Borgere og mindre virksomheder står uden offentlige it-varslingstjenester

7. oktober 2014 kl. 06:298
Borgere og mindre virksomheder står uden offentlige it-varslingstjenester
Illustration: iStockphoto.com.
Kun de største virksomheder og myndighederne selv bliver varslet om alvorlige it-sårbarheder via statens varslingstjeneste.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Der er ikke meget hjælp at hente fra det offentlige, hvis man som borger eller mindre virksomhed har brug for varslinger og rådgivning om alvorlige it-sårbarheder, som eksempelvis Shellshock, der blev offentligt kendt i slutningen af september.

Statens varslingstjeneste for internettrusler, GovCert, har kun til opgave at varsle myndigheder og virksomheder, der driver kritisk it-infrastruktur. Det efterlader et hul over for resten af samfundet.

»Vores fokus er på den kritiske infrastruktur. Borgere og små- og mellemstore virksomheder er ikke inden for vores arbejdsområde,« har chefen for GovCert og Netsikkerhedsafdelingen i Center for Cybersikkerhed, Thomas Kristmar, tidligere sagt til Version2.

Ingen varslinger efter 2013

Det er relativt nyt, at borgere og små og mellemstore virksomheder (SMV’er) står uden en offentlig it-varslingstjeneste.

Artiklen fortsætter efter annoncen

Netsikkerhedstjenesten DKCert fungerede i en årrække indtil slutningen af 2012 som den myndighed, hvor borgere og SMV'er kunne få både varslinger og rådgivning om de seneste internettrusler. Men af årsager, som Version2 endnu ikke har kunnet opklare, udløb DKCerts kontrakt med staten fra januar 2013, og siden er der ikke nogen myndigheder, der har overtaget tjenestens arbejde.

DKCert har nu kun til opgave at varsle og rådgive universiteter og andre forskningsinstitutioner. Alligevel får tjenesten stadig mange henvendelser fra borgere og SMV'er.

»Vi prøver at hjælpe dem. Problemet er bare, at vi ikke har midlerne til det. Jeg vil aldrig være i stand til at kunne reagere på mange henvendelser fra virksomheder, som hver især kræver længere tid at besvare,« siger chefen for DKCert, Shehzad Ahmad.

Hverken Erhvervsstyrelsen eller Digitaliseringsstyrelsen har kunnet forklare over for Version2, hvem der har overtaget ansvaret for at varsle og rådgive borgere og SMV’er om kritiske it-sårbarheder og trusler efter, at DKCerts arbejde formelt ophørte.

Digitaliseringsstyrelsen: Ikke vores opgave

Digitaliseringsstyrelsen kan rådgive borgere om generel it-sikkerhed, men når det kommer til varsling og rådgivning af konkrete trusler, melder den pas:

Artiklen fortsætter efter annoncen

»Det er ikke sådan, at vi har til opgave at gå ind og vurdere konkrete tekniske sårbarheder som fx Shellshock,« siger kontorchef i Digitaliseringsstyrelsen Cecile Christensen.

»Det kræver et helt andet teknisk udstyr og indsigt at kunne gøre det, så det er ikke en opgave, som ligger naturligt hos os,« siger hun.

DKCert får stadig tilmeldinger fra borgere og SMV’er på de ugentlige nyhedsbreve om sikkerhedstrusler.

Men når det kommer til akutte varslinger og telefonrådgivning, er det ikke noget, tjenesten formelt har til opgave at tage sig af længere.

Artiklen fortsætter efter annoncen

»Vores kunder (universiteterne) får stadig direkte besked med det samme om kritiske sårbarheder som Shellshock, men selvom vi gerne vil, kan vi ikke længere på samme måde informere virksomheder og borgere,« siger Shehzad Ahmad og fortsætter:

»Der er ingen tvivl om, at der er et kæmpe behov for at levere information og viden til især små og mellemstore virksomheder.«

GovCert lang tid om at komme ud til offentligheden

GovCert har tidligere mødt kritik af en række it-sikkerhedseksperter for ikke at varsle om it-sårbarheder som fx Shellshock i tide.

Tjenesten advarer først sine kunder (offentlige myndigheder og de største virksomheder) i det øjeblik, nogen forsøger at udnytte eller scanne efter systemer, der er ramt af sårbarheden.

Men når det kommer til at informere resten af offentligheden, går der ofte endnu længere tid.

Nyheden om Shellshock kom først ud på GovCerts hjemmeside to dage efter, at sårbarheden blev kendt i offentligheden, og en dag efter, at dens kunder blev informeret. Og det tog yderligere fire dage, fra den alvorlige Heartbleed-sårbarhed blev kendt tidligere i år, til nyheden kom ud på GovCerts hjemmeside.

»Det er ikke nok, at varslingerne og vidensdelingen kun når ud til en snæver kreds af myndigheder,« siger chefkonsulent i IT-Branchen Bjørn Borre og fortsætter:

»Det skal bredt ud, for at folk får gavn af den viden.«

IT-Branchen: Behov for center for vidensdeling

IT-Branchen efterlyser derfor et fælles center for vidensdeling om it-trusler, der også kan komme borgere og mindre virksomheder til gavn.

»Der mangler et mere bredt fokus på erhvervslivet. Det er ikke kun de store virksomheder, der bliver ramt,« siger Bjørn Borre, der anbefaler virksomhederne til selv at abonnere på de private varslingstjenester, der er på markedet.

»Særligt for små virksomheder kan det være svært at navigere rundt i it-sikkerhed,« siger han.

Er der et hul i forhold til borgeres it-sikkerhed?

»Ja, der kunne man sagtens forestille sig et behov for en særlig indsats, som hjalp og rådgav borgerne i it-sikkerhedsspørgsmål. Det kan være varslinger, vidensdeling og almindelige gode sikkerhedsråd,« siger Bjørn Borre.

Digitaliseringsstyrelsen og Center for Cybersikkerhed er i øjeblikket ved at udforme en national strategi for cyber- og informationssikkerhed, der skal lanceres inden årets udgang.

»I den sammenhæng er det naturligt at se på myndighedernes indbyrdes rollefordeling,« siger Cecile Christensen fra Digitaliseringsstyrelsen.

8 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
6
7. oktober 2014 kl. 20:20

Blot ud fra denne mailing liste kunne man sikkert godt lave et lille rådgivningsfirma. Problemet med listen er at der er så meget trafik at man ikke kan overkomme at vurdere alle de sikkerhedsbrister der afsløres.

http://nmap.org/mailman/listinfo/fulldisclosureDet er ikke nok at shellshock kommunikeres ud, der er masser af andre sikkerhedshuller, og hvem ved hvilke af disse er et problem for en given virksomhed.

Advarsler vil risikere derfor at drukne i støj.

7
Indsendt af Thomas Hansen (ikke efterprøvet) den tir, 10/07/2014 - 20:50

Helt korrekt, at det hurtigt bliver omkostningstungt, foruden det bliver et kompliceret setup. Opgaven er dog ikke umulig.

5
7. oktober 2014 kl. 16:20

Her er et aktuelt eksempel på en udfordring for SMV'er:http://epn.dk/brancher/detail/ECE7084667/Bedem%C3%A6nd-og-rideklubber-overtages-af-fremmede-fuskere/

Men - årsagen er vel typisk fejlkonfiguration af CMS'er, der efterlader sårbarheder som kan udnyttes.

Og jeg vil gætte på, at i mange tilfælde er kerneårsagen at det er uklart beskrevet i aftalematerialet, hvem der har ansvaret for (og muligheden for?) løbende at patche mod kendte sårbarheder (fx ud fra listen ved CVEDetails, http://www.cvedetails.com/vulnerability-list/vendor_id-2337/product_id-4096/Wordpress-Wordpress.html ).

Men igen - findes der et klart billede af hvad det er der er behov for til SMV'er hh borgere - for at de kan have bedre it-sikkerhed?

4
7. oktober 2014 kl. 13:11

efterhånden har meget lidt til overs for de mange fine institutioner, vi financierer via vores skattekroner. Det skulle da lige være en god gang foragt for deres foragt for os...

3
Indsendt af Thomas Hansen (ikke efterprøvet) den tir, 10/07/2014 - 10:23

Det eksisterende system, er bygget op omkring ansvarsfraskrivelse. Det handler om, at man ikke ønsker at kunne blive stillet til ansvar, i det omfang store offentlige tjenester bliver kompromitteret. En sådan løsning giver mening, i det omfang at der er tale om en sårbarhed der rammer bredt hos brugerne, men det giver ingen mening, i det omfang at sårbarheden rammer tjenesterne selv. For så er det fortsat myndighedernes ansvar, at varsle.

En varslings- & informationstjeneste som omfatter borgere, samt små og mellemstore vvirksomheder, er en bekostelig affære, foruden at det medfører en række juridiske og tekniske udfordringer.

Løsningen, hvor man efterlader det meste af nationen i limbo, er naturligvis ikke tilfredsstillende, i det omfang der stilles krav til anvendelse af digitale løsninger.

Det skal også nævnes, at der i forbindelse med kritiske offentlige løsninger, er tale om internationale virksomheder, som man støtter med offentlige midler, gennem GovCerts virke. Det kan næppe være det offentliges pligt, ej heller ret, at dele viden med sådanne internationale virksomheder, hvilket i sig selv, beskriver at GovCert naturligvis kun har et stærkt begrænset grundlag.

1
7. oktober 2014 kl. 08:17

Jeg tænker: Der er mange åbne kilder til information om tekniske sårbarheder. Fx https://www.us-cert.gov/http://blog.trendmicro.com/trendlabs-security-intelligence/http://www.symantec.com/security_response/osv osv osv.

For de mere teknisk interesserede, er der også et hav af mailinglister osv. man kan følge med på, og være relativt uptodate med information.

Og der er mange gode danske firmaer, CSIS, FortConsult, nSense osv - der alle tilbyder gode informationstjenester.

Men - jeg ser 2 store udfordringer:

  1. Detaljeringsgraden. Hvis fokus er på SMV'erne, er det ikke alle SMV'er der har den tekniske kompetence (og tid), til at sætte sig ind i tekniske beskrivelser af sårbarheder, og omsætte dem til handlingsplaner. De har behov for bearbejdet information - incl. en hurtig risikovurdering, samt brugbare råd, som er rettet mod deres hverdag, og nemme, hurtige og billige at implementere.

  2. Målgruppens handlerum? SMV'er og borgere har typisk et begrænset handlerum set i.ft. IT-sikkerhedshåndtering. Hvor mange SMV'er har muligheden for at igangsætte et scan af alle servere, og hurtig patchning? (Og typisk bruger de idag en cloud-service, eller har et lukket lokalnet med begrænset eller ingen adgang udefra). Hvor mange SMV'er har økonomien til at bede deres cloudservice-leverandør scanne og patche? Eller analysere deres firewall log og fastlægge potentielt skadelige trafikmønstre?

Jeg tænker at det ville være interessant at se ITB eller andre tage teten, og beskrive hvilke behov det er at SMV'erne har - set ud fra SMV'ernes handlerum i.ft. IT-sikkerhed.

Derefter kan man på et mere udbygget grundlag tage den næste snak - er det det offentliges ansvar at drive sådan en varslingtjeneste rettet mod SMV'er og borgere?

Sidst, men ikke mindst. IT-sikkerhed begynder altid med brugere og ledelse - og awareness. Start med at skabe en stor sikkerhedsbevidsthed.

Mvh

Jens Jakob