Få overblikket: Den retlige paraply for informationssikkerhed
Hvilke regler gælder inden for informationssikkerhed, hvordan skal man som virksomhed forholde sig til dem og er reglerne overhovedet gode nok? Hanne Marie Motzfeldt, lektor i digital forvaltning, Københavns Universitet, giver os svarene.
Hanne Marie Motzfeldt indtager scenen på Cyber Security den 22. januar 2020 som den første keynote-taler med oplægget ”Den retlige paraply for informationssikkerhed”.
Gennem de it-retlige briller, vil Hanne Marie Motzfeldt gå helt tæt på den EU-retlige regulering, der er udformet som led i strategierne om det digitale indre marked og til dels som reaktion på WannaCry, der danner rammen om kravene til informationssikkerhed. Dansk IT har stillet nogle skarpe spørgsmål til Hanne Marie Motzfeldt, så du kan få en forsmag på oplægget og et overblik over de gældende regler.
Hvilke regler gælder for EU inden for informationssikkerhed, og hvordan spiller de sammen med de danske?
- Jeg tænker, at det meget ofte overses i den almindelige hverdag, at de gamle regler stadig står. De er så-at-sige stadig i live, og er en slags baggrundstæppe for, hvordan man regulerer. Et af de udgangspunkter er, at i det private er alt, hvad der ikke er forbudt eller krævet i loven, frit.
- I den offentlige forvaltning er det omvendt. For myndighederne gælder, at alt, hvad der ikke er tilladt eller krævet i loven, er forbudt. Samtidig er myndigheder bundet af et helt generelt forsvarlighedskrav. Det giver sig selv. De administrerer på borgernes vegne og for borgernes penge. De udgangspunkter er faktisk ret relevante for informationssikkerhed. Medmindre andet er bestemt, må virksomhederne tage alle de chancer, de vil, for og med deres egne penge. Så længe man ikke ramler ind i bestyrelsesansvar og ledelsesansvar for at være uforsvarlig, er man ret fri. Det er myndighederne ikke. Det er myndighedernes it-leverandører heller ikke – de fanges så at sige af, at de leverer til det offentlige.
- Der er dog en nuance, som har ført til nye regler. Virkeligheden er, at virksomheders efterladenhed med sikkerhed på visse samfundsområder kan få meget alvorlige konsekvenser for samfundet som helhed. Derfor er der fra EU's side fastsat regler for nogle virksomheder; nemlig dem, der risikerer at skade vores kritiske infrastruktur, hvis de ikke har styr på sikkerheden. Vi kan simpelthen ikke som samfund overlade det til virksomhederne frit at råde over sikkerhed i forhold til sundhedssystemerne, elforsyningen, transportsektoren, kommunikationslinjerne mv. Prioriteres de kortsigtede gevinster fremfor langsigtet troværdighed, skader de hele samfundet.
- Vi er samtidig blevet meget mere forbundet med andre lande og er derfor nødt til at begynde at skabe en fælleseuropæisk myndighedsramme, der kan gribe ind og håndtere, hvis det går galt. Den spæde start er her det, vi kender som NIS-reguleringen (regulering af net- og informationssikkerhed). Den er der tilsyneladende ikke ret mange, der kender. De fleste tror, at databeskyttelse og informationssikkerhed er det samme. Det er det ikke. De regler, der ’rammer’ f.eks. de mange små, private servicevirksomheder, er ikke informationssikkerhedsreglerne men databeskyttelsesreglerne. De databeskyttelsesretlige regler har et andet formål, en anden baggrund, og et andet sigte.
Hvordan skal man helt konkret forholde sig som virksomhed til disse regler, og har du indtrykket af om reglerne bliver overholdt?
- Ud fra en rent retlig vinkel, kommer det i høj grad an på, hvilke regler der gælder for en. Det er egentlig mit indtryk, at informationssikkerhed er på vej op af dagsordenen hos de større virksomheder – men det er i høj grad på frivillig basis. Hvad vi nemlig ikke er ret gode til i Danmark, er at gribe boldene fra EU.
- Jeg er ked af at sige det, men jeg bliver virkelig, virkelig træt, når jeg i de danske forarbejder og de mange høringssvar fra organisationer igen og igen læser, at det er alt for dyrt og besværligt med alle de krav fra EU. Man kunne jo prøve at tænke langsigtet! Det så vi med databeskyttelse, hvor vi først havde en regulering med milde sanktioner i næsten 20 år. Ingen overholdt dem. Vi ’opdagede’ så reglerne her i Danmark, da EU – næsten som en udtrættet teenagerforældre – fik nok, og der kom bøder for at sikre, at reglerne faktisk blev overholdt.
- Også NIS-reguleringen giver ufattelig god mening. Heller ikke den er blevet taget særlig godt imod i Danmark, og vi har i hvert fald ikke benyttet lejligheden til at få sat temaet håndfast og bredt på dagsordenen.
- Jeg tænker derfor, at det er en meget vigtig agenda for organisationer som Dansk IT at få hjulpet virksomhederne på området for informationssikkerhed. Bare tænk på, hvis vi får en ny udenrigspolitisk krise og nogen retter en WannaCry mod os, og samtidig slukker hele landet med et par velanrettede angreb mod sundhedsløsningerne, elnettet og transportsektoren samt telenettet? SÅ skal vi pludselig have strammet reglerne, have tårnhøje bøder samt indføre massive dokumentationskrav for at ’tvinge’ almindelig sund fornuft og forsvarlig adfærd igennem. Man burde ikke behøve ud i ekstremerne, før man finder fornuften frem?
Er de pågældende regler gode nok? Eller bør man ligefrem gøre det obligatorisk for virksomheder at have en forsikring mod cyberskader?
- Det er ikke for at være grov, men jeg har beskæftiget mig med de her områder i ganske mange år fra en retlig vinkel – og jeg vil gå direkte op mod selveste Shoshana Zuboff. Hun tager helt fejl, når hun siger, at lovgivning er det eneste, der virker på at skabe en fornuftig digital fremtid. Regler hjælper ikke en døjt. For mig er det bare et faktum, at vores demokratiske styringsmekanismer ikke virker særlig godt i forhold til den digitale dagsorden. Vi er ude af kontrol, og resultatet er en nedadgående spiral af øget detaljeregulering og bureaukratiske krav.
- Lad mig give et eksempel: Hvor mange kommuner, styrelser og virksomheder råbte ikke op om udgifterne til GDPR, da den kom? Hver eneste gang svarede jeg dem: ”Ja, men reglerne er ikke nye. De har været gældende i næsten 20 år”. Svarene runger stadig i luften: ”Ja, men vi overholdt dem jo ikke, så nu er det et kæmpe arbejde at sætte sig ind i dem og overholde dem”. Det var virkelig nedslående.
- Men når det er sagt, så vil jeg medgive Shoshana Zuboff, at sanktioner tilsyneladende virker, hvis de er alvorlige og afskrækkende nok. Men fra en retspolitisk vinkel så jeg altså hellere, at informationssikkerhed kunne være en frivillig, men prioriteret dagsorden for de virksomheder, der ikke ligefrem kan slå folk ihjel eller på anden måde lægge Europa i ruiner ved at være uforberedte på angreb eller andre hændelser.
Mød Hanne Marie Motzfeldt på Cyber Security 2020, hvor hun vil gå endnu mere i dybden - og tjek hele programmet, som byder på mange forskellige vinkler og oplæg inden for cyber- og informationssikkerhed.