It-sikkerhedstumult havner nu i Folketinget

Enhedslisten genfremsætter nu deres forslag om etablering af et uafhængigt it-sikkerhedsråd.

Balladen om et uafhængigt it-sikkerhedsråd kommer nu helt op i Folketinget.

I går kunne Version2.dk fortælle, hvordan Dansk IT's it-sikkerhedsråd var sprængt, og formanden Kim Aarenstrup havde etableret et ny uafhængigt it-sikkerhedsråd. Og balladen får nu Enhedslistens Per Clausen til at genfremsætte partiets forslag om etablering af et uafhængigt it-sikkerhedsråd.

»Videnskabsminister Helge Sander lovede allerede, da vi fremsatte forslaget for godt et år siden, at der ville komme et udspil inden første januar, men vi har ikke set noget endnu, og med den seneste tumult omkring Dansk IT's it-sikkerhedsråd synes vi, det vil være passende at få etableret et uafhængigt råd, der også har en økonomi, der betyder, at de kan fungere uafhængigt af ministerielle eller organisationsinteresser,« siger han til Version2.dk.

Ikke for tilfældige enkeltpersoner

Forslaget vil først komme til behandling i Folketinget i løbet af en måneds tid, og Per Clausen håber at ventetiden vil blive brugt konstruktivt til at få diskuteret, hvordan et eventuelt it-sikkerhedsråd skal fungere.

»Den seneste tumult har vist, at der er behov for et uafhængigt råd inden for it-sikkerhed på samme måde, som man har det med Rådet for større Færdselssikkerhed. I og med Kim Aarenstrup er gået fra Dansk IT, så er der allerede sået tvivl om uafhængigheden der, men vi kan ikke leve med, at det bare er tilfældige enkeltpersoner eller foreninger, der sætter sig ned som råd inden for it-sikkerhed. Det bliver nødt til at være et statsligt organ,« siger han.

Per Clausen understreger, at det vigtigste i beslutningsforslaget for Enhedslisten først og fremmest er, at rådet bliver uafhængigt, så der ikke kan rejses tvivl om, hvilke interesser rådet beskytter.

»Så kan vi altid diskutere, hvilke opgaver rådet skal løse, og hvor ambitiøst det skal være,« siger han.

Videnskabsminister Helge Sander vil ikke på nuværende tidspunkt over for Version2.dk kommentere den fremtidige organisering af it-sikkerhedsrådgivningen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Patrick Timm

Hvem er det da, der har et behov for at have et statsligt organ? Hvad er der i vejen med de (nu) to råd og DK-Cern - samt alle store sikkerhedsfirmaer (Kaspersky, F-Secure, Symantec, McAfee osv.). Fair nok - man skal så bruge søgefunktionen på de forskellige websteder til at træffe en beslutning. Synes det virker lige lovlig drastisk at skulle oprette et råd for at gøre fuldstændig det samme. Almindelig sund fornuft og kildekritik burde da kunne gøre tricket.

  • 0
  • 0
#3 Deleted User

Staten står (stadigt) for de offentlige veje, og da vejene er offentligt, kan vi færdes fra privat hus til privat hus, uden at skulle passere 3. mands private områder. Da staten står for veje, er naturligt med f.eks. rådet for større færdselssikkerhed. Samtidigt kan vi kun rose vores trafiksikkerhed. Der er ingen grund til, at ødelægge noget godt, ved at lægge det i privat regi. I de fleste tilfælde, vil en omstrukturering af noget velfungerende ødelægge det - men har du modsat noget der ikke fungerer, vil en omstrukturerering normalt ikke skade.

Vi ser tit, at sikkerhedsmæssige aspekter, ikke varetages ordentligt, i privat regi. Computersikkerheden er også meget lav - og det skyldes med stor sandsynlighed, at de store operativsystm udbydere er store private virksomheder, der har provit som mål, og ej sikkerhed.

Det private marked, er præget af lave omkostninger, dårlig sikkerhed, dårlig funktion eller ingen funktion, meget reklame og forsøg på at overbevise om kvalitet, samt kamp til stregen for at "beskytte" sine produkter, og forhindre andre at "stjæle" sine metoder, til at opnå stor sikkerhed. Ofte arbejdes professionelt på at forulempe konkurenter, ved evt. at ødelægge deres sikkerhed, f.eks. ved at stjæle personale. Formålet er ikke at købe sikkerhed - men at forhindre konkurenrende.

Der er tendens til, at nogle går ind for det private - andre for staten. I stedet, må vi se på, om der er ting som staten er bedst til, og andre hvor private er dygtigst.

Jeg tror aldrig, at vi kommer uden om, at en stor portion sikkerhed skal placeres hos staten. Selvom man giver private virksomheder lov til at syne biler, så vil staten altid skulle holde opsyn. Selvom man lader private selv kontrolere fødevarer, så vil staten skulle holde opsyn. Og hvis vi skulle lade private stå for sikkerheden indenfor IT området, så vil det være logik, at staten skulle holde opsyn.

Staten er dygtigst til at holde opsyn. Det kræver dog også viden, forskning, undersøgelser, og andet forarbejde, og ofte er nødvendigt at man har et statsligt organ, der varertager opsynet. Alternativet til et IT-sikkerhedsråd, er at have noget tilsvarende privatiseret - men det er kun relevant, hvis staten holder opsyn, og sikrer at de pågældende ved hvad det drejer sig om. På samme måde, som ved alt andet.

Vi har aldrig set, at private virksomheder, hverken har kunnet, eller ønsket, at stå for opsyn, og været i stand til at kunne gøre dette, med et ordentligt resultat.

Politiet, er reelt også opsyn for køreskoler.

Jeg har meget svært ved at forestille mig privatisering af "opsyn". Problemet med computere er, at vi her er startet udfra et "amerikansk princip", der beror på anerki, og hvor der ikke er opsyn. Ingen har erfarring for, at et sådant system kan fungere. Meget tyder på, at det private "selvsyn", ikke har kunne fungere. Og jeg tror på, at det er nødvendigt med et statsligt organ. Worst-case, er at man må omlægge udvikling af operativsystemer til det offentlige. Jeg tror, at det bedste er, at det offentlige forsker i operativsystemer, at de laver regler og detail regler (på samme måde som for biler), som operativsystemer skal opfylde. Og at man lader produktionen foregå i privat regi. Men det fungerer ikke, at lade forskning i sikkerhed foregå i privat regi. Dette har der endnu ikke været sucess ved.

Sikkerhed, såsom opsyn, politi, og millitær, og lovgivning, er bedst i offentlig regi. Produktion, er bedst privat.

Herefter, vil vi se den traditionelle kamp, hvor private virksomheder kæmper en indædt kamp for at få sikkerheden så lav som mulig, og få lov at forurene mest, for at opnå størst profit og laveste omkostninger, meddens det offentlige arbejder i den modsatte retning, for at øge sikkerhed, og forhindre forurening.

Erfarringen viser, at denne opsplitning fungerer godt.

  • 0
  • 0
#4 Patrick Timm

Men hvad er argumentet for at oprette dette råd? Hvad skulle de lave? Jeg tvivler stærkt på at et dansk råd (af nogen art) har synderlig indflydelse på Microsoft/Linux/Apple eller nogen som helst andre producenter af styresystemer (eller et hvilket som helst andet computersystem).

Desuden ville dette statslige organ vel skulle fyldes af sikkerhedseksperter. Men hvor skulle de komme fra? Så vidt jeg har forstået er lønnen for sikkerhedseksperter i det private ganske pæn - modsat hvad man normalt hører fra offentligt ansatte.

  • 0
  • 0
#5 Deleted User

Der er ingen tvivl om, hvad de skulle lave: Formulere en lovgivning på området. Sætte gang i den datalogiforskning, som er nødvendigt, for at formulere en lovgivning.

Lovgivningen, skulle have status som f.eks. færdselsloven, stærkstrømsreglementet osv. og lovgive om, hvordan et operativsystem skal fungere, og hvilke krav den skal opfylde.

Når rådgivningen er fuldført, skal opgaven sættes i licitation, med at udvikle et operativsystem, der opfylder kravene. Opgaven kan udføres for det offentlige, eller en offentlig institution, såsom det kongelige danske forsvar. Der kan være yderligere krav tilført, for at sikre leverandøruafhængighed mv. som er nødvendigt for at det offentlige kan bruge produktet. F.eks. kan stilles krav om, at processoren skal kunne udskiftes med andet mærke, og andet indstruktionssæt, uden der behøver at blive ændret i software.

Tjah, som man måske kan fornemme, er tiden løbet fra, at Danmark er rådgivende indenfor vor egne love. Og vi skal måske bare satse på, at IT-rådgivningsrådet, bliver en institution i EU.

Men jeg tror faktisk, at det vil være muligt. Og hvis vi gjorde det, og gjorde det godt, skulle det nok være nogle som ønskede at købe vores produkt. Men vi vil få problem med at indføre loven, for private og virksomheder, andet end det offentlige. Tænk, om vi havde haft samme problematik omkring stærkstrømsreglementet.

  • 0
  • 0
#6 Patrick Timm

Skyldes de fleste it-sikkerhedsproblemer ikke at folk ikke tænker sig om? SPAM er jo kun et evigt problem fordi nogen falder for dem. Bruger man en anden browser end Internet Explorer, kan man også løse en del af de problemer folk normalt støder på. Windows kan også sættes op som et rimelig sikkert system, men det er folk ikke interesserede i, da det er besværligt.

Hvorfor skulle Danmark bruge penge på at udvikle et styresystem? Windows udvikles af flere tusinde udviklere - ligeledes med Linux. Hvor skulle man finde de udviklere, der kunne/ville udvikle et system til staten Danmark?

Lovgivning på området kunne da være interessant, men er det nu også nødvendigt? Der bliver konstant prædiket sikkerhed, men folk følger ikke instruktionerne. De fleste af de problemer jeg skal fikse for familie, skyldes da også "dårlige" vaner. Udvikler man et system, hvor sikkerheden ikke kan omgås, tror jeg simpelthen ikke at folk vil gide bruge det.

Det var så mit sidste indlæg :o)

  • 0
  • 0
#7 Deleted User

"Skyldes de fleste it-sikkerhedsproblemer ikke at folk ikke tænker sig om?"

Jo, sådan var det også med stærkstrøm - dengang branchen endnu ikke var enige om, hvorvidt det skulle være hanstikket, eller hunstikket som leverede strømmen. Nogle indenfor branchen, mente faktisk det var mest logisk, at det var han-stikket der leverede strømmen.

Så kom loven...

Når folk gør fejl, er det fordi at noget er totalt uigennemtænkt. Men passer man på, kan man naturligvis undgå, at få stød på hanstik.

Sådan er det også med operativsystemer. Laver du en lovgivning, som påbyder operativsystemet, at sikre mod virus, uanset type, og uanset den muterer uafbrudt, at sikre mod spam, at sikre mod spyware, at garantere programmer altid kan afindstalleres uden at have påvirket systemet, garanterer at software ikke eksploderer ud over harddisken (indstalleres i et katalog, som altid kan fjernes og så vil det fungere upåvirket af at programmet har været indstalleret), at software ikke har adgang til hinandens data, andet end ved brug af et evt. public katalog, osv. osv. så vil du kunne komme op med et operativsystem, som umuliggør mange problemer. Opdager du et problem - så tilføj den til listen, over hvad dit operativsystem, skal forbyde (eller tillade og hvorfor) og lad datalogerne afgøre om det er muligt. Måske kan man lave et operativsystem, som har alle fordele, og forhindrer enhver ulempe.

Naturligvis kan vi ikke forvente, at det bliver 100% idiotsikret. Du kan også få stød, hvis du tager to strømførende pinde, og fører dem ind i en børnesikret stikkontakt, og gør det samtidigt. Det er muligt - men i dag, opererer operativsystemer med "hanstik" der giver stød.

Naturligvis kan du hævde, at man altid kan opsætte et operativsystem til at være fornuft. Det er sandt. Man kan også altid vælge, at forbinde det som leverer strøm til hun-stik, og det som aftager strøm til han-stik. Og man kan vælge, at kun bruge idiotsikrede/børnesikrede stikkontakter.

Men at man "frit" kan vælge, er ikke som lov. Lov, er basalt set nødvendigt, hvor der er mere end éen person som færdes. Og sådan er det på en PC. Her er mange programmer, der i princippet skal køre samtidigt, og der er en bruger, som skal kunne kontrolere computeren. Det sætter nogle krav til samfærdsel, og politi, og dette sikres og garanteres af operativsystemet.

Vi kan også undvære færdselsloven. Undlader folk, da bare at køre ind i hinanden.

Men dette er netop hvad vi kalder totalt anerki.

Med lov skal land bygges. Med anerki nedbrydes grænser. Og alt bliver kaos, og ender med terror, og måske krig.

  • 0
  • 0
#8 Andreas Bach Aaen

IT-sikkerhed er også, at systemerne er designet fornuftigt og, at der er gode procedurer, så de ikke så nemt sker uheld, som i England for nyligt hvor store mængder personlige data om borgerne blevet lækket via an stjålen laptop eller et tabt brev. It-sikkerhed er meget mere end spam og virus. Spam og virus er nok det mindst interessante.

  • 0
  • 0
#9 Deleted User

"IT-sikkerhed er også, at systemerne er designet fornuftigt og, at der er gode procedurer, så de ikke så nemt sker uheld, som i England for nyligt hvor store mængder personlige data om borgerne blevet lækket via an stjålen laptop eller et tabt brev. It-sikkerhed er meget mere end spam og virus. Spam og virus er nok det mindst interessante."

Det er korrekt.

Hvis vi kun havde IT-Sikkerhedsproblemer, i forbindelse med et angreb af landet, kunne det lægges ind under civilforsvaret.

  • 0
  • 0
Log ind eller Opret konto for at kommentere