Hvilken IT-sikkerhed ?
Det er altid en fornøjelse at se når markedskræfterne virker. Lige nu er der tre bud på hvordan et råd for bedre IT sikkerhed skal strikkes sammen.
Vi har ministeren, der er bange for at miste kontrollen og blive kigget i kortene.
Vi har Dansk IT der er bange for at miste kontrollen og blive kigget i kortene.
Og vi har Kim Aarenstrup, der vil have kontrollen og kigge ministeren og Dansk IT i kortene.
Men hvad er det egentlig for en IT-sikkerhed vi snakker om ?
Taler vi om sikkerheden i hyldevareprodukter, fra Microsoft og Apple til koreanske fotorammer med indbygget virus ?
Taler vi om net-baserede data-mining, fra LinkedIn til Gmail ?
Taler vi om den enormt profitable IT-sikkerhed branches services, fra Virus skanning til spam-filtrering ?
Taler vi om offentlige tiltag som digital signatur, kommunalreform og EPJ ?
Taler vi om bankernes manglende ansvar ?
Taler vi om at forklare almindelige borgere at "kittekat" ikke er et godt password ?
Taler vi ikke, når det kommer til stykket, om dem alle sammen ?
Kim Aarenstrup har kaldt sit initiativ "Rådet for større IT-sikkerhed", med direkte henvisning til "Rådet for større Færdelssikkerhed".
Jeg ved ikke hvor mange af jer der kender historiem om RfsF, hvis ikke, så smut lige over læs om begyndelsen.
Ja, ikke ? Send en venlig tanke om Svend Bergsøe næste gang i ser et barn med refleksbrik.
Hvis man læser videre i RfsF's historie, vil man se at foreningen har holdt sig trofast til set ene formål: At sikre at færre kommer til skade i trafikken og at man undervejs har lagt sig ud med stort set alle parter, fra fodgængeres lallen rundt over FDM's benzinsniffere til Folketingets monumentbyggere.
Hvis vi skal gøre os noget håb om at dette kommende IT-sikkerhedsråd gør nogen gavn, så er uafhængigheden den eneste relevante egenskab: Vi skal have et råd der tør tale alle relevante spillere i emnet stik imod i den offentlige debat.
Jeg vil ikke afvise at vi har brug for tre IT-sikkerhedsråd, guderne skal vide at ministeren har brug for alt den hjælp han kan få og at Dansk ITs medlemmer har udækkede pædagogiske behov.
Men hvis I tænker på jeres barndoms trafikundervisning, så var det hverken FDM (= Dansk IT) eller Traffiksikkerhedskommisionen (= Sanders råd) der lærte jer, at holde jer i live i trafikken.
Det var Rådet for større færdselssikkerhed og deres geniale (i alt andet end webdesign) "Børnenes Traffikklub".
Støt Kims initiativ.
phk
Om Poul-Henning KampKommentarer (8)
Det forbløffende med dette indlæg er at du slet ikke ser den kontrovers, der faktisk er essensen i sikkerhedsdebatten.
Skal man have en systemcentrisk tilgang, hvor alt centraliseres omkring Finansminsiteriets planøkonomiske styring og detailkontrol eller skal man have en markedsorienteret kunde-styret tilgang, hvor man sætter mennesket før systemet?
Problemet er jo at "sikkerhed" er blevet gidsel for Digital Forvaltnings misforståelser om "New Public Management".
Omkring sammenligningen mellem Færdselssikkerhed og it-sikkerhed, så er det nonsens.
Færdselsproblemerne er et desideret uheldsområde hvor ingen ønsker ulykker, men det at bevæge sig hurtigt skaber risici som man kan forsøge at modgå.
Det andet er stærkt præget af mere eller mindre relle interessekonflikter, dvs. hvor sikkerhedsproblemerne i væsentlig grad SKABES af interesser der ikke er balanceret ud mod hinanden.
Trafikken kører uanset hvad staten gør, men på IT-sikkerhedssiden bygger alle kritiske elementer på områder, der er stærkt regulerede og etableres eller afledes af statens tiltag - cpr, kommunikation, betaling etc.
Hovdproblemet på sikkerhedsområdet er IKKE implementeringen, men selve strukturen og de hensyn, der ligger bag. Du forbedrer ikke sikkerheden mere end marginalt ved at lave en bedre firewall - slet ikke hvis det miabruges til at legitimere at øge risikoen. Derimod kan du gøre noget effektivt hvis du sikrer fallbackmekanismer når perimetersikkerheden (selvfølgelig) brydes.
Man kan altid diskutere om et "Råd" er vejen frem, men at lave et råd som ikke dækker området er meningsløst. Det må nødvendigvis dække statens eget område og hvordan vil du gøre det uden mandat hertil?
Jeg skal være den første til at rose Kims ihærdighed, men hvad er det som Kim vil med dette?
Kim har f.eks. gjort sig til talsmand for et samtykke-register som en slags placebo-sikkerhed, dvs. bygger selv på den tilgang at man skal koncentere risici og blot forsøge at styre hvem der må tilgå de usikrede systemer.
Det går så helt galt hvis det f.eks. implementeres som i Sundhedssekstoren hvor man med L50B har fjernet både sikkerhedskravene, retssikkerheden og effektiviseringsdriverne. Her reducerer man sikkerhed til noget med beskyttelse mod den onde nabo som også er sygeplejerske.
Hvor er visionen i det?
-
0 -
0
Det lyder nærmest som om du slet ikke er interesseret i at der er et samlet sted der bliver tænkt over det store billede ?
Eller siger du, at det skal et minister-frygtsomt bengnaver udvalg sagtens klare ?
Eller siger du, at de skal IT industriens bonusbetalte medlemmer helt sikkert tage sig af ?
Eller hvad er det egentlig du siger Stephan ?
Kim (og jeg) vil have et uafhængigt forum hvor IT sikkerhed kan kigges på, uden at ligge under for interessekonflikter, et sted hvor nuancerede afvejninger af de forskellige interessenters behov og rettigheder kan foregå.
Hvad har du imod det ?
Poul-Henning
-
0
-
0
Hej Stephan
Jeg tror da egentlig at dit spørgsmål er phk's egentlige pointe - at det er utilstrækkeligt at se på nogle få dimensioner af IT-sikkerheden.
Er du uenig i behovet for et uafhængigt råd - eller mener du 'bare' at Kim ikke er den rette mand?
Men for at vende tilbage til phk's trafikanalogi - selvom det var Rådet for Større Færdselssikkerhed der lærte os at holde os i live i trafikken, så var der også relevant arbejde at gøre for FDM og trafiksikkerhedskommisionen.
Men det var det uafhængige råd der førte an.
/esni
-
0
-
0
Som begreb altså.
Problemet med IT sikkerheds begrebet er jo netop at det er så ulideligt bredt, at det inficerer alle dele af vores omgang med IT.
Ligegyldigt hvad i alverden vi laver med vore IT-systemer, så er der altid en opvejning af omkosting mod de tre dimmensioner i sikkerhed tilgængelighed, konsistens og konfidenialitet (der jo gerne er i modstrid med hinanden).
Så det at tro at et råd kan rådgive omkring alle forhold er i bedste fald naivt.
-
0
-
0
Jeg tror at noget af problemet med IT sikkerhed er at IT branchen har et antal teknisk funderede indgange til begrebet og derfor meget hurtigt begynder at diskutere løsninger som firewall, sigle sign-on og hvad vi nu ellers kalder alle vores produkter.
Men før vi kommer så langt skal der stadig tages stilling til de samme trivielle spørgsmål, som den gang "Informations Teknologi" var et spørgsmål om papir og blyant, adgangskontrol var et spørgsmål om lås på bygningen, udvidet adgangssikkerhed var en lås på arkivskabet og adgangsrettighed var et spørgsmål om, hvem der havde nøglen.
Nu er det så pga bedre teknologi blevet lettere at lagre information på en måde der kan give flere mennesker adgang, men i bund og grund er det stadig et spørgsmål om, hvem der skal have nøgle til hvad. Her må den enkelte informationsskaber tage stilling til brugen og sikre sin information behørigt. Det er ikke teknik, men udelukkende et spørgsmål om adfærd.
Så er der også kommet et spørgsmål om færdsel på nettet og sikkerhedsregler i den forbindelse. Her er RfsF en oplagt analogi - det enkelte individ må da for søren være ansvarlig for sin egen færden og hvis man går over for rødt må man også regne med at blive ramt. Således også på internettet. Hvis man sender sit kontonummer og andet uden at tænke på sikkerhed så kan man blive snydt - og hvis man går med 100.000 kr i kontanter i lommen kan man blive rullet. Igen er løsningen ikke et spørgsmål om teknik, men et spørgsmål om adfærd.
Derfor er analogien til RfsF så god.
-
0
-
0
@ PHO, Eskild.
Jeg er absolut for at man får skabt noget mere seriøs debat og forståelse på sikkerhedsområdet - håndteringen er i de fleste sammenhænge desideret forældet. Se bare på Digital Signatur og fingeraftryk, der er som dinosaurer fra forrige århundrede.
Jeg siger blot at analogien med trafik er forkert, fordi sikkerhed er et konfliktfyldt område medmindre man er rigtig god til at designe sig ud af de tilsyneladende konflikter. Det er ikke hvad jeg ser ske, men hvad jeg selv arbejder for.
Som jeg ser det er hovedspørgmsålet om det er realistisk at sikkerhed i offentligt relaterede processer kan køres i en model helt udenfor staten? og hvis staten ikke er med kan man ikke gøre meget i den private sektor for det er på ingen måde et frit område.
Man må for min skyld lave alle de råd man vil - de er alligevel overalt - men hvorfor dette? Når jeg diskuterer sikkerhed konstruktivt sker det ikke i dansk regi, men i internationale fora direkte med eksperter på de specifikke områder. F.eks. Security & Dependability Taskforcen, hvor vi lavede Roadmapping for FP7.
Jeg kender ikke Kim og har ingen holdning til Kims person. Har kun set et konkret forslag - samtykkeregister - men det er en rigtigt dårlig ide, så hvorfor skulle jeg tro at der er visioner bag? Men bortset derfra aner jeg ikke hvad han står for og her derfor ingen holdning.
Et Råd for rådets egen skyld uden ressourcer, visioner eller mandat forudsætter et godt formål formentlig med primær fokus på opbakning fra eksperter som faktisk kan give det noget saft og kraft til at give et seriøst modspil fremfor fokus på legitimitet via institutionel deltagelse.
Jeg bliver ringet op af folk som spørger hvad det er for noget - det er klart ikke sidstnævnte og Kim får ikke mandat af det offentlige.
SÅ hvad er formålet? Taler vi en slags uafhængigt forskningsråd (erkendt at området er underfundet og alt for politisk styret) eller et sted for interessekonflikterne kan løses.
En ting er sikkert - et råd til flere af de tåbelige kampagner får ikke min opbakning. Det er ren placebo.
-
0
-
0
I en lærebog om "Planning in Public Government stod der" : "If planning is everything, planning is nothing".
Sætningen kan snildt bruges her. Man kan - som med DS484 skippe den lærde snak og lave en praktisk kogebog med opskrifter for, hvordan man håndterer en række risici ud fra en given organisatorisk enheds egen interesse.
Men de fundamentale spørgsmål: Hvem er i kontrol her, hvordan er det med den indre og ydre magt, og fx. hvordan forholder privacy sig til gængs sikkerhed, er skudt til hjørne.
Vi må håbe, at det udvalg, ministeren nedsætter, får et lønnet sekretariat, og det er langt væk fra politisk kontrol.
-
0
-
0
Mikael,
Der er intet politik kontrolversielt i det. Det er præcis, hvad vi har set hidtil - en pladdervælling af en kampagnemaskine og lette quickfix som sejler henover problemerne og kilderne til dem.
Det løser ingenting, men misbruges til syndforladelse - "nu har vi gjort noget og lagt ansvaret på nogen (andre)" (velvidende at de er ude af stand til at løfte det - de mangler ressourcer, kompetancer og de fleste kilder til sikkerhedsproblemerne er uden for deres rækkevidde).
Som Dorte Toft så rigtigt skriver i sin blog udmærker oplægget til kommite sig ved nærmest total fravær af sikkerhedskompetance. Kommiteen risikerer at blive politisk gidseltagning for at binde interessenterne uden risiko for at den gør noget som helst som ikke er dikteret af Finansiministeriets embedsfolk.
Det kunne pege på behovet for 2 fora - det "officielle" og et eksternt forum som inddrager ekspertise og uafhængighed som hovedfokus. En slags skygge, der sikrer at vigtige spørgsmål og modeller rent faktisk kommer på agendaen på en måde hvor man ikke har truffet beslutningerne på forhånd.
Men et sådant forum er et uafhængigt "ekspert"-forum tættere koblet med forskningsverdenen (uden den naive tro at forskning løser interessekonflikter eller modner løsninger til markedet) end den politiske / institutionelle interessesfære som det mere officielle sikkerhedsråd har til opgave at fokusere på.
Den tilstand af akut krise på sikkerhedsområdet som blev etableret med L50B - som trak tæppet væk under alle hensigtsmæssige rettigheder og krav til sundhedssektorene it-udvikling - er et godt eksempel på et emne, der fortjener bred fokus - også uden for de lette kompromissers uhodbare "quickfix" som L50B tydeligvis er udtryk for.
-
0
-
0
