Paneldebat med Cybersikkerhedsrådet: Tre store cybersikkerhedsemner i fokus

12. juni 2020 - Erfaringsudveksling om sikkerhedshændelser, IoT og sikker DNS var på programmet, da cybersikkerhedsrådet inviterede til webinar og en spændende paneldebat torsdag den 11. juni. Over 200 deltagere så med live, og Dubex’ CTO og medlem af Cybersikkerhedsrådet Jacob Herbst var med som paneldeltager.

På to timer tog journalist Henrik Moltke seerne med gennem tre temaer, som skulle adressere nogle meget aktuelle og vigtige emner inden for cybersikkerhed. Formålet med arrangementet var bl.a. at give cybersikkerhedsrådet input til det forestående arbejde. Til at hjælpe ham med dette havde han 11 medlemmer af cybersikkerhedsrådet, som diskuterede de tre emner og svarede på alle de spørgsmål, der blev stillet undervejs. En af deltagerne i debatten om IoT var Dubex’ egen CTO Jacob Herbst, der også sidder med i cybersikkerhedsrådet.

Lad os udveksle erfaringer og komme på forkant

Det første emne, der blev diskuteret var erfaringsudveksling om cybersikkerhedshændelser. Der er stor efterspørgsel på erfaringsudveksling blandt de danske virksomheder, men i dag er det stadig tabubelagt. Der er bred enighed om, at vi skal være bedre til at udveksle erfaringer – både de gode og de dårlige, men for nogle kan det være pinligt at stå frem, hvis man har været ude for en cybersikkerhedshændelse.

Så hvordan får man virksomhederne til at åbne op og dele deres erfaringer? Og hvordan kan man sikre, at det bliver delt hurtigt nok, så man kan nå at reagere på det, mens det stadig er relevant?

Der var mange bud på løsninger, men de fleste var enige om, at det i høj grad handler om at dele de positive erfaringer og skabe en tillid og fortrolighed, som gør det positivt at dele erfaringer. Ligeledes kan det være en god idé at være på forkant med hændelserne og snakke om dem, før de sker. Så er der større sandsynlighed for, at flere vil deltage i udvekslingen. For er der en ting vi ved, så er det, at de cyberkriminelle er gode til at udveksle deres erfaringer.

Der er stort fokus på dette emne hos cybersikkerhedsrådet, og derfor vil de henover sommeren stille skarpt på erfaringsudveksling.

IoT er i konstant udvikling, ligeledes er debatten

IoT er ikke et nyt emne, der diskuteres i forbindelse med cybersikkerhed. Tværtimod er det en debat, der bliver ved med at udvikle sig, netop fordi teknologien udvikler sig, og der kommer flere og flere digitale produkter. Til trods for dette er den nuværende produktsikkerhedslov fra 1985.

Stadig flere ting i vores hverdag er koblet op til internettet, og dette kan medføre rigtig mange sikkerhedsricisi, og selvom de fleste ved, det er på nettet og dermed IoT, tænker de ikke over, at det også er it, og at der inde i enheden er en computer. Et af de store spørgsmål er derfor: Hvordan kan man sætte krav til, at producenterne har tænkt sikkerhed ind fra start?

Mange forbrugere har ikke de nødvendige kompetencer til at forstå problemet og sikre sig, og samtidig er interessen der heller ikke. Det er derfor vigtigt, at forbrugeren har noget helt konkret at gå efter, når det kommer til IoT-produkter. Minimumskrav og mærkninger er bare nogle af de forslag, paneldeltagerne kom frem til. Det er dog vigtig at holde sig for øje, hvordan man rammer forbrugeren bedst muligt med disse initiativer.

Dubex CTO Jacob Herbst deltog i IoT-panelet og fremførte bl.a., at det er vigtigt at være realistisk med hvilke krav og forventninger, man kan stille til almindelige forbrugere, og en løsning bør være en kombination af minimumskrav til produkterne, som vi kender fra mange andre områder, samt en mærkningsordning der giver forbrugerne mulighed for at vælge de mere sikre produkter. Samtidig er det også vigtigt at forbrugerne hjælpes til at blive mere bevidste omkring brugen af IoT, da mange løsninger anvender forskelige cloudløsninger til opsamling af data, der ofte kan være meget personlige.

I EU-regi udarbejdes der pt forslag til en standard for cybersikkerhed i IoT-forbrugerprodukter, som forventes at være klar efter sommerferien.

TEKNIQ har i år med hjælp fra Dubex’ cybersikkerhedsspecialister udgivet en rapport, der beskriver den aktuelle bevidsthed i branchen og gennemgår de cybersikkerhedsmæssige konsekvenser og udfordringer ved brugen af nye teknologier. Du kan downloade rapporten her.

Hvor går grænsen mellem kontrol og beskyttelse?

Webinarets sidste emne omhandlede aktiv beskyttelse af borgere og SMV’er på den danske del af internettet. Mange større virksomheder og enkelte myndigheder har allerede tilkøbt sikkerhedsløsninger, der beskytter mod uforvarende adgang til ondsindede domæner vha. en sikker DNS-løsning, men disse løsninger omfatter ikke borgere og SMV’er. Diskussionen drejede sig derfor om, om der skal etableres en national ordning, hvor alle internetbrugere som udgangspunkt tilbydes en sikker DNS-løsning fra internetudbyderne.

Som udgangspunkt er det en stor hjælp at lægge sikkerheden ud til dem, der ved mere om det, men samtidig forudsætter det, at nogle tager stilling til, hvad der gives adgang til, og hvad der skal blokeres. Det fremgik således af diskussionen og kommentarerne, at det er vigtigt, at en sådan ordning gøres frivillig og transparent således, at det ikke kommer til at minde om censur.

Se hele webinaret med cybersikkerhedsrådet her