Hvorfor videnssektoren er (næsten) lige så kritisk som de kritiske sektorer

Den kommende cyber- og informationssikkerhedsstrategi har fået alle mand af huse. Interessenterne og aktørerne på denne dagsorden kommer på banen med bud på, hvad kommissoriet for strategien ikke indeholder, og hvorfor det skal med alligevel. Jeg vil godt give mit besyv med.

Henrik Larsen, chef for DKCERT

Henrik Larsen, der er chef for DKCERT, skriver hver måned på Computerworld Online om aktuelle spørgsmål om informationssikkerhed.

For et par måneder siden blev kommissoriet for den kommende cyber- og informationssikkerhedsstrategi præsenteret, og jeg benyttede mig af lejligheden i min klumme i slutningen af september til at udtrykke min begejstring over det første af kommissoriets fire temaer: ’Cyber- og informationssikkerhed som et ledelsesspørgsmål i både virksomheder og myndigheder’. Et spørgsmål, som jeg tillod mig at kæde sammen med cybersikkerhedsmånedens fokus på, hvordan forældre kan gøre deres børn sikre på nettet. Ledelse på flere planer er fuldstændig afgørende for den sikkerhed, man ønsker sig. Ingen andre end ledelsen kan bestemme den.

Men kommissoriet beskriver også andre temaer, ’Robusthed og resiliens’, ’Samarbejde og organisering’ og ’International indsats og bidrag’, som alle på sin vis hænger sammen med hinanden under en og samme paraply, som vi i DKCERT arbejder på at beskytte: Viden. Det vil jeg godt slå et slag for her.

Videnssektoren

’Robusthed og resiliens’-temaet handler om, at Danmark skal kunne opretholde vigtige samfundsfunktioner, også under kriser. ’Samarbejde og organisering’ handler om at styrke samarbejdet på tværs af myndigheder og virksomheder, videndeling og fælles løsninger og understøttelse af specialiseret rådgivning. ’International indsats og bidrag’ handler om, at Danmark skal bidrage til at skabe et åbent, sikkert og troværdigt internet osv.  Alt sammen er det noget, vi har holdt temadrøftelser om i Cybersikkerhedsrådet i den sidste måneds tid i forbindelse med arbejdet med den kommende cyber- og informationssikkerhedsstrategi.

Det har slået mig, at den grundlæggende forudsætning for, at vi overhovedet kan tale om disse tre områder, er at vi har noget at have det i. Hvis vi ikke har viden på områderne, kan vi hverken opbygge robuste systemer til styrkelse af vores egen modstandskraft, samarbejde om at finde fælles løsninger eller have noget at bidrage med internationalt.

De færreste – undskyld udtrykket – gider vel at samarbejde, hvis man opdager, at ens samarbejdspartner kun ta’r og ikke giver noget retur. Hverken nationalt eller internationalt. Hvis alle tager, er der til sidst ikke mere at tage af, mens hvis alle giver, så bliver der hele tiden fyldt op. På den måde kan viden bidrage til mere viden.

Utroligt nok, så er vores hjerne i øvrigt indrettet på den måde, at jo mere man putter ind i den, jo mere bliver der plads til.

Hvor kommer viden fra?

Men viden skal jo starte et sted – og her kommer min pointe. Historisk set kommer viden ud fra universiteterne og den øvrige forskningssektor. Forskning fra alle mulige fagområder er relevante i fx virusbekæmpelse og vaccineforskning, som vi alle sammen taler om lige nu. Hvordan coronavirus spredes er et mikrobiologisk felt, menneskers bevægelsesmønstre kræver adfærdssociologiske studier, behandling af Covid-19 er lægevidenskabelig, og der er kommunikationsvidenskab. For hvad nytter alle vores forsøg på at bekæmpe vira, hvis smittesprederen over dem alle – den menneskelige adfærd – ikke lader sig drive i en hensigtsmæssig retning? Derfor er det fuldstændig afgørende for bekæmpelse af virus, at kommunikation indgår. Fordi viden også skal kommunikeres.

De færreste kan vel være i tvivl om, at alle disse fagfelter, som skaber og formidler viden til bekæmpelse af Covid-19, er kritiske for samfundet. Vi kunne kalde de samlede fagfelter for videns- eller kompetencesektoren.

Men er den så lige så samfundskritisk som de sektorer, vi kender fra den nuværende cyber- og informationssikkerhedsstrategi: Energi, transport, søfart, sundhed, tele og finans?

Isoleret set ikke, for disse seks områder er grundlæggende noget, vi ikke har kunnet undvære siden den industrielle revolution. Tele er kommet til lidt senere end de andre, bevares, og mange vil sikkert sige, at telesektoren i dag er grundlaget for de fem andre, ligesom nogle vil mene, at vand og fødevareområdet mangler som kritiske sektorer. Uden mad og drikke, duer helten ikke. Det har vi vidst, siden vi var samlere og jægere – og i øvrigt er rent vand og muligheden for at komme af med spildevand vigtigere for sundhedssektoren end energi.

Men man kan godt påpege, at hele videnssektoren er så afgørende for driften af et moderne samfund som det danske, at samfundet faktisk ikke kan klare sig uden. Uden forskningskapaciteter på bl.a. de nævnte områder havde vi ikke stået, hvor vi er i dag ift. bekæmpelse af corona, og vi ville være afhængige af andre landes forskningsresultater og -metoder. Så havde vi måske haft en anden tilgang til bekæmpelse af virus, som var baseret på en helt anden kultur end den danske.

Hvor vi så havde stået, er svært at vide.

Viden er kapitaliserbar 

Når man taler om forskning og viden i forbindelse med cyber- og informationssikkerhed, så tænker de fleste sikkert på forskning i it- og cybersikkerhed, altså skabelse af viden til udvikling af produkter, som vi kan anvende til at beskytte vores informationer og forsvare os mod kommende cyberangreb. Det er den tekniske viden, it-sikkerhedskompetencer osv., som vores universiteter er begyndt at opruste i inden for i de sidste fem-10 år. Det er også vigtigt, men det er ikke kun den slags viden, jeg slår et slag for her.

Det er også al den anden viden, som kommer fra universitetssektoren, og som er (næsten) lige så vigtigt at beskytte som de kritiske sektorer. Og ikke kun fordi den er med til at understøtte vores kultur og sikre vores helbred, og fordi den dermed har en værdi for det danske samfund.

Den er vigtig, fordi den også har en værdi for andre. Selv for dem, som sådan set er ligeglade med, hvad den viden består af. De (cyberspioner og cyberkriminelle) ved bare, at når den er noget værd for nogen, så er der penge i at kompromittere den. Enten ved at kompromittere tilgængeligheden, hvis vi pludselig ikke kan få adgang til informationer om, hvorvidt en kommende vaccine er virksom mod en virusmutation, fordi vi er blevet ramt af ransomware. Eller ved kompromittering af integriteten, hvis konklusionen fra et nye studie i afspritning er ændret fra at vise, at det har en begrænsende effekt på smittespredningen. Eller ved kompromittering af fortroligheden som jo er det, der sker, hvis ransomwareaktører sælger viden videre eller publicerer den, fordi deres ofre ikke ønsker at betale løsesummen.

Det er den viden, som skal beskyttes. Dels for at understøtte vores samfundsmodel og dermed beskytte samfundet (også mod fake news og alternative facts), dels for at hindre, at den kan understøtte cyberkriminaliteten i at udnytte den.

Når vi taler om, hvorfor videns- og kompetencesektoren er en vigtig sektor for samfundet, så er det derfor. Og derfor skal den understøttes og i praksis beskyttes lige så godt som de øvrige kritiske sektorer.