Gæstebloggen

Danmarks datasikkerhed er nødlidende: Politikere og embedsværk sover i timen

Det er ikke uden grund og tilfældigt at Danmark er placeret på en pinlig 34. plads i en global FN undersøgelse, når det gælder data- og cybersikkerhed.

Der er desværre alt for mange eksempler på, at Danmarks datasikkerhed er nødlidende, og at: »Der er et ganske betragteligt sikkerhedsmæssigt efterslæb, som digitaliseringen indtil nu har medført«, som formanden for Rådet for Digital Sikkerhed, Henning Mortensen, udtalte i bladet Børsen for en uges tid siden.

John Foley er stifter af COPITS og uddannet militærteknisk- og sikkerhedsofficer med it- og cybersikkerhed som speciale. Illustration: Privatfoto

Nogle af de mere spektakulære sager er hacking af politiets registre og forsvarets mailsystem samt mere kulørte sager som udlevering af kreditkortdata om kendisser til pressen, fejludlevering af tusindvis af persondata med personnumre til de kinesiske myndigheder til DAMD-skandalen (Dansk AlmenMedicinsk Database), og de mange mere begrænsede tilfælde, hvor diverse kommunale databaser stod åbne for adgang i en kortere periode, eller hvor data blev indsamlet på trods af forsikringer om det modsatte.

Individets ukrænkelighed og grundlæggende rettigheder udfordres løbende med de utal af love og bekendtgørelser, der i en lind strøm sendes ud fra Christiansborgs tykke mure.

Politikere og embedsværket har alt for længe sovet i timen og været hovedårsagen til at Danmark er kommet bagud og er blevet dårligst i klassen blandt de nordiske lande og nu placeret data- og cybersikkerhedsmæssigt på linje med Rwanda.

Disse kendsgerninger står i skarp kontrast til at Danmark er udråbt som verdensmestre, når det drejer sig om digitalisering.

Danmark er gået forrest når det gælder at udnytte digitaliseringens og teknologiens fordele, men har glemt i tilstrækkelig grad samtidig at sikre dets befolkning mod de mange brud på datasikkerheden og cyberangreb vi næsten dagligt hører om.

Ny cyberstrategi

Som Forsvarsministeren netop har fortalt, forsøger man sig nu for anden gang med en cyberstrategi, der lover, at nu bliver det bedre.

Den første cyberstrategi blev publiceret af Forsvarsministeriet for fire år siden tilbage i 2014 og nu har man så udarbejdet en ny version 2, med Finansministeriet og Innovationsministeren, som hovedansvarlig.

Men i mange af strategiens initiativer mangler der konkrete mål for, hvornår de forskellige projekter skal sættes i gang, hvornår de er fuldt implementerede, og hvornår der kan måles på effekten af dem – om nogen sinde.

Jeg mener, at vi ikke kan blive ved med at afvente resultater og har derfor, sammen med en række ildsjæle, brancheorganisationer og Forsvarsudvalget gennemført en høring her på Christiansborg, den 18. september i Landstingssalen, hvor formålet var at finde alternative og supplerende løsninger til sikring af samfundet og dets befolkning.

Gode og konkrete forslg

Høringen resulterede i rigtigt mange gode og konkrete forslag og et idékatalog er udarbejdet. Et af dem er et Privat-Public-Partnership projekt,som jeg kort vil omtale her:

Det drejer sig om oprettelsen af et fælles cybersikkerhedsforum, hvor det offentlige og private samt forskningsverdenen og borgeren går sammen om at løse de udfordringer og problemer, der vitteligt er og som den nye strategis initiativer ikke vil kunne løse.

Der er brug for en tværfaglig og uafhængig viden fra krydsfeltet af it-systemer, administration, samfundsøkonomi, jura og borgerrettigheder, som vil være i stand til at levere kvalificeret rådgivning til offentligheden og beslutningstagere, inden de store samfundsressourcer dedikeres til nye omfattende tiltag, og nye lovgivningsmæssige rammer med vidtrækkende konsekvenser for borgerne

Nogle af de øvrige forslag til forbedring af data- og cybersikkerheden i Danmark, der fremkom i forbindelse med høringen på Christiansborg den 18. september er:

  • Snarest og hurtigst muligt gennemføre en evaluering og vurdering af den nationale strategi for It- og cybersikkerhed og lade Rigsrevisionen gennemføre en uvildig undersøgelse af resultatet. Vi har ikke tid til at vente yderligere 4 år på resultater, der måske aldrig kommer.
  • Koordinere EU’s ”Cyber Security Month” kampagne, der gennemføres hvert år i hele oktober måned og som er målrettet befolkningen og den enkelte borger.
  • Oprettelse af en uafhængig forskningsinstans, som kan oplyse og rådgive samfundet om de yderst komplekse sammenhænge, fordele og ulemper ved store, gennemgribende digitaliseringstiltag,
  • Etablering af et It- og cybersikkerheds udvalg bestående af MF’ere, så de kognitivt kan få indsigt i og forståelse for betydningen af de meget komplekse lovforslag der fremsættes.

Bloggen baserer sig på et indlæg, som John Foley holder ved konferencen 'Trusler i cyberspace,' som afholdes i dag på Christiansborg.

Relateret indhold

Kommentarer (5)
Claus Juul

Som jeg ser det:

Er en stor del af problemet (Danmarks lave placering på en rankliste i forhold til it-sikkerhed), at Danmark ikke havde en central strategi for it-sikkerhed og en central styring af it-sikkerhed.

Den del der handler om Danmarks dårlige it-sikkerhed (baseret på empiri fx DAMP, CSC hackersagen osv) har rod i at der ikke er en myndighed der diktere hvad og hvordan man skal efterleve en regel, en regel man kun kan undtages fra hvis man kan dokumentere at man har noget andet som kompensere for den manglende efterlevelse af reglen.

Praktisk eksempel:
Regel #1: Alt software (Firmware, Driver, OS, 3th part) der anvendes skal aktivt understøttes af leverandøren/udvikleren.
Regel #2: Sikkerhedsopdateringer til software skal være publiseret til alle brugere senest 14 dage efter frigivelse fra leverandør/udvikler.
Regel #3: Alt brug og tildeling af privilegerede rettigheder til den understøttende platform (Backend udstyr, Klient OS ) må kun gives til kyndige it-specialister og stadig kun efter pricippet least privilege access princippet.
Regel #4:..........

Så skal alle efterleve disse regler, med mindre at de kan dokumentere at de har nogle andre sikringsforhold der gør at de ikke behøver at leve op til disse regler eller nogle få af dem.

Der selvfølgelig altid mulighed for at gøre yderligere tiltag og være en duks.

Denne model vil løse begge problemer og være i tråd med ISO 27000 principper.
Der er bare et problem ! Hvem være bussemanden/tørvetrilleren der tør foreslå dette på et højt politisk plan, så det det har en chance for at blive hørt?

Forslagt vil kunne spare samfundet for rigtigt mange penge, både i at hver offenlig virksomhed ikke skal udtænke alle elementer selv, men også at der kan indkøbes hjælp i form af support, software løsninger for alle virksomheder på en kontrakt osv.

Henrik Biering Blogger
Log ind eller Opret konto for at kommentere