Sikkerhedsbosser: For lidt opbakning og for få penge til it-sikkerhed i det offentlige

It-sikkerhed afhænger for meget af enkeltpersoner og budgetterne følger ikke med den stigende trussel, lyder kritikken.

Det bliver ved snakken om vigtigheden af it-sikkerhed i det offentlige, for kronerne til området og den rigtige organisering mangler.

Det er essensen af en kritik, som nu rejses af bl.a. sikkerhedsdirektør Lars Neupart, KMD, i Foreningen af Kommunale it-chefers magasin, KIT@.

Det hænger bare ikke rigtig sammen med de ressourcer, de tildeler, siger Lars Neupart.

Efter salget af konsulentfirmaet Neupart til KMD i sommeren 2015, leder Lars Neupart nu en afdeling i KMD for Risc Management.

Det betyder i sagens natur, at Lars Neupart har en kommerciel interesse i flere bevillinger til it-sikkerhed, men synspunktet er hørt før - og debatten er vigtig at tage.

Det skorter ikke på eksempler på sikkerhedsbrister i det offentlige eller hos sektorens leverandører

  • Lækket fra CPR-kontoret, som ved en fejl sendte den såkaldte Robinson-liste ud med cpr-nummer og navn og adresse på 900.000 danskere.

  • Hackerangrebet på CSC i 2012, hvor millioner af danske CPR-numre og andre personfølsomme data blev stjålet

  • Nets-sagen, hvor en anløben medarbejder misbrugte adgang til data, som herefter blev anvendt af Se&Hør.

  • Rigsrevisionen beretning i efteråret om bl.a. brug passwords fra slutningen af 90'erne og mangelfuld styring og kontrol af de udvidede administratorrettigheder, som kunne give personer uretmæssigt adgang til seks statslige institutioners it-systemer og data.

Lars Neupart, KMD, mener, at ledelsesopbakningen til de personer, der i det daglige har ansvaret for it-sikkerheden, fortsat mangler.

»Spørger du borgmesteren eller kommunaldirektøren, så er der ikke grænser for, hvor vigtig it-sikkerheden er. Men det hænger bare ikke rigtig sammen med de ressourcer, de tildeler. Der er et gab her,« siger Lars Neupart til KIT@.

I nogle kommuner er ledelsen ifølge ham slet ikke opmærksom på it-sikkerhedsarbejdet. Det er ikke er lykkedes på en ordentlig måde at forklare forvaltningscheferne, hvilke konsekvenser det har, hvis der sker en læk af fortrolig information.

Følsomme data hober sig op

Problemet er, at der i dag ligger enorme mængder af følsomme persondata i kommunernes fagsystemer.

Ifølge Kim Aarenstrup, chef for Rigspolitiets Nationale Cyber Crime Center (NC3), bør it-sikkerheden ind i budgetterne, hvis den ikke skal blive taber i den løbende kamp om de kommunale midler.

En fast procentdel af it-budgettet vil være udtryk for seriøs governance og reel ledelsesmæssig forankring på området, mener han.

Udover en fast bevilling er den rigtige ledelsesforankring er en central del af it-governance, og her peger Kim Aarenstrup på nogle faldgruber, man bør forsøge at undgå.

»En af de mest fundamentale fejl, der er begået de seneste mange år, er, at man ofte har placeret ansvaret for it-sikkerheden under it-direktøren. Det betyder, at hvis it-manden med den operative rolle i forhold til it-sikkerheden, mener, at it-sikkerheden ikke bliver prioriteret højt nok, så er han potentielt på kollisionskurs med sin chef. Det er meget uheldigt og kan betyde, at han bliver stækket i sine muligheder for at tale åbent om sikkerhedsproblemer,« siger Kim Aarenstrup.

At placere det organisatoriske ansvar for sikkerheden hos en specifik person er, ifølge Kim Aarenstrup, et problem i sig selv.

»Det er meget uheldigt at gøre it-sikkerheden afhængig af en konkret leder, da sikkerhedsniveauet i for høj grad risikerer at afspejle det fokus, som lige præcis den person har,« siger han og uddyber:

»Jeg er normalt stor tilhænger af at placere ansvar hos en specifik person, men lige netop med it-sikkerhed vil det give god mening at have en it-sikkerhedskomité, som er bredt besat med ledere i kommunen, inklusive it-chefen, og med eksempelvis kommunaldirektøren som formand. Dermed vil sikkerhedsniveauet komme med et stærkt ledelsesmandat og således opnå bredere tilslutning i organisationen.«

Sikkerhedsudvalg i Hjørring

I Hjørring Kommune har man netop etableret et sikkerhedsudvalg med kommunaldirektøren som formand og formelt ansvarlig for it-sikkerheden.

I udvalget sidder derudover en række ledere fra de enkelte afdelinger, inklusive IT, samt en sikkerhedskoordinator, der sammen med it-driftschefen står for at iværksætte de konkrete aktiviteter på sikkerhedsfronten.

Der har tidligere været sikkerhedskoordinatorer, som har siddet i økonomiafdelingen, men den nuværende i Hjørring Kommune er rykket ind på borgmesterkontoret.
Der har også tidligere været sikkerhedspolitikker – man har arbejdet ud fra DS 484 – men man har netop startet et projekt med at implementere ISO 27001. Og der bliver sat midler af til projektet.

»Vi har netop besluttet i forbindelse med opstart af ISO 27001, at vores sikkerhedskoordinator skal have et selvstændigt budget at råde over til initiativer og indkøb, der relaterer sig til it-sikkerheden,« fortæller it-supportchef Kim Sørensen, som også kan fortælle, at man har valgt at anvende en softwareløsning til at understøtte planlægningen og implementeringen af ISO 27001.

Kim Aarenstrup konstaterer, at der helt generelt er en stigning i angrebene på it-systemerne i offentlige og private virksomheder, men at set fra hans stol i NC3, er kommunerne ikke mere eller mindre ramt af tilfældighedsangreb, så som phishing, malware, ransomware og DDoS end andre. Eneste specielle forhold, der eventuelt kunne peges på, er skolenetværkene, som i de seneste par år i nogle tilfælde har været angrebspunkter.

»Det generelle billede er, at der bliver anvendt automatiserede hacker-værktøjer til at finde og angribe sårbarheder i et stort antal systemer samtidig. Både i private og offentlige systemer”.
Jeg kan selvfølgelig ikke udelukke, at der har været målrettede angreb mod en kommune, men det er ikke noget, der er særligt for kommunerne, som har fået alarmlamperne til at blinke hos os i NC3,« fortæller Kim Aarenstrup.

Følg forløbet

Kommentarer (3)

Claus Juul

Der skal bindes bånd mellem de operative ansatte og ledelsen.
Der er for stor afstand i forståelse af IT-sikkerhed.

Groft sagt så tænker ledelsen for meget i processer og de operative tænker teknik og ikke nødvendigvis IT-sikkerheds teknik.

Hvis bare de operative ville vende sig til at se de huller/sårbarheder de står med og få dem kommunikeret til ledelsen, så de forstår det (det er ikke altid let) og ledelsen opgave er så at samle samme og facilitere at alle sårbarhederne samles og evalueres, det kunne jo godt være at flere individuelle sårbarheder har samme root cause.
Ledelsen skal så også lære at kommunikere og være åbne om hvordan det har tænkt sig at løse problemerne, så alle interessenter ved hvad der sker og hvornår.

Det er ikke én gruppes ansvar at løfte opgaven, det er en fælles opgave som alle skal bidrage til, om det så er en offentlig virksomhed eller en privat virksomhed.

Nikolaj Brinch Jørgensen

Er problemet ikke at registre vokser, uden at man tager stilling til hvad i registrene der er personfølsomt og hvad der ikke er.
Jeg er sikker på, at kun en lille del af registrene er personfølsomme data og disse skal behandles specielt, hvor en meget større mængde af data ikke er og kan forvaltes anderledes og billigere.
På registerniveau kan man altså dele sine registre fysisk uden at gøre det logisk.
Jeg ved godt at normalt er det DBA'er der sidder på registerudfordringen, og der er det Oracle RDBMS der er kongen - men sådan behøver det ikke være... :-)

Ivo Santos

Når man kan hive sjældne bøger ud af Det Kongelige Bibliotek uden at blive opdaget, og så har vi våben som også bliver stjålet fra den danske forsvar, eller hjemmeværnet.
At det også lykkedes Snowden at løbe med en del dokumenter er mig næsten også en gåde da amerikanerne og specielt pentagon er kendt for restriktive sikkerheds procedure.
Så er det et nyt problem? Næppe, det er et ultra gammelt problem, og hvorfor skulle it være anderledes når der ikke findes standarder for hvordan man opbevarer elektronisk data, og desuden burde de mest personlige data jo slet ikke være tilgængelig fra internettet, og slet ikke på en usikker ftp server men en ringe beskyttelse, så det må vel siges at være et gammel problem.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen