres børn om cyber- og informationssikkerhed.

Cyberstrategien skal lære topledere om cyber- og informationssikkerhed ved at gøre det til et ledelsesspørgsmål, det skal forankres i organisationen og området skal prioriteres.

Ledere og forældre skal gå forrest

Man kan tilføje, at informationssikkerhed også skal forankres i familien, og området skal prioriteres i familien.

For ligeså vel som en ansat kan kompromittere sikkerheden i en virksomhed eller en myndighed ved uhensigtsmæssig adfærd, så kan den lille purk på otte år kompromittere sikkerheden for familien – for ikke at tale om, at forældrene også kan gøre det – ved uheldig adfærd. Derfor skal det forankres hos ledelsen og prioriteres.

I mange år har sikkerhedsfolk og andre aktører forsøgt at adressere behovet for, at topledere engagerer sig i dagsordenen. Nu er det oppe på den allerstørste klinge. Både hos topledere i virksomhederne og myndighederne og hos toplederne i familierne. Både i cyberstrategien og i sikkerhedsmåneden.

Og dette sker med indgangen til oktober. Det kan næsten ikke være bedre.

Bare det dog kunne være oktober hele året rundt.