»Det skriger til himlen. Det skulle være tacklet på en hel anden måde. I stedet for ris skulle man have givet ros.«
Sådan lyder vurderingen fra Peter Kruse, som er partner i it-sikkerhedsvirksomheden CSIS, af KMD's håndtering af et sikkerhedshul i Frederiksberg Kommunes Pladsanvisningssystem, som skildret af Version2 og andre medier i går.
»Når vi laver ansvarlig rapportering af sårbarheder, kontakter vi virksomheden med detaljer om, hvad vi har fundet, og giver dem 90 dage til at udbedre fejlen. Det er den praksis, der anvendes af mine kolleger i branchen. Nogle gange kan det tage en time, og nogle gange kan det tage længere tid. I den periode går man ikke ud med sårbarheden. Når de 90 dage er gået, må man gå ud og offentliggøre sårbarheden.«
Men hvad KMD-systemet angår, er det lidt en anden sag, mener Peter Kruse.
»Her er der tale om et system, der har været i drift i 12 år, hvor der åbenlyst har været nogle system- og designfejl. KMD skulle være glade for, at hullet er fundet, og have klappet ham på skulderen i stedet for at klappe ham i numsen. Havde vi skruet tiden et år frem, havde vi haft dataforordningen. Det havde betydet, at systemet skulle offline, og der ville falde en bøde.«
»Rigtig dårlig stil«
»Så vidt jeg kan læse mig til, har KMD har haft rigelig tid til at få rettet fejlen og har i øvrigt også rettet det uden efterfølgende at anerkende, at hullet har været der, hvilket er enormt dårlig praksis,« siger Peter Kruse og fortsætter:
»Når almindelige mennesker, der arbejder med it, finder huller af denne type, så nytter det ikke noget, at man fratager dem anerkendelse. Det, man skal gøre som leverandør, er at klappe dem på skulderen og sige ‘tak for hjælpen’ og anerkende, at hullet har været der, i stedet for at gå ud at sige, at der aldrig har været noget hul og så rette det i stilhed. KMD skulle have håndteret sagen på en anden måde. Det er rigtig dårlig stil.«
»Hvis man ser på denne her sag, så kunne den nok ikke være håndteret ringere at lave en politianmeldelse. Og en anden del, som også er meget utraditionel, er at tage kontakt til denne persons arbejdsgiver, helt op på ledelsesniveau, og fra en person, som ikke synes at have en interessekonflikt, fordi han arbejder for en konkurrent, men falder over det, da han skal tilmelde sin søn til institution,« siger Peter Kruse.
Tag problemet alvorligt
Morten Klitgaard Friis, der medlem af Dansk IT’s fagråd for informationssikkerhed, råder virksomheder, der håndterer offentlige systemer, til at tage problemet alvorligt:
»Det vigtigste er at tage henvendelser om sikkerhedshuller seriøst. Som leverandør af den type systemer til det offentlige er det vigtigt, at man har nogle processer, der tager hånd om de indrapporteringer, der kommer. Hvis dem, der modtager henvendelser, ikke er opmærksom på de konsekvenser for de borgere, der er berørt, så havner den slags ofte lidt langt nede på listen, for systemet kører jo. Det kræver, at man har en organisation bag, som kan lave en seriøs behandling af de henvendelser, der kommer. Det vigtigste er at have nogle medarbejdere, der kender applikationerne grundigt og har sikkerhedsbrillerne på.«

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.