Teknologirådets rapport - zzzzz!

Teknologirådet offentliggjorde onsdag rapporten IT-sikkerhed på tværs af grænser, der er resultatet af en ekspertgruppes arbejde.

Tillad mig at være den sure gnavpot.

Først og fremmest slår det det mig, at nogle af anbefalingerne i lyset arbejdsgruppens sammensætning er kedeligt forudsigelige.

Lad mig prøve at parre nogle af arbejdsgruppens medlemmer med arbejdsgruppens anbefalinger:

Preben Andersen, chefkonsulent i Uni-C, leder af DK-CERT (og gammel politimand) kan parres med anbefaling nr. 4: Manglende koordineret, grænseoverskridende politiindsats og retsforfølgelse på it-kriminalitetsområdet.

Morten Storm Petersen, Signaturgruppen A/S (tidligere TDC) kan parres med anbefaling nr. 5: Mangel på sikker identifikation.

Men hvad skal politiet med flere beføjelser, når de for det første ikke har tilstrækkeligt mange (og sikkert heller ikke får det med de lønninger) med kvalifikationerne til tage sig af andet en den helt alvorlige it-kriminalitet. Var det ikke en bedre idé åbent at sige, at der er en række ulovligheder, som politiet ikke tager sig af? Defacement af web-sites fx. Politiet går jo heller ikke specielt meget op i, at de fleste af os går over for rødt.

Jeg er desuden træt af at høre om den digitale signatur. Hvad skal vi med den? Ok, jeg går ind for kryptering og signaturer. Jeg har endda i tidernes morgen oplevet at sende en signeret e-mail til SKAT for blot at få den i hovedet igen med beskeden om, at de ikke modtog vedhæftede filer. Men lad os nu lige klappen hesten lidt. SKATs tast selv er jo en kæmpe succes - også uden digital signatur.

Digitale signaturer er død komplicerede, og som ekspertgruppen også bemærker, er utilstrækkelig viden om it-sikkerhed et stort og udbredt problem. Lad os nu digitalisere den offentlig sektor i første omgang uden brug af digitale signaturer. Med den nuværende løsning kan en signeret e-mail lige så godt være fra en, der har overtaget kontrollen med en brugers PC.

Det var i øvrigt lykkedes Teknologirådet at få 6 politikere til at komme og debatere med ekspertgruppen. Det var nu ikke særlig givtigt, da politikerne åbent indrømmede, at de sjældent fattede, hvad it-sikkerhed drejer sig om.

Anne Baastrup demonstrerede det tydeligst, da hun spurgte, hvad der skulle til, så hun ikke som kommende socialminister skulle sidde med en it-sikkerhedsskandale på patientjournalområdet. Anne, lad mig sige det klart, når nu de andre ikke ville: Du må leve med it-usikkerhed. Men du skal sørge for, at din risikoanalyse er tilstrækkelig god til, at fordelene er større end ulemperne. Og her er det jo netop kæden springer af, da en politiker jo ikke kan leve med skandaler.

Heldigvis synes der at være bred enighed om, at der skal nedsættes et uafhængigt it-sikkerhedsråd. Lad os bare prøve det igen, men søg nu for, at rådet rent faktisk er handledygtigt modsat sidste gang, hvor et medlem i rådet efter sigende ikke lykkedes at komme igennem med den kontroversielle men rent faktisk fornuftige anbefaling at bryde med den fremherskende monokultur ved fx. at bruge Mac.