Vi behøver cyber-sikkerhedscertificering til SMV’er

Der kan vist næppe være nogen tvivl om, at cybersikkerhedstruslen er over os. Et emne, der bliver diskuteret vidt og bredt af danskerne, offentlige organisationer, i medierne, på Christiansborg, i EU, på tværs af alle landegrænser og i virksomheder i alle størrelser. Det er et område, der er interessant at tale om og have en mening om. Dog kan det også være utrolig teknisk og kompliceret og svært tilgængeligt. Dette afholder de fleste fra at få den mere dybdegående viden om området. Det er også svært at forholde sig til, når man skal forsøge at sikre sig, eksempelvis i små og mellemstore virksomheder. Det kræver relativ dyb viden på mange forskellige områder, hvis man skal finde et tilfredsstillende leje i forhold til it-sikkerhed. I de fleste tilfælde er man tvunget til dække flere teknologiområder, som er nærmest umulige at imødekomme. Man har simpelthen ikke ressourcerne eller økonomien til det. Hvad gør så en mindre eller mellemstor virksomhed eller organisation? I de fleste tilfælde – ingenting! Det er ikke sundt for samfundet eller for de kunder eller partnere, som samarbejder med den pågældende virksomhed. Mange vil sige, at de ikke føler sig udsatte eller ikke har oplevet at være ramt, men hvis man bare stiller et enkelt spørgsmål som "Var der noget du ville gøre anderledes ved din it-sikkerhed i dag, hvis du vidste, at du ville blive kompromitteret i morgen?”- så ville det nok se en anelse anderledes ud.

 Jeg mener, at det er på tide, at vi gør noget ved cybersikkerhed til disse typer af virksomheder/organisationer. Den Danske Stat bør etablere en myndighed, der skal udvikle en serviceydelse - netop fordi der ikke er ressourcer/kompetencer til at gøre det selv i de små og mellemstore virksomheder. Sådanne serviceydelser kunne starte ved, at man udvikler en form for certificering, som vi kender det fra eksempelvis ISO 27001. Dette for at give disse virksomheder muligheden for at dække sig af for cybertruslen og samtidig kunne kommunikere over for omverdenen, at man tager cybersikkerhed seriøst. En sådan certificering skulle ikke være specielt tung eller krævende, men blot et middel og en sikkerhed for, at vi alle kan forbedre vores evne til at modstå det daglige trusselsbillede. For at opnå den størst mulige troværdighed skulle en sådan certificeringsmyndighed blive etableret af det offentlige og bestå af offentlige kompetencer. Det er nødvendigt, som vi ex kan se på debatten af f.eks. frasalg af Nets Danmark. Det skulle være denne myndigheds ansvar at udvikle en sådan certificering (framework) og sikre størst mulig tilslutning blandt virksomhederne i Danmark. Man kunne udvikle forskellige niveauer af certificeringer enten gennem branche eller størrelse. Vi kender det allerede gennem eksempelvis PCI DSS  eller HIPAA standarden, som er to store regulativer. Erhvervsstyrelsen er allerede i gang med at se på, hvordan disse udfordringer bliver adresseret. Folketinget har i mine øjne et ansvar for at få et sådan initiativ igangsat, både for virksomhedernes/organisationernes skyld, men så sandelig også for samfundets skyld. Vi er nødt til at løfte denne udfordring i fællesskab.