Derfor har vi brug for statsautorisation for IT-sikkerhed

skal være first mover?

Hvorfor har T-Hansens IT revision ikke fanget dette? De har jo en statsautorisation..

Klassisk IT-revision udgår fra regnskabsrevision. Dvs. om man har en installation, som kan forårsage at virksomheden får økonomiske problemer.

Med Datatilsynets "bøder", så er der ikke ret meget man behøver bekymre sig om.

Som andre har påpeget bliver det svært at finde meningsfyldte autorisationer endsige kvalificerede personer til at uddele disse.

Hvis vi for et øjeblik leger med tanken at der rent faktisk er lovgivere der læser med her og at en af dem får held til at gennemfører det diskuterede autorisationssystem - hvad så?

Folk der har fusket med VVS vil vide, at de fleste manualer og det meste uddannelsesmateriale - how-to's - er svært til umuligt at få fat i og det samme gælder de virkelig professionelle komponenter - man skal være med i klubben ellers 'no dice'.

Risikerer vi så ikke noget tilsvarende? Held og lykke med at finde manualer, uddannelsesmateriale og selvfølgelig da fortolkere og compilere, API'er - den slags kan man naturligvis ikke lægge i hænderne på de uaftoriserede.

Men ja, der er lang vej før vi kan kaldes "professionelle med styr på tingene", men som alle andre rejser starter det med første skridt.

Jeg syntes det er en god ide, misforstå mig ikke. Jeg siger blot at det fjendtlige miljø hvor IT opføres ikke må undervurderes. Tiden inden for IT følger ikke en liniær ligning, derfor skal enhver form for autorisation tage højde for dette.

I virkeligheden skal softwareudvikling måske hellere styres via produktansvarsreglerne.

Her render IT ind i problemer, hvor bygge statik har et kendte kendt miljø og at det er muligt at forudse miljøpåvirkingen, så er IT-statik vanskeligere.

Det var statik ikke da de startede deres professionalisering.

Kig i de gamle indskannede ingeniørtidsskrifter hvis du ikke tror mig.

En af de sjovere sekvenser er det første teater i København der bygges af dette nymodens "Jærnbeton".

Men ja, der er lang vej før vi kan kaldes "professionelle med styr på tingene", men som alle andre rejser starter det med første skridt.

Som meget passende kunne være at tippe alle ud af branchen som har gemt klartekst passwords i dette årtusinde.

B) "IT-statik"</p>
<p>IT installationer inddeles i "konsekvensklasser" ligesom bygværker: Lav, mellem og høj.</p>
<p>Alt over "lav konsekvensklasse" skal godkendes af en "IT-Statiker" inden installationen sættes i drift eller hvis den forandres væsentligt.</p>
<p>Alt i "høj konsekvensklasse" skal have en formel "change-management" procedure der auditeres regelmæssigt af uafhængige auditorer.

Her render IT ind i problemer, hvor bygge statik har et kendte kendt miljø og at det er muligt at forudse miljøpåvirkingen, så er IT-statik vanskeligere.

jf. statik klasserne så er der ingen krav om vedligeholdelse, hvilket er et meget stort problem nå miljøpåvirkningen er så stor som den er i IT-systemer.

En ide af denne form er god, men er svær at sætte i bås, som EL artikler og udførelse. Jeg arbejder selv inde for installation af systemer inden for pharma. Her har man netop for at sikre kvaliteten, et system der hedder GMP. GMP står for Good Manufacturing Practice. Her kunne noget inspiration nok hentes. Selve GMP er udviklket, da der var mange dødsfald i 60'erne og derfor begyndte FDA er lave dette regelsæt. Omkring IT er EU en meget stor bidragsyder, og nu senest er IEC 62443 blevet en væsenlig kilde til krav og tanker. Men traditionelt benyttes GAMP 5. Selve ideen går på at produktet skal valideres eller med lavere krav kvalificeres. Dette gøres i forhold til noget man kalder V-Modellen. Det kan beskrives lidt kort som man beskriver hvad produktet skal kunne og man stiller krav der skal være opfyldt. Disse krav skal så efterprøves når installationen/produktet er færdig. Der er selvfølgelig krav til man ikke stiller fladpandet krav. Men krav der beviser produktions sikkerhed for at alt vil virke efter hensigten og inden for pharma, at man sikre medicinen er sikker til brug. Som god tommelfinger regel, siger man af den samlede udgift koster for validering eller kvalificering, der ikke lige så grundig, et sted mellem 60 til 80% af den samlet udgift. Så selv om ideen er god vil der følge en betydelig merudgift, som vil ramme primært Open Source, da de netop ikke har nogen at rulle udgiften over på. Med mindre man kan lave en organision til dette der lidt er som NGO'er. Desværre kan GMP også bruges til at holde andre ude. Ved at sige hvis du ikke gør som producenten siger, bortfalder deres GMP godkendelse. Dette trick bruges af næsten alle store spiller på pharmamarked. Med der til hørende opskruedet priser. Flyindustrien har tilsvarende problemer og måske også ideer der kan bruges.

Uanset hvad, vil der altid blive tale om et minimumskrav. De vil på dagen for deres bestemmelse formentligt allerede være usikre. Ellers vil de hurtigt blive det. Jo jo, men en del af sikkerheden vil være at vedligeholde den. Ja ja, og når det ikke sker, modtager man en straf. Kan du genkende mønstret? Vi har ikke brug for mere sikkerhed af den type der her er omdrejningspunktet. Vi har brug for en samfundsordning, hvor ingen har interesse i at tage dig i røven, fordi alle har nok. Det vil nok kræve vi skiller os af med de mest griske. Hold høtyvene spidse!

Leverandørernes certificeringer er helt ligegyldige, man skal have fat i nogle af de uafhængige organisationers uddannelsesprogrammer. Vi kan ikke alle have en CISSP, men mindre kan også gøre det

Det er også begrænset hvor meget det certificerer. Jeg har både CISSP, CCSP, og et par C'er mere, men jeg anser mig ikke som specielt dygtig eller kvalificeret når det kommer til IT sikkerhed. Jeg er på den anden side god til governance og risk management, og med den baggrund var det ikke svært at certificere mig.

Autorisation af personer virker som hovedregel ikke -- folk ser ikke ud til at blive bedre af at have taget en eksamen. Jeg vil påstå at vi trygt kan erstatte autorisationerne til VVS osv. med et krav om ekstern evaluering; kvaliteten af arbejdet vil sandsynligvis stige. Revision / ekstern evaluering virker som hovedregel.

Tilsvarende burde der være et krav om IT-revision af systemer som T. Hansens. Det troede jeg faktisk der allerede var? Hvordan fejlede det?

og beholdt tegningerne til alle installationens detaljer for sig selv og sagsøgte alle der prøvede at reverse-engineer'e installationen ? :-)

Som når KTAS stod for telefoninstallation i private firmaer før i tiden …?

God ide. Er der et borgerforslag man kan støtte?

... og beholdt tegningerne til alle installationens detaljer for sig selv og sagsøgte alle der prøvede at reverse-engineer'e installationen ? :-)

Derfor er det nødvendigt med nogle fornuftige spilleregler for OS, så man undgår at en autorisationsordning bliver direkte kontraproduktiv.

Har du overvejet at autorisationsordeningen kunne hjælpe med til at normalisere den økonomiske situation i FOSS verdenen ?

Autorisation til softwareudvikling er noget helt andet end til IT drift. Så vi kan ikke nøjes med en slags autorisation. I virkeligheden skal softwareudvikling måske hellere styres via produktansvarsreglerne.

Helt enig, det er to meget forskellige områder.

Og ja, jeg tror jeg har nævnt i forbifarten en eller måske to tusinde gange at jeg synes synes der skal produktansvar på softwareprodukter :-)

Men integration og installation af en bunke produkter til en samlet installation er en helt anden problemstilling.

Bare fordi mursten, spærtræ og tagplader hver for sig er typegodkendt, er det ikke indlysende at et bygværk konstrueret deraf er godt nok, mindst af alt hvis store menneskemængder skal opholde sig der.

Men det siger sig selv, at det vil være nemmere at auditere en installation hvis der er brugt typegodkendte komponenter.

Hvordan ville et nybygget hospital have det med, at det kun er den elektriker der lavede de oprindelige installationer, der i al fremtid kan lave rettelser til samme?

... og beholdt tegningerne til alle installationens detaljer for sig selv og sagsøgte alle der prøvede at reverse-engineer'e installationen ? :-)

Så open source-software er uforeneligt med en statsautorisation, medmindre en myndighed eller en kommerciel aktør vil tage ansvar for det.

Hvis du er autoriseret og godkender en installation, er det fordi den efter din professionelle undersøgelse og vurdering er i orden, hverken mere eller mindre.

Den opgave kan gøres lettere og dermed billigere på mange måder, f.eks via typegodkendelser eller ved at kildeteksten er tilgængelig så man faktisk kan se hvad det er der foregår.

Men det er intet sted et krav at der kun må bruges typegodkendte produkter langt mindre at kildeteksten ikke må være tilgængelig.

Men statsautorisationer gælder også, selv om man blot laver hjemmefusk til eget brug.

En statsautorisation for IT-sikkerhed behøver ikke følge nøjagtigt samme regelsæt som for f.eks. el-installationer. Jeg kender ikke grundlaget for alle reglerne, men mit gæt er at reglerne omkring el-installationer og VVS er motiveret af at dårligt udført arbejde kan skabe større skade (også for andre) end dårligt opsatte personlige servere. Jeg er normalt ikke glad for analogier, men lad os i stedet sammenligne med fødevareregler, hvor staten er rimeligt ligeglad med hvor uhygiejnisk du ter dig i dit eget køkken, men hvor restauranter og lignende har krav til hygiejne, uddannelse, osv. Jeg tror bestemt at det er muligt at lave en ny kasse der kan passe til IT-sektorens behov - det behøver ikke være nøjagtigt den samme som findes i andre fag.

Er det ikke allerede det - prøv bare at se hvor mange der har malet sig ind i et hjørne, pga. en ukritisk tilbedelse af monokulturen fra et vist firma.

Det er meget muligt at LK sidder på en stor del af markedet for stikdåser her i landet, men jeg tænkte mere på selve de installationer, elektrikeren laver. Det vil sige at den analogi jeg forsøgte at lave, snarere var den kode som DXC, KMD eller Netcompany har bygget i eks. C# eller Java end på Windows, MS SQL Server, Dell servere og Cisco netværksudstyr.

Det gør den også i det nuværende system igennem ransomware,

Så mon ikke der her mere er tale om at betale to gange?

Undskyld, men er det ikke snarere Closed Source Software, der vil komme til at ligge i en gråzone?

Men når jeg nævner OS, så er det fordi det er et område der er meget vanskeligt at sætte økonomi på, hvorimod der fsva. CS kan stilles krav til leverandøren og der kan sættes penge i spil - at han så snyder på vægtskålen er selvfølgelig en anden snak.

Derfor er det nødvendigt med nogle fornuftige spilleregler for OS, så man undgår at en autorisationsordning bliver direkte kontraproduktiv.

Hvordan ville et nybygget hospital have det med, at det kun er den elektriker der lavede de oprindelige installationer, der i al fremtid kan lave rettelser til samme?

Men hvilke krav vil du stille til en statsautorisation? Revisorer og aktuarer skal have gennemført en bestemt uddannelse, er det det, du tænker på?

Autorisation til softwareudvikling er noget helt andet end til IT drift. Så vi kan ikke nøjes med en slags autorisation. I virkeligheden skal softwareudvikling måske hellere styres via produktansvarsreglerne.

Der skal nok også være en autorisation på organisationsniveau til overhovedet at måtte have IT kørende, og så en autorisation (= krav til uddannelse) af folk som arbejder med IT sikkerhed.

Sikkerhedsmæssig fornuftig drift af IT findes der faktisk en del rammeværker til, og en certificering kunne jo tage udgangspunkt i dem. Jeg vil foreslå CIS https://www.cisecurity.org/controls/v8/ som et godt udgangspunkt - den kan også gradueres efter hvor stort et system/firma, det handler om.

Autorisation af IT sikkerhedsfolk bliver reelt "certificeringer". Og området er stort nok til at der må være mere end en (sikkerhed på SCADA systemer omfattet af NIS direktivet er anderledes end sikkerhed på webshops).

Leverandørernes certificeringer er helt ligegyldige, man skal have fat i nogle af de uafhængige organisationers uddannelsesprogrammer. Vi kan ikke alle have en CISSP, men mindre kan også gøre det: F.eks. de forskellige GIAC certificeringer fra SANS https://www.sans.org/cyber-security-certifications/?msc=main-nav

Og så kommer der den gråzone der hedder OS software

Hvordan ville et nybygget hospital have det med, at det kun er den elektriker der lavede de oprindelige installationer, der i al fremtid kan lave rettelser til samme?

men regningen for dette vil før eller siden ende hos forbrugeren.

Det gør den også i det nuværende system igennem ransomware, identity theft mv, bare mere ujævnt.

Typisk gælder produktansvar kun når du sælger produktet

Men statsautorisationer gælder også, selv om man blot laver hjemmefusk til eget brug.

Så open source-software er uforeneligt med en statsautorisation, medmindre en myndighed eller en kommerciel aktør vil tage ansvar for det.

Myndighederne kommer ikke til at tage ansvar for noget som helst, og så er vi tilbage ved de kommercielle aktører. Der skal nok være en enkelt eller to, der kan se en forretning i at certificere specifikke versioner af open source-software, men regningen for dette vil før eller siden ende hos forbrugeren.

Og så kommer der den gråzone der hedder OS software - hvem har f.eks. ansvaret for PHK's baren Varnish, hvem skulle kunne autorisere det, og hvem skulle betale for autorisationen.

Typisk gælder produktansvar kun når du sælger produktet - PHK ville derfor ikke være ansvarlig for Varnish, men det ville du være hvis du installerede Varnish for en kunde. (Antageligvis ville du i praksis enten forsikre dig ud af det, eller også ville en anden IT-revisortype have auditeret Varnish og vurderet at din opsætning er sikker.)

Produktansvar er jo heller ikke absolut - hvis Varnish viste sig at være usikkert pga. en eller anden totalt uventet angrebsvektor (lad os sige det var særligt sårbart overfor rowhammer på en eller anden måde), så ville du ikke nødvendigvis være ansvarlig for at dække evt. skader. Produktansvar handler om at overholde gængse normer og standarder, ikke om at stå til ansvar for uforudsigelige sort-svane-begivenheder.

Der er bestemt mange detaljer der skulle på plads omkring hvordan statsautorisation for IT-sikkerhed i praksis ville udforme sig, men jeg synes også idéen er god, og på sigt nærmest nødvendig.

Og hvem er så de eksisterende udøvere, som skal lægge standarden?

Det er ikke de existerende udøvere der lægger standarden, det er myndighederne, som f.eks sikkerhedsstyrelsen allerede gør det.

For så vidt de store spillere du nævner ville jeg kopiere §7 fra Atomanlægsloven, så der absolut ikke var tvivl om hvem der bestemmer hvad:

"§ 7. Miljøstyrelsen og sundhedsstyrelsen har adgang til at fordre sig meddelt enhver oplysning, der af disse myndigheder skønnes af betydning for sikkerheden. De kan til enhver tid uden retskendelse mod behørig legitimation fordre adgang til at udøve tilsyn på anlægget under bygning og drift eller hos leverandører til anlægget. De kan meddele pålæg, som er fornødne til at sikre overholdelsen af opstillede vilkår og betingelser, eller som i øvrigt skønnes nødvendige af sikkerhedsmæssige grunde, ligesom de i påtrængende tilfælde af sikkerhedsmæssige grunde kan forlange brugen af anlægget standset, indtil der er taget stilling til, om og i bekræftende fald hvornår brugen af anlægget kan genoptages. "

Vi skal ikke igen have en situation som med Rigspolitiets hullede mainframe der bare fik lov til at køre videre uden at man så meget som lukkede for FTP serveren...

Personligt vil jeg tro den skal findeles lidt.

Jeg vil tro at der er brug for to overordnede autorisationer:

A) Persondatabeskyttelse.

Den burde være lige til at forstå: Hvis der opbevares mere end helt trivielle mængder persondata, skal installationen regelmæssigt auditeres, på samme vis som f.eks elevatorer, trykbeholdere og køleanlæg.

B) "IT-statik"

IT installationer inddeles i "konsekvensklasser" ligesom bygværker: Lav, mellem og høj.

Alt over "lav konsekvensklasse" skal godkendes af en "IT-Statiker" inden installationen sættes i drift eller hvis den forandres væsentligt.

Alt i "høj konsekvensklasse" skal have en formel "change-management" procedure der auditeres regelmæssigt af uafhængige auditorer.

På samme vis som en bygnings-statiker skal sikre at bygværker kan holde til at stå ude om natten, skal IT-statikeren stikre at IT-systemerne kan holde til at blive koblet på nettet.

Et eksempel på høj konsekvensklasser er Skat's TastSelv løsning, en kommunes IT installation eller en teleudbyders mobilnet.

Et eksempel på mellem konsekvensklasse kunne være en dagligvarekædes kameraovervågning.

Et eksempel på lav konsekvensklasser kunne være en mindre virksomheds IT-installation.

Bemærk dog at serieproducerede IT-installationer, uanset hvor trivielle de måtte være, alene på grund af deres antal ofte vil havne i mellem eller ligefrem høj konsekvensklasse.

Et eksempel herpå vil være ISP'ers CPE udstyr, eller mobiltelefoner, hvor en seriefejl vil kunne have omfattende og alvolige konsekvenser for personer, virksomheder og samfundet.

Hvorfor har T-Hansens IT revision ikke fanget dette? De har jo en statsautorisation....

Jeg har stadig ikke mødt nogen kompetent IT revisor der faktisk har spurgt ind til noget relavant i forhold til en virksomheds overlevelsesevne hvis de bliver ramt af nedbrud, bugs, hacking m.v.

Hvordan undgår vi at en IT-autorisation bliver udviklet som et "pc kørekort" hvor man underviser i at sætte folk BCC i email masseudsendelser. (altså niveauet for DJØF'er)

IT branchen dækker meget bredt, og det bliver svært at lave et pensum som dækker hele branchen uden at det bliver uoverskueligt stort, vil jeg mene. Og Pensum vil flytte sig hele tiden, i takt med teknologisk udvikling - i modsætning til de fleste andre typer autorisationer derude.

Men dermed ikke sagt at man ikke skal forsøge! Kan man evt. dele det op, så man laver flere mindre autorisationer og kan få det til at virke med et eller andet krav om at den skal fornyes hvert x antal år - så vil jeg helt sikkert mene det vil være en god ting at få indført.

Og når vi nu er igang - kunne man så ikke indføre en IT-Politiker autorisation. - Uden den må man ikke lave politik om IT eller stemme for lovgivning om IT?

Jeg støtter ideen om autorisation til IT-folk med kvalitetsansvar

Ideen lyder meget god i teorien, og jeg vil også støtte op om der generelt stilles større krav, men det at udforme en autorisationsordning i praksis er ikke lige til.

Og der skal også lige vurderes det økonomiske aspekt, hvordan skal hele dette apparat financieres, og er der ikke stor risiko for at det ender i en gang kammerateri, på linje med tilstandsrapporter, varmesyn og andet?

Og hvad er IT i det hele taget, skal der være delatorisationer, afhængig af om vi taler netværk, windåse, linux, unix, mainframe,embedded,,,,?

-- de små kodere behøver ikke, så længe deres kode bliver godkendt af en autoriseret person med ansvar overfor kunder og samfund.

Men hvilke krav vil du stille til en statsautorisation? Revisorer og aktuarer skal have gennemført en bestemt uddannelse, er det det, du tænker på?

På stærkstrømsområdet binder man sig op på et stærkstrømsreglement som immervæk er blevet itereret og finpudset over en hundrede årig periode, så alting er meget firkantet.

Endvidere løber udviklingen ikke videre hurtigt, der er ikke sket de revolutionerende store ændringer siden jeg var i lære som elektriker for over 40 år siden, og til i dag.

Og i modsætning til IT, så ligger det meste trods alt tæt på overfladen og er overskueligt.

Tilsvarende for vand og afløb, der har vi nogle meget konkrete reglementer, normer, vejledninger og standarder, også udviklet og forbedret over mange år.

På IT området er tilsvarende stort set forsvindende.

Og så kommer der den gråzone der hedder OS software - hvem har f.eks. ansvaret for PHK's baren Varnish, hvem skulle kunne autorisere det, og hvem skulle betale for autorisationen.

Jeg må sige at spørgsmålene er mange, svarene få.

Så vidt jeg har læst mig til, har man i alle brancher der er blevet underlagt lovkrav, ladet existerende udøvere gå op til prøven uden at tage en bestemt uddannelse og efterfølgende lavet en uddannelse der passede til kravene.

Og hvem er så de eksisterende udøvere, som skal lægge standarden?

DXC, KMD eller Netcompany?

I realiteten ville det nok blive CFCS, der får lov at diktere, hvad der må installeres på servere rundt omkring. Software fra Microsoft er nok på listen, men gad vide om FreeBSD (og alle de andre gode open source-systemer) ville blive lukket ind?

Don't get me wrong - jeg er tilhænger af gode standarder på området, men en statsautorisation har en tendens til at handle mere om at beskytte et lukrativt marked end noget som helst andet - en art nutidig videreførsel af de gamle håndværkerlaug.

Men hvilke krav vil du stille til en statsautorisation? Revisorer og aktuarer skal have gennemført en bestemt uddannelse, er det det, du tænker på?

Så vidt jeg har læst mig til, har man i alle brancher der er blevet underlagt lovkrav, ladet existerende udøvere gå op til prøven uden at tage en bestemt uddannelse og efterfølgende lavet en uddannelse der passede til kravene.

Men hvilke krav vil du stille til en statsautorisation?

Personligt vil jeg tro den skal findeles lidt.

Blot fordi man er en haj til netværk og infrastruktur, betyder ikke at man kan lave god kodekvalitet.

Det omvendte kan også være tilfældet.

Vi har trods alt alle sammen vores styrker og svagheder. :-)

Jeg støtter ideen om autorisation til IT-folk med kvalitetsansvar -- de små kodere behøver ikke, så længe deres kode bliver godkendt af en autoriseret person med ansvar overfor kunder og samfund.

Men hvilke krav vil du stille til en statsautorisation? Revisorer og aktuarer skal have gennemført en bestemt uddannelse, er det det, du tænker på?