Han indførte DS484 i staten
I en uge har debatten om sikkerhedsstandarden DS484 kørt på Version2. Ufleksibel og en alt-eller-intet-standard, har kritikken lydt, og en rådgiver har anbefalet virksomheder at styre uden om DS484, som, han mente, var noget pjat, når man kunne bruge internationale ISO-standarder i stedet.
Version2 har talt med manden, der står bag valget af DS484 i staten, Erik Sørup Andersen, der i dag arbejder med it-ledelsesrådgivning og it-revision i BDO Kommunernes Revision.
Han var i 2002 formand for statens it-sikkerhedsarbejdsgruppe og ledte arbejdet med at finde en fælles it-sikkerhedsstandard, der kunne indføres som et krav i hele den statslige sektor. Og han vil gerne slå et slag for den danske standards kvaliteter og udrydde nogle misforståelser.
Forkert kritik
Først og fremmest kritikken om, at DS484 ikke er baseret på en risikovurdering som ISO-27000-standarderne. Det er forkert, forklarer han, det sker bare på en anden måde, der faktisk er mindre kompleks end arbejdet med en ISO-standard.
I stedet for en samlet, overordnet risikovurdering, bruger DS484-standarden en tilgang, hvor vurderingen sker ved implementeringen af kravene, så det er tættere på virkeligheden.
»Risikovurderingen er der, den er bare flyttet et niveau ned. Så overvejelser om relevans, risiko og væsentlighedsbetragtning er indbygget i standarden. Ordene optræder faktisk næsten i alle afsnit,« forklarer Erik Sørup Andersen.
Den metode er nemmere at gå til, mener han.
»Hvis man skal starte med en risikovurdering af alle områder, som med ISO-standarderne, kan det give problemer i sig selv. Mange roder rundt i begreberne her og begår fejl fra starten,« lyder vurderingen fra Erik Sørup Andersen.
Basale og skærpede krav
Grundideen i DS484 er at bruge to niveauer for sikkerhed. De basale krav, som alle skal leve op til, og så de skærpede krav, der skal vurderes i forhold til behovet. For eksempel hvis en bestemt lovgivning spiller ind, der er tale om særligt kritiske forhold, eller at branchen har særlige normer og krav.
»På mine børns skole har der været en kampagne for at få børnene til at vaske hænder, fordi det er et basalt krav, at alle skal vaske hænder regelmæssigt. Men der er forskel på, hvad en håndværker og en læge forstår ved regelmæssig håndvask og ved væsentligheden af at vaske hænder. Så det skal defineres i forhold til den enkelte virksomheds behov. Et skærpet krav for sundhedssektoren kunne være, at sæben skal være bakteriedræbende,« forklarer Erik Sørup Andersen.
Finten er, at alt i første kategori skal følges af alle, dog tilpasset virksomhedens behov, mens alt i anden kategori skal vurderes ved implementeringen, så det passer til organisationen. De basale krav sikrer dermed, at der er et grundniveau, som alle er enige om.
»Vi var igennem kravene flere gange, og vi nåede frem til, at det var ganske få af de basale krav, som ikke var relevante for alle,« forklarer den tidligere formand.
Derefter kan implementering så tilpasses efter behov. I den offentlige sektor kan det for eksempel ske inden for de overordnede serviceområder, der er defineret under digitaliseringsprogrammet, så hvert område kan fastlægge sin egen sikkerhedsstrategi.
Skattemyndigheder ønsker for eksempel at passe rigtig godt på de oplysninger, de håndterer, da de er fortrolige, mens andre dele af det offentlige kan have andre krav. Med andre ord giver DS484 en fælles bund og en skræddersyet top.
»For borgeren er det irrelevant, hvor sikkerheden svigter, hvis den svigter ét sted. Så i den offentlige sektor skal man bruge standarden som en fælles, *corporate *standard. Man bliver nødt til at have en fælles styring med klare regler, hvis man vil have ensartet sikkerhed« forklarer Erik Sørup Andersen.
Bedst med international standard
En del af kritikken er Erik Sørup Andersen dog på linje med, nemlig at det ville være nemmere, hvis alle brugte samme standarder.
»Pointen om, at vi bør have så få standarder som muligt, er rigtig. Det er jo globale problemer, der er ens for alle. Og efter min mening kunne DS484 sagtens ophøre med at eksistere som en selvstændig standard, når næste version af ISO 27002 kommer. Men listen over basale krav bør leve videre,« siger Erik Sørup Andersen.
Allerhelst ser han, at ideen bag DS484 spreder sig til ISO-standarderne, for Dansk Standard er med i gruppen, der bestemmer indholdet af de kommende ISO-udgaver.
»Det ville være ideelt hvis ISO-standarderne også får en kategorisering af krav i to eller flere niveauer. For mange føles arbejdet med disse standarder komplekst, og det ville være bedre med denne her mere enkle opbygning, når nu vi ved, at nogle sikringsforanstaltninger hører hjemme i enhver virksomhed,« mener Erik Sørup Andersen.
Om DS484
Arbejdet med en dansk it-sikkerhedsstandard begyndte tilbage i 1990 hos Dansk Standard. Ti år efter var første version klar, med udgangspunkt i den britiske standard BS 7799. Herefter levede DS484 et stille liv, indtil staten i 2002 gik på jagt efter fælles krav til it-sikkerhed i den offentlige sektor.
Efter behandling i en tværministeriel arbejdsgruppe og en offentlig høring blev DS484-standarden valgt og indført ved en regeringsbeslutning i 2004 i alle statslige institutioner. En ny version kom på gaden i 2005. Skæringsdatoen for at indføre DS484 i staten var 1. januar 2007.
Et af argumenterne for at bruge den danske standard var ifølge Erik Sørup Andersen, at det var muligt at forhandle en god aftale hjem med Dansk Standard, der gav en stor frihed for, hvordan standarden kunne bruges i den offentlige sektor. Standarden er beskyttet af ophavsret, men det offentlige fik lov til frit at publicere materiale, som indeholder større eller mindre dele af DS 484, så længe det ikke omfattede de facto-versioner af standarden. Var ISO-standarden blevet indført, havde det ikke på samme måde været muligt.
Kommentarer (2)
Intentionen er som sådan god nok
I stedet for en samlet, overordnet risikovurdering, bruger DS484-standarden en tilgang, hvor vurderingen sker ved implementeringen af kravene, så det er tættere på virkeligheden. Problemet er bare at intentionen ikke har noget med virkeligheden at gøre. Tag artiklens eksempel. [quote]Skattemyndigheder ønsker for eksempel at passe rigtig godt på de oplysninger, de håndterer, da de er fortrolige, mens andre dele af det offentlige kan have andre krav. Med andre ord giver DS484 en fælles bund og en skræddersyet top.
I den mellemlignende periode har vi set en Skatteforvlatning som totalt har mistet respekten for selv basal sikkerhed og udviklet sig til en ren naboovervågningsmaskine uden nuancer.
Staten har på ingen måde behov for alle de data og slet ikke i en form som slet ikke kan sikres.
Hvis DS484 skulle virke som indikeret, så ville staten jo have forebygget ved slet ikke at skabe de usikrede og unødvendige databaser.
I samme periode hvor DS484 har været etableret har vi set den offentlige sektor begå den ene banale grundliggende designfejl efter den anden. Det vælter med single-points-of-failure på stort set alle niveauer som udelukkende tager sigte på centralisering uden noget der ligner seriøse vurderinger af konsekvenser for samfundet - hverken økonomisk eller sikkerhedsmæssigt.
Se på prestigeprojekterne som kun fungerer i det omfang de tvinges igennem, men alle som en er udtryk for et ensidigt fokus på planøkonomisk kontrol uden tanke for om det skaber værdi eller er hensigtsmæssigt.
Se på Digital Signatur (specielt katastrofen med DanId som ikke engang kan have åbnet sikkerhedsstandarden med risikominimering som emne), potalerne, nem-kontrolprojektene, dokumentboks, pas etc.
DS484 var måske nok tiltænkt at virke som indikeret, men enten overholdes den ikke eller også er der ikke sammenhæng mellem mål og indhold.
-
0 -
0
Bare lige et par kommentarer.
I samme periode hvor DS484 har været etableret
Der er meget stor forskel på at beslutte at læne sig op ad, og at indføre noget.
Jeg ville nok ikke bruge sentensen 'Han indførte' i overskriften, men WTH, inden for den offentlige sektor vil alle gerne fremstå som 'monumentskaberen'.
har vi set den offentlige sektor begå den ene banale grundliggende designfejl efter den anden.
Her vil jeg bare påpege, at stort set alle offentlige systemer bliver tilvejebragt på baggrund af et udbud med bagvedliggende kravspecifikation.
Jeg vil nok påstå, at eventuelle mismatch mellem forventninger og de faktiske systemer beror på en ligelig fordeling af for dårlige kravspecs, samt leverandørenes manglende evne til at lave 'ordentlige' systemer.
Det vælter med single-points-of-failure
Det er nok det samme du siger, men for at præcisere, så er det typisk fokusering på en ensidig betragtning om forventning af 'stordriftdfordele', uden at tage hensyn til de negative aspekter af samme.
Jeg havde en kort snak med regnskabsdirektøren for VTU engang i anden sammenhæng.
Dér var man igang med såkaldt Koncern IT.
Jeg fik fortalt at der havde været nedbrud to hele dage i en given periode.
Omkostningen blev beregnet til ca. 1 mio pr. dag - altså en (indirekte) omkostning på ca. 2 mio.
Men desværre er der en tendens til at opfatte medarbejderenes (idle)tid som værende en nulomkostning - 'De er der jo alligevel'.
-
0
-
0
