Borgere og mindre virksomheder står uden offentlige it-varslingstjenester

Kun de største virksomheder og myndighederne selv bliver varslet om alvorlige it-sårbarheder via statens varslingstjeneste.

Der er ikke meget hjælp at hente fra det offentlige, hvis man som borger eller mindre virksomhed har brug for varslinger og rådgivning om alvorlige it-sårbarheder, som eksempelvis Shellshock, der blev offentligt kendt i slutningen af september.

Læs også: Shellshock: Linux- og Mac-systemer ramt af omfattende og alvorlig sårbarhed

Statens varslingstjeneste for internettrusler, GovCert, har kun til opgave at varsle myndigheder og virksomheder, der driver kritisk it-infrastruktur. Det efterlader et hul over for resten af samfundet.

»Vores fokus er på den kritiske infrastruktur. Borgere og små- og mellemstore virksomheder er ikke inden for vores arbejdsområde,« har chefen for GovCert og Netsikkerhedsafdelingen i Center for Cybersikkerhed, Thomas Kristmar, tidligere sagt til Version2.

Læs også: GovCert: Derfor ventede vi en dag med at informere om Shellshock

Ingen varslinger efter 2013

Det er relativt nyt, at borgere og små og mellemstore virksomheder (SMV’er) står uden en offentlig it-varslingstjeneste.

Netsikkerhedstjenesten DKCert fungerede i en årrække indtil slutningen af 2012 som den myndighed, hvor borgere og SMV'er kunne få både varslinger og rådgivning om de seneste internettrusler. Men af årsager, som Version2 endnu ikke har kunnet opklare, udløb DKCerts kontrakt med staten fra januar 2013, og siden er der ikke nogen myndigheder, der har overtaget tjenestens arbejde.

DKCert har nu kun til opgave at varsle og rådgive universiteter og andre forskningsinstitutioner. Alligevel får tjenesten stadig mange henvendelser fra borgere og SMV'er.

»Vi prøver at hjælpe dem. Problemet er bare, at vi ikke har midlerne til det. Jeg vil aldrig være i stand til at kunne reagere på mange henvendelser fra virksomheder, som hver især kræver længere tid at besvare,« siger chefen for DKCert, Shehzad Ahmad.

Hverken Erhvervsstyrelsen eller Digitaliseringsstyrelsen har kunnet forklare over for Version2, hvem der har overtaget ansvaret for at varsle og rådgive borgere og SMV’er om kritiske it-sårbarheder og trusler efter, at DKCerts arbejde formelt ophørte.

Digitaliseringsstyrelsen: Ikke vores opgave

Digitaliseringsstyrelsen kan rådgive borgere om generel it-sikkerhed, men når det kommer til varsling og rådgivning af konkrete trusler, melder den pas:

»Det er ikke sådan, at vi har til opgave at gå ind og vurdere konkrete tekniske sårbarheder som fx Shellshock,« siger kontorchef i Digitaliseringsstyrelsen Cecile Christensen.

»Det kræver et helt andet teknisk udstyr og indsigt at kunne gøre det, så det er ikke en opgave, som ligger naturligt hos os,« siger hun.

DKCert får stadig tilmeldinger fra borgere og SMV’er på de ugentlige nyhedsbreve om sikkerhedstrusler.

Men når det kommer til akutte varslinger og telefonrådgivning, er det ikke noget, tjenesten formelt har til opgave at tage sig af længere.

»Vores kunder (universiteterne) får stadig direkte besked med det samme om kritiske sårbarheder som Shellshock, men selvom vi gerne vil, kan vi ikke længere på samme måde informere virksomheder og borgere,« siger Shehzad Ahmad og fortsætter:

»Der er ingen tvivl om, at der er et kæmpe behov for at levere information og viden til især små og mellemstore virksomheder.«

GovCert lang tid om at komme ud til offentligheden

GovCert har tidligere mødt kritik af en række it-sikkerhedseksperter for ikke at varsle om it-sårbarheder som fx Shellshock i tide.

Læs også: Center for Cybersikkerhed efter sen Shellshock-advarsel: »Ikke vores opgave at informere bredt om nye sårbarheder«

Tjenesten advarer først sine kunder (offentlige myndigheder og de største virksomheder) i det øjeblik, nogen forsøger at udnytte eller scanne efter systemer, der er ramt af sårbarheden.

Men når det kommer til at informere resten af offentligheden, går der ofte endnu længere tid.

Nyheden om Shellshock kom først ud på GovCerts hjemmeside to dage efter, at sårbarheden blev kendt i offentligheden, og en dag efter, at dens kunder blev informeret. Og det tog yderligere fire dage, fra den alvorlige Heartbleed-sårbarhed blev kendt tidligere i år, til nyheden kom ud på GovCerts hjemmeside.

»Det er ikke nok, at varslingerne og vidensdelingen kun når ud til en snæver kreds af myndigheder,« siger chefkonsulent i IT-Branchen Bjørn Borre og fortsætter:

»Det skal bredt ud, for at folk får gavn af den viden.«

IT-Branchen: Behov for center for vidensdeling

IT-Branchen efterlyser derfor et fælles center for vidensdeling om it-trusler, der også kan komme borgere og mindre virksomheder til gavn.

»Der mangler et mere bredt fokus på erhvervslivet. Det er ikke kun de store virksomheder, der bliver ramt,« siger Bjørn Borre, der anbefaler virksomhederne til selv at abonnere på de private varslingstjenester, der er på markedet.

»Særligt for små virksomheder kan det være svært at navigere rundt i it-sikkerhed,« siger han.

Er der et hul i forhold til borgeres it-sikkerhed?

»Ja, der kunne man sagtens forestille sig et behov for en særlig indsats, som hjalp og rådgav borgerne i it-sikkerhedsspørgsmål. Det kan være varslinger, vidensdeling og almindelige gode sikkerhedsråd,« siger Bjørn Borre.

Digitaliseringsstyrelsen og Center for Cybersikkerhed er i øjeblikket ved at udforme en national strategi for cyber- og informationssikkerhed, der skal lanceres inden årets udgang.

»I den sammenhæng er det naturligt at se på myndighedernes indbyrdes rollefordeling,« siger Cecile Christensen fra Digitaliseringsstyrelsen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jens Jakob Andersen

Jeg tænker:
Der er mange åbne kilder til information om tekniske sårbarheder.
Fx https://www.us-cert.gov/
http://blog.trendmicro.com/trendlabs-security-intelligence/
http://www.symantec.com/security_response/
osv osv osv.

For de mere teknisk interesserede, er der også et hav af mailinglister osv. man kan følge med på, og være relativt uptodate med information.

Og der er mange gode danske firmaer, CSIS, FortConsult, nSense osv - der alle tilbyder gode informationstjenester.

Men - jeg ser 2 store udfordringer:
1. Detaljeringsgraden. Hvis fokus er på SMV'erne, er det ikke alle SMV'er der har den tekniske kompetence (og tid), til at sætte sig ind i tekniske beskrivelser af sårbarheder, og omsætte dem til handlingsplaner.
De har behov for bearbejdet information - incl. en hurtig risikovurdering, samt brugbare råd, som er rettet mod deres hverdag, og nemme, hurtige og billige at implementere.

  1. Målgruppens handlerum?
    SMV'er og borgere har typisk et begrænset handlerum set i.ft. IT-sikkerhedshåndtering. Hvor mange SMV'er har muligheden for at igangsætte et scan af alle servere, og hurtig patchning? (Og typisk bruger de idag en cloud-service, eller har et lukket lokalnet med begrænset eller ingen adgang udefra). Hvor mange SMV'er har økonomien til at bede deres cloudservice-leverandør scanne og patche? Eller analysere deres firewall log og fastlægge potentielt skadelige trafikmønstre?

Jeg tænker at det ville være interessant at se ITB eller andre tage teten, og beskrive hvilke behov det er at SMV'erne har - set ud fra SMV'ernes handlerum i.ft. IT-sikkerhed.

Derefter kan man på et mere udbygget grundlag tage den næste snak - er det det offentliges ansvar at drive sådan en varslingtjeneste rettet mod SMV'er og borgere?

Sidst, men ikke mindst. IT-sikkerhed begynder altid med brugere og ledelse - og awareness. Start med at skabe en stor sikkerhedsbevidsthed.

Mvh

Jens Jakob

  • 2
  • 2
Anonym

Det eksisterende system, er bygget op omkring ansvarsfraskrivelse.
Det handler om, at man ikke ønsker at kunne blive stillet til ansvar, i det omfang store offentlige tjenester bliver kompromitteret.
En sådan løsning giver mening, i det omfang at der er tale om en sårbarhed der rammer bredt hos brugerne, men det giver ingen mening, i det omfang at sårbarheden rammer tjenesterne selv. For så er det fortsat myndighedernes ansvar, at varsle.

En varslings- & informationstjeneste som omfatter borgere, samt små og mellemstore vvirksomheder, er en bekostelig affære, foruden at det medfører en række juridiske og tekniske udfordringer.

Løsningen, hvor man efterlader det meste af nationen i limbo, er naturligvis ikke tilfredsstillende, i det omfang der stilles krav til anvendelse af digitale løsninger.

Det skal også nævnes, at der i forbindelse med kritiske offentlige løsninger, er tale om internationale virksomheder, som man støtter med offentlige midler, gennem GovCerts virke.
Det kan næppe være det offentliges pligt, ej heller ret, at dele viden med sådanne internationale virksomheder, hvilket i sig selv, beskriver at GovCert naturligvis kun har et stærkt begrænset grundlag.

  • 4
  • 1
Jens Jakob Andersen

Her er et aktuelt eksempel på en udfordring for SMV'er:
http://epn.dk/brancher/detail/ECE7084667/Bedem%C3%A6nd-og-rideklubber-ov...

Men - årsagen er vel typisk fejlkonfiguration af CMS'er, der efterlader sårbarheder som kan udnyttes.

Og jeg vil gætte på, at i mange tilfælde er kerneårsagen at det er uklart beskrevet i aftalematerialet, hvem der har ansvaret for (og muligheden for?) løbende at patche mod kendte sårbarheder (fx ud fra listen ved CVEDetails, http://www.cvedetails.com/vulnerability-list/vendor_id-2337/product_id-4... ).

Men igen - findes der et klart billede af hvad det er der er behov for til SMV'er hh borgere - for at de kan have bedre it-sikkerhed?

  • 0
  • 0
Kjeld Flarup Christensen

Blot ud fra denne mailing liste kunne man sikkert godt lave et lille rådgivningsfirma.
Problemet med listen er at der er så meget trafik at man ikke kan overkomme at vurdere alle de sikkerhedsbrister der afsløres.

http://nmap.org/mailman/listinfo/fulldisclosure
Det er ikke nok at shellshock kommunikeres ud, der er masser af andre sikkerhedshuller, og hvem ved hvilke af disse er et problem for en given virksomhed.

Advarsler vil risikere derfor at drukne i støj.

  • 2
  • 0
Jens Jakob Andersen

Rigtig god pointe med fulldisclosure mailinglisten.

Ville være interessant at brainstorme på hvad det egentlig er at SMV'er (og borgere) har behov for.

Og ville være interessant med et mere nuanceret billede på SMV'er.
http://da.wikipedia.org/wiki/SMV
Alt under 100 ansatte....

Og fra FSR:
http://www.fsr.dk/SMV-portal/SMV-portal/Viden%20om%20SMVerne
52% af de ansatte i det private.

  • 0
  • 0
Log ind eller Opret konto for at kommentere