Sikkerhedsekspert om CFCS’ ISO-bommert: Umuligt at sige, om det er alvorligt eller ej

Illustration: Gustavo Frazao/Bigstock
Det er dobbeltmoralsk, at Center for cybersikkerhed ikke lever op til it-sikkerhedsstandard. Men det er ikke nødvendigvis et sikkerhedsproblem.

Center for cybersikkerhed (CFCS) har i flere år ikke formået at leve op til kravene i it-sikkerhedsstandarden ISO27001, som ellers har været lovpligtig i offentlige myndigheder siden 2016.

Det viser et brev, som Tilsynet med Efterretningstjenesterne i september sendte til Forsvarsministeriet, skriver Politiken.

Læs også: Tilsyn: Center for cybersikkerhed lever ikke selv op til lov for it-sikkerhed

Ifølge brevet fejler CFCS på fem af de 38 udvalgte parametre. Men hvilke parametre, der er tale om, vil Tilsynet ikke oplyse. Og tallet i sig selv siger ikke nødvendigvis, at den nationale cybermyndighed sjusker med data-sikkerheden, mener Jacob Herbst, der er CTO i sikkerhedsfirmaet Dubex.

»Når tilsynet siger, at fem krav ikke er opfyldt, er det fuldstændig umuligt at sige, om det er alvorligt eller ej,« indleder han over for Version2.

Risikobaseret

Normalt, når man arbejder med ISO-standarden, laver man en vurdering af, hvilke af de 114 krav, der er relevante at fokusere på.

»Fordi ISO-standarden er i sin natur risikobaseret, altså designet til at fokusere på de regler, der giver mest mening i den sikkerheds-situation, man står i,« forklarer Jacob Herbst.

Men staten har valgt at sige, at alle 114 tjek-listekrav i ISO27001 Annex A – eller ISO27002 – skal opfyldes.

Læs også: Sikkerhedsbosser: For lidt opbakning og for få penge til it-sikkerhed i det offentlige

»Det betyder, at der godt kan være krav på listen, som ikke er lige vigtige for det felt, en myndighed arbejder med.«

Et andet forhold, der gør det svært at vurdere alvoren af de manglende tjek-punkter, er, at ISO-standarden ikke bare beskriver, hvordan man gør tingenene – men også at man dokumentere, at man gør tingene.

»De fem fejl kan handle om dokumentationen, det ved vi bare ikke,« siger Jakob Herbst.

Svækker budskabet

Som Version2 har bemærket, efterlyste CFCS allerede i august en ‘assisterende it sikkerhedsofficer’, som ifølge jobopslaget skal arbejde med den ‘fortsatte implementering af ISO27001’.

Men også her skal man være påpasselig med at drage konklusioner, mener Jacob Herbst.

»Det er svært ud fra jobopslaget at se, hvor de er rent ressourcemæssigt. Det kan jo være, at de har ti mennesker ansat til denne opgave allerede,« pointerer han.

Læs også: It-sikkerhedsstandarder hjælper Banedanmark med at spare penge på licenser

Alt det ovenstående betyder ikke, at det ikke er problematisk, at CFCS af flere omgange dumper ISO-testen.

»Det egentlige problem er, at CFCS burde være fyrtårn på det her område. De skal være bannerfører for it-sikkerhed i de offentlige myndigheder, og burde fremstå som det gode eksempel og sætte en standard,« siger Jacob Herbst og fortsætter:

»Når de ikke selv kan få styr på det her, så virker det dobbeltmoralsk. Og det svækker det budskab, man sender til den offentlige sektor om it-sikkerhed.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Andy Fischer

Det er forfriskende at se en nuanceret tilgang til ISO 27001. Der er ingen, hverken private eller statslige, virksomheder som har implementeret alle 114 områder i ISO 27001 til fuld compliance. Samtidig erklæres en kontrol ofte samlet for fejlet af de statslige tilsyn (TET, Datatilsynet m.fl.), hvis blot en mindre del af kontrollen er fejlet.

  • 0
  • 0
Log ind eller Opret konto for at kommentere