Center for cybersikkerhed (CFCS) har i flere år ikke formået at leve op til kravene i it-sikkerhedsstandarden ISO27001, som ellers har været lovpligtig i offentlige myndigheder siden 2016.
Det viser et brev, som Tilsynet med Efterretningstjenesterne i september sendte til Forsvarsministeriet, skriver Politiken.
Ifølge brevet fejler CFCS på fem af de 38 udvalgte parametre. Men hvilke parametre, der er tale om, vil Tilsynet ikke oplyse. Og tallet i sig selv siger ikke nødvendigvis, at den nationale cybermyndighed sjusker med data-sikkerheden, mener Jacob Herbst, der er CTO i sikkerhedsfirmaet Dubex.
»Når tilsynet siger, at fem krav ikke er opfyldt, er det fuldstændig umuligt at sige, om det er alvorligt eller ej,« indleder han over for Version2.
Risikobaseret
Normalt, når man arbejder med ISO-standarden, laver man en vurdering af, hvilke af de 114 krav, der er relevante at fokusere på.
»Fordi ISO-standarden er i sin natur risikobaseret, altså designet til at fokusere på de regler, der giver mest mening i den sikkerheds-situation, man står i,« forklarer Jacob Herbst.
Men staten har valgt at sige, at alle 114 tjek-listekrav i ISO27001 Annex A – eller ISO27002 – skal opfyldes.
»Det betyder, at der godt kan være krav på listen, som ikke er lige vigtige for det felt, en myndighed arbejder med.«
Et andet forhold, der gør det svært at vurdere alvoren af de manglende tjek-punkter, er, at ISO-standarden ikke bare beskriver, hvordan man gør tingenene – men også at man dokumentere, at man gør tingene.
»De fem fejl kan handle om dokumentationen, det ved vi bare ikke,« siger Jakob Herbst.
Svækker budskabet
Som Version2 har bemærket, efterlyste CFCS allerede i august en ‘assisterende it sikkerhedsofficer’, som ifølge jobopslaget skal arbejde med den ‘fortsatte implementering af ISO27001’.
Men også her skal man være påpasselig med at drage konklusioner, mener Jacob Herbst.
»Det er svært ud fra jobopslaget at se, hvor de er rent ressourcemæssigt. Det kan jo være, at de har ti mennesker ansat til denne opgave allerede,« pointerer han.
Alt det ovenstående betyder ikke, at det ikke er problematisk, at CFCS af flere omgange dumper ISO-testen.
»Det egentlige problem er, at CFCS burde være fyrtårn på det her område. De skal være bannerfører for it-sikkerhed i de offentlige myndigheder, og burde fremstå som det gode eksempel og sætte en standard,« siger Jacob Herbst og fortsætter:
»Når de ikke selv kan få styr på det her, så virker det dobbeltmoralsk. Og det svækker det budskab, man sender til den offentlige sektor om it-sikkerhed.«
