kim tiedemann bloghoved

Vi trykker enter - og så kører det...

Regeringen præsenterede den nye digitale strategi for cyber- og IT sikkerhed. Efter at have læst den igennem må jeg konstatere, at der ikke er meget nyt under solen - specielt ikke for leverandører.

Klare krav til leverandøren

I afsnit 3.0 beskrives hvorledes der skal stilles klare krav til leverandører i forbindelse med fx outsourcing af IT drift. Strategien beskriver 2 initiativer, som skal sikre, at der stilles krav til leverandørerne, samt at myndighederne løbende følger op på sikkerheden hos leverandøren.

Initiativ 7- Sikkerhedsmæssige krav i udbud og ved indgåelse af kontrakter på it-området

I de offentlige kontrakter og udbud, som jeg har læst, har der allerede været krav om overholdelse af ISO27001 eller lignende sikkerhedsstandarder. Men krav gør det ikke alene. Jeg er sikker på, at der har været lignende krav hos de leverandører, hvor vi har set datalæk eller decideret hacking.

Opfyldelse af sikkerhedskrav er, i modsætning til funktionelle krav, svære at teste. En lille bitte kode- eller konfigurationsfejl kan kompromittere hele løsningen, og disse fejl er yderst svære at finde ved almindelige penetrationstest. På mange af de projekter, som jeg har været involveret i, så blev sikkerhedskravene kun kontrolleret ved, at der blev foretaget et eksternt sikkerhedsreview og en penetrationstest. Hvis dette var positivt, så blev boksen afkrydset, og alt var herefter fint.

Initiativ 8 - Løbende opfølgning på den sikkerhedsmæssige leverandørstyring

Igen er der allerede i offentlige kontrakter mulighed for, at myndighederne kan lave audits af leverandørens sikkerhedspolitik samt implementeringen i form af deres sikkerhedssystem. Det nye er dog, at det nu centraliseres, og Digitaliseringsstyrelsen nu skal følge op på, om myndighederne efterlever disse audits.

Forslag til andre initiativer

Jeg mener ikke, at ovenstående gør den store forskel i forhold til, hvad vi allerede har. Det er ikke nok at stille krav til leverandøren og efterfølgende følg op. Det er selvfølgeligt meget bekvemt, at man efterfølgende kan pege på en leverandør og sige, "vi har sagt, I skal gøre det", men det øger ikke sikkerheden. Det øger heller ikke sikkerheden, at man laver kontrol af kontrollen, hvis det ikke har en konsekvens at bryde sikkerhedssystemet.

Jeg foreslår derfor, at man ved etablering af et nyt projekt eller en ny driftsutsourcing også etablerer en sikkerhedsorganisation, som består af repræsentanter fra myndighed og leverandøren. Begge parter har som henholdsvis databehandler og dataansvarlig en stærk interesse i organisationen. Det skal minde om en styregruppe for et projekt, men i stedet for at sikre fremdriften for et projekt, så skal de sikre, at sikkerheden tages alvorligt og prioriteres ind - både i forhold til plan og økonomi. Gruppen skal bestå af ledelsen fra myndighed og virksomhed, således at ansvaret placeres højt nok oppe i organisationerne til, at der kan træffes nødvendige beslutninger.

Medicinalindustrien kunne være et udemærket sted at lære fra, når man ønsker at følge op på leverandørens (og myndighedernes) efterlevelse af sikkerhedspolitikken. Medicinalbranchen er dødsensangste for FDA audits, fordi FDA har autoriteten til at lukke produktionen af et lægemiddel og dermed stoppe for en milliardomsætning. Lignende bemyndigelse kunne man indføre på IT sikkerhedsområdet, således at leverandører og myndigheder bliver tvunget til, at tage sikkerhedsområdet alvorligt. Man kunne også overveje, at gøre antallet af succesfulde sikkerhedsaudits en del af offentlige lederes KPI.

Det er dog ikke gratis for myndighederne, når sikkerheden skal prioriteres højere. Når der til medicinalindustrien udvikles GxP compliant IT systemer, så er der et ikke ubetydeligt overhead for at sikre, at systemet lever op kravene. Det samme vil gøre sig gældende for IT systemer til det offentlige.

Andre forslag

Man bør indføre en ordning, hvor det er muligt at indrapportere sikkerhedshændelser, som man er blevet opmærksom på. Det kunne fx være, at man har opdaget et sikkerhedshul i en offentlig løsning. Det bør være muligt at indrapportere anonymt og dermed give mulighed for en whistleblower-ordning, hvor offentlige ansatte eller ansatte hos leverandører har mulighed for, at informere om kritisable forhold.

Derudover bør man indføre et centralt register over sikkerhedshændelser, som selvfølgelig er blevet rettet, men så det dokumenteres hvilke hændelser der har været. Public shaming vil give et klart incitament til at rette op på eventuelle sikkerhedsproblemer.

Der er lang vej fra regeringen har trykket enter og til at det kører...

Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Eiriksson

Det vi oplever nu, er it-branchen's pinefulde overgang fra at være hellig ko til at blive spændt på ploven og blive beordret til at levere.

I bloggen nævnes medicinalindustriens processer som eksempel. Mere om det forneden.

Jeg anbefaler alle involveret i softwareudvikling at læse denne artikel:
"They Write the Right Stuff"
http://www.fastcompany.com/28121/they-write-right-stuff

Et citat fra artiklen:

"If the software isn't perfect, some of the people we go to meetings with might die."

Det var tæt på hvad jeg selv fik at vide ifm. et konsulentjob, tidligt i min karriere. Opgaven var: styresystemer til en medicinalfabrik. Fejl kunne betyde menneskeliv. Jeg blev tvunget til selv at skrive under på at tingene var testet og i orden. Det hele skulle forbi kundens QA-ulve der åndede for at finde fejl og var også rigtig gode til det - så det var selvfølgelig ikke kun mit ord for at programmerne funkede. Men sikke en opdragelse! Efter det initielle chok og lysten til at kvæle QA'ere, lærte jeg at slappe af og elske processen. Mange år og mange jobs senere sidder det stadig i marven.

Ikke længe siden talte jeg med en engelsk softwareudvikler, ansat i sundhedssystemet. En kendt fejl havde vist sig langt værre end forventet og forhindrede at hundredevis af kvinder blev kaldt til brystcancer opfølgning. Det havde kostet liv. Stort ramaskrig men ingen var blevet udpeget som ansvarlig. Ingen lektier lært. Man begraver det og satser på at offentlighedens hukommelse er kort. Såvidt jeg husker er der sket noget lignende i Danmark, måske pånær ligene.

Derfor er der behov for skrækindjagende compliance ansvar for samfundskritiske systemer og en it-havarikommission til når det er gået galt.

John Foley

Tak for alle de mange og gode forslag, der fra starten burde fremgå og indgået i strategien. Desværre har embedsværket, der har udarbejdet strategien i "splendid isolation" valgt ikke at involvere andre end sig selv. Til trods for at der i EU's vejledning til medlemstaterne står, at de allerede fra dag et skal inddrage andre end dem selv ved udarbejdelse af nationale It- og cyberstrategier. Hvorfor Bjarne Corydon og Nicolaj Wammen har set bort fra de anvisninger som deres egne embedsfolk selv har været med til at udarbejde er uforståeligt. Måske har de ikke ønsket saglige og faglige bemærkninger, der kunne sætte spørgsmålstegn ved deres anbefalinger, der for det meste er ønsket om forøget magt til egne instanser. Lad os håbe at potentielle hackere ikke tager Bjarne og Nicolaj på ordet - "Kom bare an - hackere", for det kan de og deres embedsværk ikke klare. De har selv fravalgt et samarbejde med bracheorganisationer og eksperter, der har forstand på it- og cybersikkerhed.

Finn Christensen

Hvorfor Bjarne Corydon og Nicolaj Wammen har set bort fra de anvisninger som deres egne embedsfolk selv har været med til at udarbejde er uforståeligt.

Hele systemet har længe været og er i 'valgmode'.. alt andet end kampen om genvalg/redde sig et job er uden interesse.

Nuværende regeringen skal jo ikke stå på mål for konsekvenserne af svigt på it-området.. konsekvenserne havner på den kommende regerings bord.

En helt almindelige bruger kan jo ikke gennemskue, at det kun er papirkrig uden muskler eller konsekvenser.

Log ind eller Opret konto for at kommentere