Godt indlæg!

https://www.version2.dk/comment/362485#comment-form

Du underdriver, men desværre er området så lavt prioriteret, samt omfanget er aldrig seriøst undersøgt, da fornødent mandskab + bevilling aldrig er afsat til dette formål.

Rigsrevisionen[1] fortæller os sammen med Datatilsynet[2] derfor jævnligt i medierne om de sørgelige tilstande.

CfCS er vel en legetøjs-Maginot-linjen, der kun har muskler til at se på få vitale områder. Rekrutteringsmæssigt er den offentlig sektor i konkurrence med den private. "..kommuner og regioner samt private virksomheder, som er beskæftiget med samfundsvigtige funktioner, kan anmode om at blive tilsluttet Center for Cybersikkerheds netsikkerhedstjeneste..."

Som ved Maginot-linjen tror man og lytter så efter de dummeste, der plotter i "vandgraven"[3] ved netværk-perimeteren.

Det nuværende syn er, at de ældste systemer allerede er fortabte, og lappeskrædderne leverer sikkerhed, og at de fremtidige nye systemer må bygges med tanke på sikkerhed anno 201X.

Men man har en masse underskrifter på papir med juridisk sikkerheds-mumbo - underligt nok, da en hacker da aldrig underskriver på forhånd ;)

Man har også kilometerhøje bunker med log over hvem, hvor og hvornår har gjort hvad. I nogle vitale installationer (kun i de senere år) har en snuser og alarm af og til fortalt om mistænkelig adgang/trafik - men kun for disse nogle installationer og kun nogle mistænkelige misbrug fanges, og de resterende er ukendte. CSC-hullet blev aldrig fanget af systemet, men en person opdagede "noget"[4].

Man har da heldigvis utallige logs i de nævnte kilometerhøje bunker, der aldrig blev kontrolleret[2] eller er slettet[4} - mængden er enorm og det koster virkelig mange penge.. da ingen har spurgte så blev det vist lige "glemt" ;)

[1] ..https://www.version2.dk/artikel/forsvaret-har-stadig-ikke-rettet-paa-kri...
[2] ..https://www.version2.dk/artikel/datatilsynet-vi-bliver-sat-skakmat-naar-...
[3] ..https://www.version2.dk/artikel/dropper-seks-aar-gamle-sniffer-bokse-cfc...
[4] . .CSC sagen ..https://da.wikipedia.org/wiki/Gottfrid_Svartholm

Hvis du tror på at formålet med systemet er det, som man meldte ud, så er svaret på dit spørgsmål vist JA.

Det er en velkendt metode, hvis man vil indføre noget som ret basalt set krænker folks rettigheder, så bilder man dem ind at det er for deres eget bedste og at det er for at fange slemme banditter (Pædofile, terrorister, farttosser osv).

De ved nemlig godt at siger de "Vi kunne godt tænke os sådan et system som laver en totalovervågning, fordi vores udgangspunkt er at vi må overvåge alle fordi vi jo ikke på forhånd ved hvem der vil lave kriminalitet." så ville befolkningen stejle.

Man tager en bitter pille som er svær at sluge og dypper i chokolade og bilder så folk ind at det de får er et stykke massivt chokolade.

Vær sikker på, at der er mange sikkerhedshuller.

Er Mærsk villig til at betale to milliarder for hvert sikkershul?

Et angreb kan være fatalt, hvis det bringer en kritikal infrastruktur ned. At sidde pænt og vente på, at en angriber finder det næste hul svarer til, at man bygge en atomparaply og lukker hullerne efterhånden, som atombomberne rasler igennem.

Hvis produkterne er fulde af huller, har svage kryptografiske algoritmer, osv., så hjælper nok så mange procedurer og beredskaber ikke.

Tænk på en middelalderby med ringmur omkring. Man forbereder sig på fjenden. Man har alle procedurer og al planlægning i orden, men man tænker ikke på bymuren, som er faldefærdig. Den når man ikke at bygge op, når fjenden står udenfor. Det er billedet på vor IT-sikkerhedsaktiviteter.

Vi har bygget en vældig IT infrastruktur og har vilde planer om fremtiden uden at sikre "bymuren".

Det kan godt være, at jeg overdriver, men nok ikke så meget.

Dan Geer rammer som altid hovedet på sømmet.