Dette indlæg er alene udtryk for skribentens egen holdning.
Blogindlæg

Danmarks datasikkerhed er nødlidende: Politikere og embedsværk sover i timen

6. november 2018 kl. 15:306
Danmarks datasikkerhed er nødlidende: Politikere og embedsværk sover i timen
Illustration: Privatfoto.
person
Gæstebloggen
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person
Gæstebloggen

Det er ikke uden grund og tilfældigt at Danmark er placeret på en pinlig 34. plads i en global FN undersøgelse, når det gælder data- og cybersikkerhed.

Der er desværre alt for mange eksempler på, at Danmarks datasikkerhed er nødlidende, og at: »Der er et ganske betragteligt sikkerhedsmæssigt efterslæb, som digitaliseringen indtil nu har medført«, som formanden for Rådet for Digital Sikkerhed, Henning Mortensen, udtalte i bladet Børsen for en uges tid siden.
John Foley er stifter af COPITS og uddannet militærteknisk- og sikkerhedsofficer med it- og cybersikkerhed som speciale.

Nogle af de mere spektakulære sager er hacking af politiets registre og forsvarets mailsystem samt mere kulørte sager som udlevering af kreditkortdata om kendisser til pressen, fejludlevering af tusindvis af persondata med personnumre til de kinesiske myndigheder til DAMD-skandalen (Dansk AlmenMedicinsk Database), og de mange mere begrænsede tilfælde, hvor diverse kommunale databaser stod åbne for adgang i en kortere periode, eller hvor data blev indsamlet på trods af forsikringer om det modsatte.

Artiklen fortsætter efter annoncen

Individets ukrænkelighed og grundlæggende rettigheder udfordres løbende med de utal af love og bekendtgørelser, der i en lind strøm sendes ud fra Christiansborgs tykke mure.

Politikere og embedsværket har alt for længe sovet i timen og været hovedårsagen til at Danmark er kommet bagud og er blevet dårligst i klassen blandt de nordiske lande og nu placeret data- og cybersikkerhedsmæssigt på linje med Rwanda.

Disse kendsgerninger står i skarp kontrast til at Danmark er udråbt som verdensmestre, når det drejer sig om digitalisering.

Danmark er gået forrest når det gælder at udnytte digitaliseringens og teknologiens fordele, men har glemt i tilstrækkelig grad samtidig at sikre dets befolkning mod de mange brud på datasikkerheden og cyberangreb vi næsten dagligt hører om.

Ny cyberstrategi

Som Forsvarsministeren netop har fortalt, forsøger man sig nu for anden gang med en cyberstrategi, der lover, at nu bliver det bedre.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Den første cyberstrategi blev publiceret af Forsvarsministeriet for fire år siden tilbage i 2014 og nu har man så udarbejdet en ny version 2, med Finansministeriet og Innovationsministeren, som hovedansvarlig.

Men i mange af strategiens initiativer mangler der konkrete mål for, hvornår de forskellige projekter skal sættes i gang, hvornår de er fuldt implementerede, og hvornår der kan måles på effekten af dem – om nogen sinde.

Jeg mener, at vi ikke kan blive ved med at afvente resultater og har derfor, sammen med en række ildsjæle, brancheorganisationer og Forsvarsudvalget gennemført en høring her på Christiansborg, den 18. september i Landstingssalen, hvor formålet var at finde alternative og supplerende løsninger til sikring af samfundet og dets befolkning.

Gode og konkrete forslg

Høringen resulterede i rigtigt mange gode og konkrete forslag og et idékatalog er udarbejdet. Et af dem er et Privat-Public-Partnership projekt,som jeg kort vil omtale her:

Det drejer sig om oprettelsen af et fælles cybersikkerhedsforum, hvor det offentlige og private samt forskningsverdenen og borgeren går sammen om at løse de udfordringer og problemer, der vitteligt er og som den nye strategis initiativer ikke vil kunne løse.

Der er brug for en tværfaglig og uafhængig viden fra krydsfeltet af it-systemer, administration, samfundsøkonomi, jura og borgerrettigheder, som vil være i stand til at levere kvalificeret rådgivning til offentligheden og beslutningstagere, inden de store samfundsressourcer dedikeres til nye omfattende tiltag, og nye lovgivningsmæssige rammer med vidtrækkende konsekvenser for borgerne

Nogle af de øvrige forslag til forbedring af data- og cybersikkerheden i Danmark, der fremkom i forbindelse med høringen på Christiansborg den 18. september er:

  • Snarest og hurtigst muligt gennemføre en evaluering og vurdering af den nationale strategi for It- og cybersikkerhed og lade Rigsrevisionen gennemføre en uvildig undersøgelse af resultatet. Vi har ikke tid til at vente yderligere 4 år på resultater, der måske aldrig kommer.
  • Koordinere EU’s ”Cyber Security Month” kampagne, der gennemføres hvert år i hele oktober måned og som er målrettet befolkningen og den enkelte borger.
  • Oprettelse af en uafhængig forskningsinstans, som kan oplyse og rådgive samfundet om de yderst komplekse sammenhænge, fordele og ulemper ved store, gennemgribende digitaliseringstiltag,
  • Etablering af et It- og cybersikkerheds udvalg bestående af MF’ere, så de kognitivt kan få indsigt i og forståelse for betydningen af de meget komplekse lovforslag der fremsættes.

Bloggen baserer sig på et indlæg, som John Foley holder ved konferencen 'Trusler i cyberspace,' som afholdes i dag på Christiansborg.

6 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
6
Erik Andersen
26. april 2019 kl. 12:49

Verdens første cyber angreb var vel englændernes hackning af den tyske Enigma syatem under sidste verdenskrig. En hackning, som gjorde stor skade på den tyske krigsførelse.

Hvis nu tyskerne havde vort CFCS og havde alle den danske regeringens procedurer på plads, sådan som fx beskrevet i National strategi for cyber- og informationssikkerhed ville de så have været i stand til at opdage eller stoppe den engelske hackning?

Svaret er nej. Englænderne brød ikke ind i Enigma systemet. De lyttede bare og brød krypteringen. Det kan ikke opdages.

I dagens Danmark har vi en organsation og et set-up som end ikke ville være i stand til at håndtere verdens første, ret simple cyber angreb.

Det var ikke nok, at tyskerne krypterede deres meddelelser. De skulle have brugt en stærkere kryptering.

Dette aspekt har jeg ikke været i stand til at finde i den daske strategi. Har andre?

  • more_vert
    • insert_linkKopier link
4
Palle Due Larsen
7. november 2018 kl. 09:59

Fra "Om COPITS":

COPITS er en privat, uafhængig rådgivnings- og it-sikkerhedsvirksomhed, som er stfitet af John Foley i 2013.

  • more_vert
    • insert_linkKopier link
3
Gert G. Larsen
7. november 2018 kl. 08:23

Hvem dælen er COPITS? Er det en enkeltmandsvirksomhed, eller er det en forening? Er det noget ala RFSITS / DKCERT osv?? Hjemmesiden er mega retro-sej :-)

  • more_vert
    • insert_linkKopier link
2
John Michael Foley
6. november 2018 kl. 17:34

Rigtigt gode forslag Claus Juul. Dem vil jeg gå videre med når jeg skal mødes med diverse MF'ere i den nærmeste fremtid, hvor vi skal drøfte way-ahead og løsningsmuligheder.

  • more_vert
    • insert_linkKopier link
1
Claus Bobjerg Juul
6. november 2018 kl. 16:38

Som jeg ser det:

Er en stor del af problemet (Danmarks lave placering på en rankliste i forhold til it-sikkerhed), at Danmark ikke havde en central strategi for it-sikkerhed og en central styring af it-sikkerhed.

Den del der handler om Danmarks dårlige it-sikkerhed (baseret på empiri fx DAMP, CSC hackersagen osv) har rod i at der ikke er en myndighed der diktere hvad og hvordan man skal efterleve en regel, en regel man kun kan undtages fra hvis man kan dokumentere at man har noget andet som kompensere for den manglende efterlevelse af reglen.

Praktisk eksempel: Regel #1: Alt software (Firmware, Driver, OS, 3th part) der anvendes skal aktivt understøttes af leverandøren/udvikleren. Regel #2: Sikkerhedsopdateringer til software skal være publiseret til alle brugere senest 14 dage efter frigivelse fra leverandør/udvikler. Regel #3: Alt brug og tildeling af privilegerede rettigheder til den understøttende platform (Backend udstyr, Klient OS ) må kun gives til kyndige it-specialister og stadig kun efter pricippet least privilege access princippet. Regel #4:..........

Så skal alle efterleve disse regler, med mindre at de kan dokumentere at de har nogle andre sikringsforhold der gør at de ikke behøver at leve op til disse regler eller nogle få af dem.

Der selvfølgelig altid mulighed for at gøre yderligere tiltag og være en duks.

Denne model vil løse begge problemer og være i tråd med ISO 27000 principper. Der er bare et problem ! Hvem være bussemanden/tørvetrilleren der tør foreslå dette på et højt politisk plan, så det det har en chance for at blive hørt?

Forslagt vil kunne spare samfundet for rigtigt mange penge, både i at hver offenlig virksomhed ikke skal udtænke alle elementer selv, men også at der kan indkøbes hjælp i form af support, software løsninger for alle virksomheder på en kontrakt osv.

  • more_vert
    • insert_linkKopier link