Opfølgning på Webinaret: Hvordan styrker vi vores fælles sikkerhedskultur
Danmarks nationale sikkerhed hviler på en stærk og levende sikkerhedskultur. Alligevel er netop dette område i dag en af vores største akilleshæle – et felt, der alt for længe har været underprioriteret i uddannelsesinstitutioner, virksomheder, myndigheder og blandt os som borgere.
Den 25/2 afholdt Forum for Bedre Cybersikkerhed derfor et webinar med paneldeltagere repræsenterende forskellige fagområder og aspekter i relation til digital sikkerhed. Vi ønsker dermed at sætte gang i den nødvendige dialog mellem forskning, erhvervsliv, politik og sikkerhedseksperter med et bredt samfundsmæssigt engagement. Se eller gense webinaret nedenfor for at følge eller deltage i en debat der ikke stopper med dette webinar.
Vi kan allerede nu afsløre at næste tema under vores kampagne for bedre sikkerhedskultur vil berøre AI aspektet, herunder gevinster, ulemper og hvor vi skal være særligt opmærksomme. Byd ind med DINE tanker, ideer og eventuelle bekymringer til et fælles arbejdsmål omkring temaet AI-sikkerhedskultur. Vi ser frem til at modtage dem på bestyrelsen@bedrecybersikkerhed.dk
Debatten blev modereret af Jacob Seierø, Direktør Cyber Security Innovation ApS, og panelet bestod i øvrigt af:
Jon Wegener, Ekstern lektor i neuroøkonomi ved Copenhagen Business School
Jesper Palm Lundorf, FN Safety & Security Associate
Erik Jul Nielsen, CEO Conxion og stifter af Board Business
Mette Nikander, Formand for Forum for Bedre Cybersikkerhed
(Merete Riisager, Folketingsmedlem Liberal Alliance, måtte desværre melde afbud pga valgudskrivning)
Se mere om paneldeltagernes baggrund nederst i denne artikel.
Sammendrag
Årsagerne til den manglende sikkerhedskultur blev vendt – f.eks. at techgiganternes indflydelse under den massive og meget hurtige digitalisering i Danmark, har skubbet os i retning af løsninger og tjenester fra tredjelande, især USA, på bekostning af digital suverænitet. Det har trukket fokus væk fra sikkerhedskultur og over mod bekvemme platforme og cloud‑tjenester hvor alle investeringerne blev placeret. Mange mærker nu konsekvenserne for både samfund, borgere og virksomheder – og problemet vokser.
Debatten gik bl.a. på at mennesker naturligt søger de nemmeste veje, hvilket har bragt os til hvor vi står i dag. Nogle virksomheder arbejder med f.eks. simuleret phishing, men det er ikke nok til at etablere en stærk kultur. Særligt ikke hvis mennesker er bange for at begå fejl og blive udskammet, for da får man ikke åbnet for en sikkerhedskultur. Vi skal istedet etablere incitamentstruktur og huske at rose. Der skal belønning i stedet for ”straf” ind i sikkerhedsincitamentet. Ansvarlige ledere skal tage det på sig, tilegne sig ny og nødvendig viden om cybersikkerhed for at forstå problemet og beslutte hvilken en kultur de vil have. Erhvervsledere skal være opmærksomme på at leverandører ikke nødvendigvis ved nok om cybersikkerhed og privatlivsbeskyttelse, eller måske ikke har samme moral, etik og vidensniveau. Ligesom leverandører heller ikke kan tage ansvar for erhvervsledere eller deres organisation. Mylderet af regler, politikker, vejledninger, “Terms and Conditions” og love har blot givet brugerne kognitiv overbelastning. Så vi behøver ikke mere af den skuffe.
Vi har gennem hastig digitalisering fået digitalt indfødte, men så sandelig også digitalt hjemløse og det er ikke acceptabelt at nogle i samfundet ekskluderes på grund af digitalisering..
Når SMV’er digitaliserer, så er det for mange SMV’er ikke et ideologisk valg – det er praktisk. Man vælger det, der virker, og det, der er integreret i driften. Det bliver en bevidst hybridstrategi med tydelig risikoforståelse, men måske med knap så stor stillingtagen til hvor data ligger.
Den aktuelle geopolitiske situation, især efter Rusland-Ukraine-konflikten, har øget cyber-bekymringerne hos danske virksomheder. Mange oplever en øget risiko for målrettede angreb mod både private virksomheder og kritisk infrastruktur. Man er i EU pt. stærkt afhængig af amerikanske teknologivirksomheder, især cloud-services fra Amazon, Microsoft og Google, som kontrollerer en stor del af det europæiske marked. Det betyder, at europæiske lande (og dermed danske virksomheder) er udsat for juridiske og operationelle risici knyttet til amerikansk lovgivning og udenlandske politiske beslutninger. (f.eks. FISA 702 og CLOUD Act)
Panelet diskuterede, hvad der skal til i en videre færd, både indenfor intuitivt og understøttende design i digitale løsninger, såvel som øvrigt fremme af sikkerhedskultur. Debatten bevægede sig ind på at sikkerhedskultur handler om at etablere prioritering, sammenhold, loyalitet og ansvar. Der skal tilføres viden, førend man kan forvente at nogen bliver i stand til at rette adfærd og investeringer ind.
National sikkerhedskultur kræver politisk prioritering, så vi som samfund kommer i gear og op på et nødvendigt niveau, men virksomheds-ledere skal også forstå og tage ansvar for at initiere og facilitere sikkerhedskultur. Deltagerne kom bl.a. ind på, hvorvidt vi bør give os selv lov til undervejs i digitaliseringen, at stoppe op og tage tid til læring og indarbejdelse af nødvendige tekniske og organisatoriske forholdsregler.
Hen mod afslutningen af debatten blev der også opfordret til, at danskerne gør oprør mod den fortsatte digitalisering, uden at der tænkes sikkerhedskultur ind. En ting var alle enige om: Det haster med at få etableret en robust sikkerhedskultur og at alle skal tage aktiv del i at skabe sikkerhedskultur.
Lyt til paneldebatten og giv os gerne dit besyv med: Hvad skal der til for at vi påbegynder et reelt arbejde med sikkerhedskultur- på nationalt plan og ude i samfundet og virksomhederne. Du kan give dit input på Forum for Bedre Cybersikkerheds Linkedin gruppe: https://www.linkedin.com/groups/10109189/
Debatdeltagere
Mette Nikander 
Markant dansk specialist inden for cybersikkerhed, privacy, compliance og dataetik med mange års erfaring som leder, strategisk og executive rådgiver og debattør. Stiftede C-cure i 1993 og solgte virksomheden til børsnoterede Nixu i 2021. Seneste rolle- Security Transformation Associate Director,- hos Accenture i Danmark. Formand for Forum for Bedre Cybersikkerhed.
Jon Wegener
Ekstern lektor i neuroøkonomi ved Copenhagen Business School, hvor han arbejder med, hvorfor mennesker handler usikkert, selv når de godt ved bedre. Med afsæt i hjerneforskning udfordrer han forestillingen om, at mere teknologi og flere regler automatisk skaber bedre sikkerhed og peger i stedet på adfærd, incitamenter og kultur som de afgørende faktorer.
Jesper Palm Lundorf
FN Safety & Security Associate, Tidligere Politi inspektør af særlig IT-task force og efterforskning hos PET IT-investigation i samarbejde med b.la. FBI, MI5, POT, Säpo, og Scotland Yard ), Koncernsikkerhedschef hos EC-Soft/ Ciber. Jesper har erfaring med træning af IT-beredskab i Danmark.
Erik Jul Nielsen
CEO Conxion og stifter af Board Business. Erik mener at SMV Danmark ikke tager cybersikkerhed seriøst nok og ikke handler tilstrækkeligt på de forstående trusler.Danmark behøver i højere grad at arbejde målrettet sikkerhedskultur. Der behøves øget bevidsthed, ansvar og ledelsesmæssigt engagement, der kan bidrage til at styrke Danmarks samlede cybermodstandskraft, både på organisations- og samfundsniveau.
Moderator
Jakob Seierø
Direktør, konsulent og underviser i Cyber Security Innovation ApS, hvor Jakob med sine 20 års erfaring med sikkerhed arbejder med at sikre danske virksomheders datasikkerhed og efterlevelse af cyberlovgivning. F.eks. ved at tilvejebringe det rette videns- og kompetenceniveau gennem undervisning, coaching, workshops og foredrag for topledelsen og for datasikkerheds- og compliance-specialister. Jakob er vært på podcasten CyberSundhed, der diskuterer hvordan vi som mennesker kan håndtere den teknologiske og digitale cyberverden. Jakob er også bestyrelsesmedlem i foreningen Digital Uafhængighed.