Estlands it-boss: »Hvad du end studerer, skal du have undervisning i sikkerhed og kodning«

Den estiske stat benytter sig af omfattende digitale løsninger til kontakt til borgerne. For at det kan lade sig gøre, har de stort fokus på sikkerhed. Det har nu givet dem en førsteplads i Europa på Global Security Index.

I Estland benytter langt størstedelen af landets borgere sig af forskellige e-tjenester, såsom e-Tax, i-Voting, e-School, e-Ticket og e-Banking. Op mod 98 procent af borgerne benytter sig af digitale selvangivelser og receptfornyelser. For at det kan fungere, har landet indført omfattende sikkerhedsforanstaltninger.

Det er en af grundene til, at Estland i foråret blev nr. 1 i Europa og nr. 5 på globalt plan i på Global Security Index, som måler 193 landes engagement i cybersikkerhed, specielt målt på lovgivning, organisering, kapacitet, arkitektur og samarbejde.

Det er Estlands departementschef for kommunikation og statslige informationssystemer, Siim Sikkut, glad for, men for ham er det ikke det vigtigste at vinde præmier.

»Det, at vi blev højt placeret, er fantastisk. Men vi gør det ikke for førstepladser, vi gør det for at forsvare vores digitale livsstil,« siger han.

Som nævnt er digitaliseringen af den offentlige sektor omfattende i Estland. Alle databaser sammenkøres og deles via et datadelingsplatformen X-Road, som også eksempelvis sørger for, at dit barn automatisk bliver indskrevet på en skole i rette tid, og at papirarbejdet er klaret, når det bliver tid til pension.

»Fremtidsscenariet er, at vi vil kunne droppe stort set al bureaukrati,« siger Siim Sikkut.

Det kan du se en lille video om her:

Men det kræver en hel masse beskyttelse at kunne satse på et velfungerende, digitalt og effektivt samfund. Det viser eksempelvis angrebet i 2007, hvor den estiske stat over en treugers periode var udsat for kontinuerlige DDoS-angreb.

»X-Road blev indført i 2001, men 2007 beviste, at vi er på rette vej. Det var en god træningsøvelse. Vi vendte angrebene om til brugbar læring - for os selv, men også internationalt,« siger Siim Sikkut, som mener, at internationalt samarbejde er en stor del af at beskytte sig mod fjender på nettet.

Derudover lister han fire andre punkter op, som de primært fokuserer på i Estland, når det drejer sig om cybersikkerhed: uddannelse, det nyeste udstyr og opdateringer, gennemsigtighed og små databaser.

Han fortæller, at staten benytter sig af kryptering RSA-2048 eller stærkere samt SHA-256 eller derover.

Massivt fokus på uddannelse af brugerne

Som Siim Sikkut ser det, er en af de største risici forbundet med cybersikkerheden, hvordan brugerne omgås denne. Derfor er der i Estland sat massivt ind på uddannelse.

»Det mest fundamentale er, at vi gør en masse for at uddanne samt gøre brugerne opmærksomme på, hvordan de undgår at bryde sikkerheden.«

Siim Sikkut fortæller, at omkring 90 procent af alle angreb og uheld sker, fordi brugerne ikke ved, hvordan de skal opføre sig for at undgå fremmed indtrængen.

Læs også: Ny it-arkitektur: Digital borgerservice skal nu være 'sammenhængende' - ligesom i 2007

Der bør altså sættes ind på alle uddannelser - fra folkeskolen og hele vejen op.

»Hvad du end studerer, så vil man i Estland få de digitale færdigheder inden for sikkerhed og kodning, der relaterer sig til din kommende profession, så du ved, hvordan du skal håndtere den digitale livsstil, hvad enten det er arkitekt, sprogforsker eller matematiker, du uddanner dig til.«

I folkeskolen uddannes der særligt i, hvordan eleverne benytter sig af sikkerhed på deres mobiltelefoner og sociale medier generelt.

Datadeling i stor stil

I Danmark prøver vi ofte at beskytte data ved at begrænse adgangen hertil samt indføre ekstra bureaukrati. Eksempelvis har praktiserende læger og hospitaler ikke automatisk adgang til samme data.

Sådan fungerer det ikke i Estland, hvor man har et ordsprog inden for deres digitale samfund, som hedder »only once«.

Det betyder, at har en borger først givet en oplysning til en af de statslige institutioner, eksempelvis adresse, så behøver vedkommende ikke at give den igen. Den bliver delt over samtlige af e-tjenesterne. Det skærer en hel masse bureaukrati fra.

Læs også: Fræk digitalisering får vælgererklæringer til at strømme ind hos nyt parti

Her kommer en anden vigtig faktor ind, nemlig størrelsen på databaserne.

»Hvis nogen bryder ind i store databaser, eller hvis disse bryder ned, er det store mængder data, som bliver tilgængelige eller går tabt. Derfor holder vi vores databaser små og integrerede via X-Road.«

Det betyder også, at hvis der er nogen eller noget, som bryder ind i databaserne, eller en af databaserne går ned, er det nemt at afskære denne ene database og beskytte resten af data. Dermed er det sikret, at resten af staten kan blive ved med at fungere.

»Hvis man gør det rigtigt, kan datadelingen altså øge sikkerheden, fordi de sårbare dele er delt op. Derudover skal det også nævnes, at det øger effektiviteten for staten og bekvemmeligheden for borgerne.«

Gennemsigtighed hindrer masseovervågning

Med den omfattende datadeling og brug af data til stort set alle statsanliggender for borgerne kunne det umiddelbart se ud, som om det er en slags masseovervågning, som finder sted samtidig. Men det, forsikrer Siim Sikkut, er ikke tilfældet.

Læs også: Ny dansk platform vil give borgerne fuld kontrol over egne data

Som borger kan man selv gå ind og se, hvilke data som staten har om en - og man kan se, hvem der har været inde at se på data. Ligesom det i dag foregår med sundhed.dk, hvor data er tilgængelige for mange, som måske ikke har noget at gøre i dine data, men hvor man selv kan tilgå sundhed.dk's informationer hjemmefra og se i loggen, hvem der har været inde at kigge i ens data.

»Hvis jeg ser, at nogen for eksempel har været inde at se i mine sundhedsdata, og jeg mistænker, at de ikke er berettiget hertil, kan jeg gøre krav på, at det bliver undersøgt,« fortæller Siim Sikkut.

Indsigt kræver et retligt grundlag

Desuden har staten dækket sig ind mod overvågning ved, at hvis en myndighed, såsom politiet, skal have adgang til personlige data, skal det ske på et retligt grundlag. Andre steder skal man - hvis man vil benytte sig af den bestemte e-service - skrive under på, at data må deles under visse omstændigheder.

»Dét sammen med gennemsigtigheden betyder, at det er borgerne, som har kontrollen, og at masseovervågning ikke finder sted,« siger Siim Sikkut.

Han fortæller også, at fundamentalt set stoler det estiske folk på staten som institution.

Der findes en papirløsning for hver e-service

Vil man som ester helst ikke benytte sig af de forskellige e-services, findes der stadig en papirløsning, som ikke er ved at blive udfaset, lover Siim Sikkut. Man kan endda vælge mellem de forskellige e-løsninger.

»For hver e-service er der også en papirløsning,« siger Siim Sikkut.

Læs også: Stop postklynkeriet - breve er fortid og dovenskab

I Estland bliver der altså brugt massive ressourcer på at opretholde et digitalt samfund, både når det gælder uddannelse fra barn til voksen og alle ansatte i kritiske sektorer, indkøb og opdateringer af udstyr samt kampagner på nationalt plan.

»Hør, hvis ikke vi sætter massivt ind her, kan vi ikke opretholde et digitalt samfund. For os er det vigtigt at kunne, fordi det sparer os meget bureaukrati, det er effektivt, og vi oplever vækst med det.«

Måske sidder du og spørger dig selv, hvor Danmark egentlig ligger på Global Security Index. Og så får du svaret her: Vi rangerer nr. 34 på globalt plan under blandt andre Mexico, Uruguay, og Egypten. Og hvem fik førstepladsen? Det gjorde Singapore.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
John Foley

Bemærk at Danmark ligger på en pinlig 34. plads i samme index, der måler landenes evne til at sikre dets befolkning i cyberspace. Det er der desværre en årsag til. I Danmark har vi ikke en samlet og koordineret tilgang, men arbejder i siloer med vandtætte skotter imellem de gode kræfter, der burde arbejde bedre sammen. Vi har ikke engang en national cybersikkerhedsstrategi eller plan for beskyttelse af samfundskritisk infrastruktur i tilfælde af alvorlige cyberangreb. Netop de cybersikkerhedsmæssige problemer og løsninger på udfordringerne med at skabe bedre samarbejde og koordination tages der fat om på konferencen i IDA's Kongressal den 21. september, hvor politikere, offentlige og private samt forskningsverdenen mødes for at finde innovative løsninger i stil med Estland. Alle er velkomne, men der er begrænsede pladser, så tilmeld dig hurtigst muligt.

  • 0
  • 0
Log ind eller Opret konto for at kommentere