Offentlig IT -- endnu en nedsmeltning

Jeg ved gennem venner og bekendte hvorledes sikkerhedsarbejdet er organiseret rundt omkring, men det er desværre ikke noget man er ret glade for at tale offentligt om, så det er ret begrænset hvad offentligheden ved om den slags og ikke meget jeg kan afsløre af detaljer.

Hvad jeg kan sige med 100% sikkerhed er at ingen af de mange firmaer har en politik der siger "Vi reagerer ikke på andres meldinger om, at det er farligt. Der er altid noget, der er farligt. I stedet kigger vi på, om der rent faktisk er nogen, der forsøger at udnytte sårbarheden, før vi melder ud" som GovCerts Thomas Kristmar citeres for.

Jeg er sikker på at medarbejderne i GovCert gør hvad de kan, givet resourcer, evner, mandat og resort.

Den korrekte og ansvarlige handling havde været hvis GovCert, så snart de havde verificeret at bash vitterlig var en åben ladeport, sendte en broadcast til alt og alle i offentlig IT der lød:

"Så lukker vi alt offentlig IT med hemmelige eller personhenførbare oplysninger. I må åbne igen når I har overbevist os om at I har lukket alle eventuelle huller i denne kontext."

Det mandat har GovCert imidlertid ikke og det er der heller ikke nogen andre der har, mindst af alt det udelukkende ornamentale Datatilsyn.

Folketinget ved udemærket hvordan man skal lovgive om teknologiske farezoner, her er f.eks hvordan de senest gjorde det:

§ 6. En tilladelse kan kaldes tilbage, såfremt:

1) væsentlige forudsætninger for tilladelsen viser sig ikke at have været til stede,

2) der sker tilsidesættelse af stillede vilkår eller

3) hensynet til sikkerheden eller anden tvingende grund i øvrigt kræver standsning eller nedlæggelse af anlægget.

§ 7. Miljøstyrelsen og sundhedsstyrelsen har adgang til at fordre sig meddelt enhver oplysning, der af disse myndigheder skønnes af betydning for sikkerheden. De kan til enhver tid uden retskendelse mod behørig legitimation fordre adgang til at udøve tilsyn på anlægget under bygning og drift eller hos leverandører til anlægget. De kan meddele pålæg, som er fornødne til at sikre overholdelsen af opstillede vilkår og betingelser, eller som i øvrigt skønnes nødvendige af sikkerhedsmæssige grunde, ligesom de i påtrængende tilfælde af sikkerhedsmæssige grunde kan forlange brugen af anlægget standset, indtil der er taget stilling til, om og i bekræftende fald hvornår brugen af anlægget kan genoptages.

Erstat "Miljøstyrelsen" med "Datatilsynet" og "sundhedsstyrelsen" med "GovCert" og vi er meget tæt på de magtbeføjelser der er brug for indenfor IT-sikkerhed.

Indtil Folketinget fatter at IT sikkerhed kræver noget i samme kaliber, fortsætter nedsmeltningerne i den offentlige IT.

phk

Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 Finn Christensen

Erstat "Miljøstyrelsen" med "Datatilsynet" og "sundhedsstyrelsen" med "GovCert" og vi er meget tæt på de magtbeføjelser der er brug for indenfor IT-sikkerhed.

Indtil Folketinget fatter at IT sikkerhed kræver noget i samme kaliber, fortsætter nedsmeltningerne i den offentlige IT.

..skete ifm. tiltrædelsen af den nuværende regering. De var mere optaget af at opløse en allerede dysfunktionel struktur og sprede stumperne ud over mange ministerier.

Set i bakspejlet lever antagelig den ældgamle magtkamp fra 1980-90'erne om en central vs en decentral struktur ganske glimrende endnu. Således at alle melder hus forbi, og nøjes med at pusler om sit eget begrænsede mandat.

En koncentration hos GovCert vil kun åbne Pandoras æske med nye rædsler til følge.. helheden skal restruktureres, og der skal ikke sys den 127'de lap på. Sikkerhed(kontrol) og drift skal adskilles på samme vis som revisionen ikke har gulerødderne i driften eller bogføringen.

1) Enheden som skal "..fordre adgang til at udøve tilsyn på anlægget.." - altså opdateret viden og magter hands-on, er ikke eksisterende. På it-området en enhed svarende til 'Rejseholdet' og 'Bagmandspolitiet'.

2) Tilsvarende mangler varslingsenhed ifm. it-sikkerhed til mindre private anlæg & borgerne meget lig med Vejdirektoratets trafikinfo. 117 styrelser og alle kommuner render hver for sig stadig rundt og leger it sikkerhedsrådgiver; ubegavet og spild af krudt.

Både Registertilsynet samt Frelle-Petersens flok i Digitaliseringsstyrelsen er jo operationelle i § og papirkrig, og teori bider ikke på it-systemer i virkelighedens verden.

Forud for regeringens medlidenhedsdrab så var der i nullerne et forsøg på at samle it-systemerne og noget drift hos Skat, lignende en koncentration, men også den udvikling røg i grøften, og den planlagte chef tog sit gode tøj og forlod slagmarken.

Delt ansvar er lig med alle og ingen - perfekt til at slippe for ansvar.

  • 2
  • 3
#6 Finn Christensen

Det her handler ikke om rød/blå mudderkastning: ...

Nej da, den slags må du sør'm selv ordne med din egen skriftefader.. ;)

Tunnelsyn fanger ikke det jeg skrev - en gang til.

I øjeblikke kan man på it-område selv opfinde X, implementer X og revider X - udvikling, drift og revision/kontrol (data og sikkerhedsmæssigt) er ikke adskilt.

Vi har en Rigsrevision, der tager sig af mønterne og deres anvendelse. De refererer til det politiske organ Statsrevisorerne.

Hvor er tilsvarende 'RigsDataRevision' der tager sig af data og datasikkerhed og refererer til folketingets 'StatsDataRevision', der heller ikke findes ?

Samfundets og borgernes data er da lige så meget eller mere værd, end de småpenge, der ligger hos kasserer - men lige der laves der en eller anden form for kontrol og 'kasseeftersyn' af mønter, sedler og beholdninger. Hvor mange uanmeldt dataeftersyn foretages der, og af hvem ?

Når det er it må man gerne undersøge sig selv datamæssigt og sikkerhedsmæssigt og dømme sig selv - underligt. Bortset fra de få sager, hvor Rigsrevisionen (dem med mønterne) drejer kasketten en halv omgang og optræder som 'RigsDataRevision' eller drejer den en kvart omgang og nu er 'RigsSikkerhedsRevision' ;)

..ikke har konstrueret et apparat til at holde styr på risikoen..

Du fangede dog retningen men ikke indholdet ;)

  • 0
  • 1
Log ind eller Opret konto for at kommentere