Den feudale IT-sikkerhed er på retur

Ole Bech er inde på et vigtigt område, og han er ikke bange for at slå lidt omkring sig. En længere historisk gennemgang af det offentlige Danmarks digitalisering skal nok blive skrevet engang, og der kan vi så læse den lange version.

Som Ole Bech bemærker, så fungerer interaktion på kryds og tværs idag. Til gengæld er vi også inde i en tid, hvor alle lever af tillid til deres produkter. Dermed kan en kommune overlade en stor del af sit ansvar til sky-tjenesten, og koncentrere sig om sin medarbejderpolitik.

Som IT-chefen fra Roskilde nævner, er der brug for medarbejdere der er på det rene med hvad man forsvarligt kan hente fra nettet og f.eks. lægge i en dropbox.

IT-afdelingerne i ovennævnte historiske gennemgang undgår ikke de lange kapitler om den stedmoderlige rolle IT fik i den danske folkeskole i 90'erne og et alt for pænt stykke ind i det nye årtusinde. De undgår heller ikke en granskning af den økonomi der via de danske skatteborgere er tilflydt Microsoft-koncernen i den samme periode. Men historieskriverne vil også bemærke, at det år for år blev mere og mere umuligt for en enkelt IT-chef og en enkelt IT-afdeling at servicere de nærmest eksplosive behov for sikkerhed og kontrol med åbne, dygtiggørende tillidsbaserede læringsplatforme.

Derfor tror jeg det er klogt, som Ole Bech gør, at åbne for den diskussion der handler om at ansvarliggøre sine medarbejdere i højere grad.

Han siger det ikke direkte, men det ligger imellem linierne. Der er fordele i at ændre IT-afdelingen fra at være en indkøbscentral til at forvente noget de ansatte. Fra at være ansvarlig for indkøb af udstyr, software og service til i højere grad at stille krav til de kommunalt ansattes it-kompetencer ved ansættelsen.

Det flugter tilfældigvis meget med den trend der er blandt ungdommen. De føler sig fremmede overfor en fremmed computer. Mens mange af den ældre generation mener det er IT-afdelingens opgave at sørge for en computer til dem og at den gør nøjagtig ligesom den forrige.

De unge har taget den teknologiske udvikling til sig. Mobilen eller den bærbare er en del af deres identitet. Ligesom et stykke tøj. Mange tager derfor deres egen laptop med i skole og på arbejde.

Det er et vink med en vognstang om hvad der venter. Det kommer til at gå skole-pc'en ligesom det er gået skoleuniformen. Det har Ole Bech og hans afdeling for flere år siden set komme.

I Roskilde har alle skoler og offentlige bygninger åbent trådløst netværk. IT-afdelingens store udfordring er nu at følge med brugernes behov for større båndbredde. Men det er rigtig tænkt, for det sparer også IT-afdelingen for en del bevær den anden vej. Sålænge der er nok båndbredde til de opgaver der skal løses, så er der ro i bilen.

Jeg vil langt hen ad vejen give Ole Bech ret i at man kan og har bygget mure op omkring virksomheden i den tro at nu var man beskytet. Men en tanke som kan ligge og lurer er. Virksomheden kan gå ud og købe beskyttelse i dyre domme men hvis bare en i virksomheden åbner et "vindue" (læs netværket) så er den beskyttelse ikke meget værd. Derfor bør der være mere information til brugerene om at begå sig på Internettet.

"I starten af dette årtusinde troede mange af os IT-folk stadig på, at IT-sikkerhed kunne håndhæves med rå feudal magt. At man kunne beskytte sin organisation ligesom en middelalderborg med vanddgrav rundt om og kun med adgang hen over en svært bevogtet vindebro."

Altimens folk der rent faktisk havde forstand på IT Sikkerhed allerede i starten af halvfemserne vidste at det var bullshit :P

Jeg er helt med på udfordringerne, men hvordan vejes dette op i forhold til fx lovgivningen mv.? Hvordan beskytter fx Roskilde Kommune personfølsomme oplysninger: er det helt op til brugerne? Og hvad vil der ske skulle noget "gå galt"?

Andre typer af virksomheder ligger under andre former for krav til compliance.

Hvis bare alle de store drenge kunne blive enige om én standard for single sign on, (og gerne en simpel ig ligetil) så resten af verden kunne se ideen i at udvikle til denne, så kunne dropbox, google, facebook, AD, banker, alle store som små knytte alle login former til denne.

Den idelle løsning, kunne være at brugeren selv registerer sig hos en given service og vælger ved login om det er i arbejds/privats brug, online/offline.

Alle arbejdslogins, kan ses af det firma hvor brugeren er tilkyttet. så kan firmaet have sin egen positiv og negativ liste for hvilke services der kan tilgået som firma.

Alle er glade, brugeren har kun et login til alle sine private og arbejds it-værktøj. Firmaet kan styre hvad der må bruges til firma og kan selv styre tilknytningen samt frekvensen for kodeskift.

Forrige år skrev Version2 om en ny it-sikkerhedsdoktrin i det norske forsvar. Der er helt sikkert en masse man kan lære ved at studere den slags tilgang til problematikken http://www.version2.dk/artikel/norges-enorme-cyberhaer-goer-op-med-klassiske-it-sikkerhedsdogmer-vaek-med-strenge

Dermed ikke sagt, at en sund og ansvarlig politik på området ikke også er på plads overfor medarbejderne. Men hvis medarbejderne arbejder godt med Dropbox, så er man i hvert fald nødt til at forholde sig til det.

Problematikken er bare at mennesker laver fejl og når så de fejl sker, bliver virksomheden hængt ud for ikke at gøre det godt nok. En svær balance gang hvor der sikkert skal en del fyrringer til før de ansatte tænker sig godt nok om før diverse personfølsomme lister ender i dropbox mv.