Dette indlæg er alene udtryk for skribentens egen holdning.

Er CFCS pengene værd ?

5. juli 2018 kl. 09:3421
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Da CFCS for seks år siden blev oprettet blev konstruktionen kritiseret for dens næsten totale mangel på transparans, som ikke giver nogen mulighed for at evaluere om det faktisk virker.

Enhver evaluering må nødvendigvis forholde sig til udgiftssiden, men det er altsammen hemmeligt. Vi ved kun at vi hælder en lille millard skattekroner i FE om året, vi ved ikke hvor store indtægter de har, f.eks fra salg af overvågningsdata til andre stater og vi ved ikke hvor stor en andel af det samlede budget der bliver brugt på CFCS.

Det nærmeste vi kommer at få noget at vide er deres årsrapport, hvor 2017 udgaven nu foreligger.

Opgørelsen af sikkerhedshændelser som CFCS har været ind over afrapporteres i følgende inkompetente lagkagegrafik:

Artiklen fortsætter efter annoncen

Hvor mange "Alvorlige" hændelse har der været ? Et godt gæt er "en", men det burde ikke være nødvendigt at gætte.

Imidlertid er det først med NIS direktivet fra 10 maj i år at der er indberetningspligt for offentlige myndigheder, så tallene siger os ingenting, for vi har ingen ide om hvor mange begivenheder der ikke blev indberettet.

Tallene bliver desværre ikke væsentligt bedre fremadrettet, for NIS direktivet påbyder ikke private aktører ("erhvervssektoren") at indberette sikkerhedshændelser.

Artiklen fortsætter efter annoncen

Som tidligere omtalt i pressen har to private virksomheder opsagt deres tilslutningsaftale til CFCS's "sensornetværk" og årsrapporten siger at der ikke er kommet nye tilslutninger.

Tilbage i netværket er 39 offentlige myndigheder som reelt ikke har valget og 2 private virksomheder der er tilsluttet fordi en offentlig kunde har krævet og betalt for det.

CFCS har med andre ord næppe nogen betydning udenfor den offentlige IT.

Og det er sådan set det.

Resten af årsrapporten er en blanding af dårlig og meget forsinket IT journalistik og en enkelt tabel med "proaktive indsatser" der mest handler om mødeaktivitet.

Hvis man sætter øret på telegrafmasten kan de virkeligt kompetente IT sikkerhedsfolk lige svinge sig op på "Inderligt ligegyldigt tidsspilde", men det er sådan set fair nok, det er ikke dem CFCS skal hjælpe, de kan selv.

Jeg har derimod ikke kunnet opspore et eneste "Takket være CFCS..." eller "Hvis det ikke havde været for CFCS..." noget sted og har CFCS heller ikke, for så havde det sikkert været en prominent placeret i årsrapporten.

I alt er der ca. 825.000 offentlige ansatte i Danmark, heraf halvdelen i børnepasning, skoler, hospitaler og plejehjem.

Det er nok ikke helt forkert at gætte på at der er en halv million computere i den offentlige IT og omkring 1 million mobiler/tablets/håndterminaler.

Sætter vi CFCS's budget til en kvart milliard og fordeler det 50/50 mellem mennesker og computere koster CFCS 250 per offentlig ansat og 75 kroner per CPU+OS.

Det synes jeg er for dyrt, taget i betragtning hvad vi ser ud til få ud af det.

phk

21 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
21
11. juli 2018 kl. 19:04

Enig i din analyse Poul-Henning. Pengene er spildte og som belønning får CFCS nu yderligere ca. 1.4 millader kroner til ingen verdens nytte.

20
8. juli 2018 kl. 04:20

at der ikke står ISO27001 eller ISO 27001. Man mister gerne troen, når man ikke engang kan få identiteten korrekt.

Såfremt den "forkerte" skriveform ikke er MENINGSFORSTYRRENDE virker kommentaren mere irriterende end konstruktiv, og den er på ingen måde fokuseret på bloggen's/indslagets indhold, lad os holde os til det indholdsmæssige og ikke stavning og/eller grammatik. INDHOLDET ER DET ENESTE VIGTIGE, såfremt du ønsker at forstå det. Jeg troede engang at trolde var et eventyr væsen, men der viser sig at være mange eventyr figure der bruger internettet, måske fordi trolde bliver til sten hvis de kommer frem i solen !

BTW. så virker mange af folketingets "tiltag" som spil for galleriet, og ofte oplever jeg at bare man ind imellem kan råbe "ULVEN KOMMER !" og få det til at lyde som om man ved noget, så er myndigheder og folketing glade (for nu har vi igen sat noget op som hjælper dem der betyder noget, nåh nej jeg mente samfundet !) med samfundet er jo ikke det enkelte menneske, en bolig forening, en virksomhed eller lignende, nej da samfundet er dem der får alt til at køre så godt som vi syntes det skal og som vi VED er den rette facon ! CFCS har som det skrives heller ikke fået andet at straffe med end at vifte bestemt med en pegefinger og selv det må de sikkert kun gøre i absolut mørke og med den/de skyldige med ryggen til !

Det lader til at folketinget sørger for at kriminelle og andet godtfolk hele tiden har huller i systemet, så folketinget kan "komme efter dem" med ekstreme kontrol instanser styrelser og tilsyn på alle hylder uden reelt indhold, (men først efter at have lavet huller andre steder), f.eks. fjernelsen af revisor kravet og uendeligt mange andre "tiltag" som de forskellige typer af kriminelle iler hen til og svindler alle høj som lav. og al kontrollen rammer alene alle os ikke-kriminelle (som jo INTET har at skjule HA HA, har du INTET at skjule har du aldrig været levende !). Vi kan så spændt vente på næste undergravning af tilliden mellem mennesker ! I øvrigt, hvor mange brøkdele af en promille af befolkningen udgøre disse kriminelle, og hvor mange ressourcer bruges der på at ramme disse oftest "usynlige" mål, fra fangst over beviser/indicier/vidner, udmåling, dom, anke, dom, anke, dom, til x mdr's straf. for slet ikke at tale om den skade de har forvoldt på ofrene !! Nogen skal dog have omstillet deres tillids niveau gevaldigt, eller er det grådighed, når man på nettet bestiller den nyeste Iphone eller en Louise Vuitton taske til 174,37 kr plus fragt og betaler I FORVENTNING OM AT MAN IKKE BLIVER SNYDT, og tilmed føler det berettiget at kræve erstatning fordi man kunne da ikke forestille sig at en 10000 kr's tlf eller 25000 kr's taske til under 200 kr skulle være svindel. Den slags væsner skal indstilles til en af-art af Darwin awards !

Desværre må vi, så længe så mange er tavse/ligeglade/grådige/afvisende/ikke-tænkende/sovende, håbe at nogen af disse mange vil vågne så vi kan få vækket endnu flere, inden alt ER LIGEMEGET eller slut, hvor mange år kan denne verden holde til mennesker som de er i dag, før alting slukker og lukker for alt er enten løbet tør eller forgiftet

19
6. juli 2018 kl. 13:27

Det er ihvertfald sådan at jeg havde forestillet mig at de burde fungere. Flere små indsatsstyrker / SWAT teams der med øjebliks varsel kan rykke ud og forsvare os.

... er i høj grad enig med Povl. Jeg savner også at se proaktivitet fra CFCS manifesteret i en “udrykningsstyrke”, der beskytter væsentlige interesser, både offentlige og private.

Den reelle udfordring er sammenblandingen af spionage- og beskyttelsesaktiviteter hos FE ... man kan jo næppe forvente at CFCS skal komme farende og advare om de 0-days den anden del af organisationen har tænkt sig at udnytte til at penetrere mulige fjender med ...?

Dermed har man reduceret CFCS til et forkrampet og forfejlet forsøg på at vise handlekraft ... pengene kunne være bedre brugt i en anden organisatorisk kontekst end FE.

18
5. juli 2018 kl. 18:06

Rapporten giver uforholdsmæssig megen omtale af crypto-ransomware. Det burde være det mindste problem. Ødelæggende virkninger af sådanne angreb kan man undgå ved at tænke sig om. I modsat fald kunne fyringer på C-suite level være et udmærket incitament.

Den omtaler derimod stort set ikke den værste type angreb, nemlig APT. Det kan måske være fordi DDOS og crypto-ransomware trækker overskrifter, som folk (incl. bevillingspersoner) kan forstå.

Og på rådgivningssiden savner jeg noget om open source og communities, eksempelvis IOC og REMnux med værktøjer som Yara og Volatility.

Jeg bliver langt klogere ved at læse artikler fra f.eks. SANS-instituttet.

I det, der senere blev kendt for at være "the science war", publicerede fysikeren Alan Sokal i 1996 en artikel i et anerkendt poststrukturalistisk tidsskrift med en hypotese om at kvantemekenikken var en "konstruktion".

Det var en joke - han havde brugt buzz-words og en vrøvlegenerator.

Det burde ikke være raketvidenskab at gentage forsøget, der sagtens kunne matche en CFCS-rapport i banaliteter.

17
5. juli 2018 kl. 17:38

Hej PHK

Hvad angår cfsc's mulighed for at have en indtjening på at sælge data, kan dette findes i statsregnskabet, jeg er næsten sikker på at det må de ikke.

Jeg kan takke CFCS for at gøre mit arbejde letter, ved at jeg får serveret kriterier (minimums anbefalinger) for godt it sikkerhed. Det gør at jeg ikke selv skal argumentere for hvorfor man bla. ikke skal være lokaladministrator

16
5. juli 2018 kl. 15:23

Tak for din korrektur-læsning Arne... Er du ikke sød at bruge noget af krudtet på også at kommentere indholdet af de mange offentlige høringer vi sender ud...

De er trods alt lidt mere betydningsfulde og gennemarbejdede end de pip jeg kommer med her :-)

Go’ sommer!

15
5. juli 2018 kl. 14:56

Både det at de mangler mandat, og evne til at søge mandat er vel med til at mindske deres berettigelse.

Man burde lave en datasikkerhedsinstitution som havde mandat til at kræve konkrete tiltag i de enkelte virksomheder.

Man burde måske lave noget vurdering af CIS 20 (som er krav digitaliseringsstyrelsen anbefaler man stiller til leverandører), og lave direkte krav til operationel IT Sikkerhed.

Disse vil ikke forstås af ledere, hvilket er godt. Så kan de forhåbentlig skubbes ned til en der forstår det.

14
5. juli 2018 kl. 13:52

Nogle gange er et plakiat bedre en grundforskning eller intuition. Særligt når man gerne ville have et forudsigeligt resultat indenfor til begrænset tidsrum.

Selvfølgelig er videreformidling af udenlandske erfaringer på forståeligt dansk en vigtig opgave, så bliv endeligt ved med det. Ambitionsniveauet hos CFCS ser dog ud til at være noget højere. I øvrigt, apropos dansk: Det hedder "plagiat" og "bedre end". "ville have" er konjunktiv og udtrykker et ikke opnået ønske - du mener formodentligt "vil have". Jeg forstår ikke anvendelsen af ordet "forudsigeligt" i denne sammenhæng: Forudsigelige resultater behøver man ikke bruge meget tid på, men måske mener du "synligt" eller "brugbart". Det hedder "indenfor et begrænset tidsrum" - hvilket jeg så ikke rigtigt forstår i sammenhængen: Det er vel ikke sådan, at man standser arbejdet, hvis ikke man har nået et resultat i løbet af to timer? Er det et udtryk for at det er vigtigere, at reagere hurtigt end at reagere korrekt?

13
5. juli 2018 kl. 13:42

Viser lagkagen kun hændelser som Netsikkerhedstjenesten og deres Snort Fork har fundet eller er der også eksterne 3-parts tips med i lagkagen?

Hvis det er eksterne aktører, der har spottet en stor del af moderate, større og alvorlige hændelser, samtidig med at de mange falske positiver er fra Snort. Så viser det jo et bevidst skævt billede af virkeligheden, samt hvorfor TDC og Region H ikke gider lege med mere.

Ej, det kunne danske embedsmænd aldrig finde på. Al den tørke og dehydrering får mig til at se spøgelser.

11
5. juli 2018 kl. 12:15

En anden måde at regne på, kunne være at dele milliarden med antallet af danskere. Så ender vi på at den fælles forsikring mod det grumme udland er cirka 200 kr/år.

Jamen, jamen, jamen, det er jo ikke nogen forsikring mod "det grumme udland", udelukkende penge krigsministeriet kaster ud til at Center For Cyber Usikkerhed kan eksperimentere med cyberkrigsførelse.

Luk det, hellere i går end i dag, og fjern i samme åndedrag Digitaliseringsforstyrrelsen fra jordens overflade - nogle af pengene kunne så bruges til at styrke datatilsynet og lave et nationalt sikkerhedsråd som var til for civilsamfundet.

10
5. juli 2018 kl. 12:03

Jeg er enig med PHK om at vi (altid) skal stille spørgsmålstegn ved om vi får nok for pengene.

En anden måde at regne på, kunne være at dele milliarden med antallet af danskere. Så ender vi på at den fælles forsikring mod det grumme udland er cirka 200 kr/år.

Og hvis vi skal stille det i forhold til noget andet, så koster Digital Post os cirka 20 kr/år.

Men det svarer desværre ikke på om vi får nok for pengene :-/

Det må være op til Forsvaret at sandsynliggøre det. Selvom argumenterne nok vil ligne dem vi får om det militære forsvar generelt – "vi bidrager nok til at de store passer på os".

8
5. juli 2018 kl. 11:42

Nogle gange er et plakiat bedre en grundforskning eller intuition. Særligt når man gerne ville have et forudsigeligt resultat indenfor til begrænset tidsrum.

— fra en der er blevet ‘belønnet’ med en titel af Chefkonsulent (lige om lidt omdøbt til Seniorkonsulent) hos Digitaliseringsstyrelsen.

7
5. juli 2018 kl. 11:40

Det er ikke nok, at sende de sidste 7 dages print over kablet. Det er bedre med en kopi af ISO/IEC 27001. Hvis de er hurtige, kan de lige nå at se, at der ikke står ISO27001 eller ISO 27001. Man mister gerne troen, når man ikke engang kan få identiteten korrekt.

6
5. juli 2018 kl. 10:55

Men som jeg læser det, så er de blevet løbet over ende af papirkrigere

Ja, mange af disse IT-sikkerhedseksperter bekæmper sikkerhedsproblemer med Office-pakken, som deres eneste våben.

De har lært Ctrl+C og Ctrl+V, som de bruger flittigt til sende tekst fra primært britiske sikkerhedsanbefalinger gennem google translate, for derefter at rette lidt på fonten og margener.

I Digitaliseringsstyrelsen kalder de det best practice, som belønnes med en Chefkonsulent stilling. I gymnasiet kalder de det plagiat, som belønnes med en dumpekarakter.

5
Redaktionschef -
5. juli 2018 kl. 10:43
Redaktionschef

God analyse, Poul-Henning.

Med til at underbygge det forhold, at CFCS' rolle for it-sikkerheden i Danmark lader meget tilbage at ønske er Version2s undersøgelse fra foråret, hvor 25 procent af dem, der har it-sikkerhed som primær beskæftigelse, mener, at rådgivningen fra Center for Cybersikkerhed er dårlig eller meget dårlig - og knap halvdelen kan ikke sige den er god. https://www.version2.dk/1085008

3
5. juli 2018 kl. 10:36

Bare se på deres trusselsvurderinger (som de mener er alignede med de generelle niveauer).

Hvis trusselsniveauet for hospitalssektoren er "meget højt", så er der vel en hær af CFCS folk på vej ud til regionerne, hvor de overtager kontrolrummet, og sørger for at alt er klart til at imødegå det kommende næsten uundgåelige angreb.

Det er ihvertfald sådan at jeg havde forestillet mig at de burde fungere. Flere små indsatsstyrker / SWAT teams der med øjebliks varsel kan rykke ud og forsvare os.

Men som jeg læser det, så er de blevet løbet over ende af papirkrigere der mener at man kan smide bunken med de 7 sidste dages print ovenpå kablet, og så er der lukket.

Når rigsrevisionen har rejst en masse kritikpunkter af offentlige myndigheder, så burde CFCS sende en mand ud der sikrer at de relevante myndigheder løser problemerne. Eller ændre sine anbefalinger, så det er tydeligt hvad man bør og skal. Og man skal mene skal hvis det står skal.

For forskellen på Skal/bør/må så kan man eksempelvis se her:https://tools.ietf.org/html/rfc2119

1
5. juli 2018 kl. 10:13

I seneste jobopslag fra FE, vil de have nye folk til cybersikkerhed. Læs implicit: Helst cand. politter eller jurister. De skal mødes med andre cand. politter og jurister fra Digitaliseringsstyrelsens kontor for cybersikkerhed og sammenligne ISO 27001 skabeloner. Vi kommer til at leve i verdens meste sikre land... på papiret.

Der er også håb for Politiets nye center for IT relateret økonomisk kriminalitet (LCIK).

De hyrer HK-ere og flere cand. politter til at løse sagerne og bekæmpe den voksende IT-kriminalitet.

Den største trussel mod IT-sikkerheden i Danmark er ikke Rusland eller Rumænske IT-kriminelle, men den danske hær af Djøffer, der skaber flere problemer end de løser.