Dette indlæg er alene udtryk for skribentens egen holdning.

Offentlig IT -- endnu en nedsmeltning

30. september 2014 kl. 09:306
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Jeg ved gennem venner og bekendte hvorledes sikkerhedsarbejdet er organiseret rundt omkring, men det er desværre ikke noget man er ret glade for at tale offentligt om, så det er ret begrænset hvad offentligheden ved om den slags og ikke meget jeg kan afsløre af detaljer.

Hvad jeg kan sige med 100% sikkerhed er at ingen af de mange firmaer har en politik der siger "Vi reagerer ikke på andres meldinger om, at det er farligt. Der er altid noget, der er farligt. I stedet kigger vi på, om der rent faktisk er nogen, der forsøger at udnytte sårbarheden, før vi melder ud" som GovCerts Thomas Kristmar citeres for.

Jeg er sikker på at medarbejderne i GovCert gør hvad de kan, givet resourcer, evner, mandat og resort.

Den korrekte og ansvarlige handling havde været hvis GovCert, så snart de havde verificeret at bash vitterlig var en åben ladeport, sendte en broadcast til alt og alle i offentlig IT der lød:

Artiklen fortsætter efter annoncen

"Så lukker vi alt offentlig IT med hemmelige eller personhenførbare oplysninger. I må åbne igen når I har overbevist os om at I har lukket alle eventuelle huller i denne kontext."

Det mandat har GovCert imidlertid ikke og det er der heller ikke nogen andre der har, mindst af alt det udelukkende ornamentale Datatilsyn.

Folketinget ved udemærket hvordan man skal lovgive om teknologiske farezoner, her er f.eks hvordan de senest gjorde det:

§ 6. En tilladelse kan kaldes tilbage, såfremt:

Artiklen fortsætter efter annoncen

1) væsentlige forudsætninger for tilladelsen viser sig ikke at have været til stede,

2) der sker tilsidesættelse af stillede vilkår eller

3) hensynet til sikkerheden eller anden tvingende grund i øvrigt kræver standsning eller nedlæggelse af anlægget.

§ 7. Miljøstyrelsen og sundhedsstyrelsen har adgang til at fordre sig meddelt enhver oplysning, der af disse myndigheder skønnes af betydning for sikkerheden. De kan til enhver tid uden retskendelse mod behørig legitimation fordre adgang til at udøve tilsyn på anlægget under bygning og drift eller hos leverandører til anlægget. De kan meddele pålæg, som er fornødne til at sikre overholdelsen af opstillede vilkår og betingelser, eller som i øvrigt skønnes nødvendige af sikkerhedsmæssige grunde, ligesom de i påtrængende tilfælde af sikkerhedsmæssige grunde kan forlange brugen af anlægget standset, indtil der er taget stilling til, om og i bekræftende fald hvornår brugen af anlægget kan genoptages.

Erstat "Miljøstyrelsen" med "Datatilsynet" og "sundhedsstyrelsen" med "GovCert" og vi er meget tæt på de magtbeføjelser der er brug for indenfor IT-sikkerhed.

Indtil Folketinget fatter at IT sikkerhed kræver noget i samme kaliber, fortsætter nedsmeltningerne i den offentlige IT.

phk

6 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
30. september 2014 kl. 11:00

Du har ret og det er sørgeligt at IT-sikkerhed ikke bliver taget mere alvorligt i Folketinget :-/

3
1. oktober 2014 kl. 05:02

Erstat "Miljøstyrelsen" med "Datatilsynet" og "sundhedsstyrelsen" med "GovCert" og vi er meget tæt på de magtbeføjelser der er brug for indenfor IT-sikkerhed.</p>
<p>Indtil Folketinget fatter at IT sikkerhed kræver noget i samme kaliber, fortsætter nedsmeltningerne i den offentlige IT.

..skete ifm. tiltrædelsen af den nuværende regering. De var mere optaget af at opløse en allerede dysfunktionel struktur og sprede stumperne ud over mange ministerier.

Set i bakspejlet lever antagelig den ældgamle magtkamp fra 1980-90'erne om en central vs en decentral struktur ganske glimrende endnu. Således at alle melder hus forbi, og nøjes med at pusler om sit eget begrænsede mandat.

En koncentration hos GovCert vil kun åbne Pandoras æske med nye rædsler til følge.. helheden skal restruktureres, og der skal ikke sys den 127'de lap på. Sikkerhed(kontrol) og drift skal adskilles på samme vis som revisionen ikke har gulerødderne i driften eller bogføringen.

  1. Enheden som skal "..fordre adgang til at udøve tilsyn på anlægget.." - altså opdateret viden og magter hands-on, er ikke eksisterende. På it-området en enhed svarende til 'Rejseholdet' og 'Bagmandspolitiet'.

  2. Tilsvarende mangler varslingsenhed ifm. it-sikkerhed til mindre private anlæg & borgerne meget lig med Vejdirektoratets trafikinfo. 117 styrelser og alle kommuner render hver for sig stadig rundt og leger it sikkerhedsrådgiver; ubegavet og spild af krudt.

Både Registertilsynet samt Frelle-Petersens flok i Digitaliseringsstyrelsen er jo operationelle i § og papirkrig, og teori bider ikke på it-systemer i virkelighedens verden.

Forud for regeringens medlidenhedsdrab så var der i nullerne et forsøg på at samle it-systemerne og noget drift hos Skat, lignende en koncentration, men også den udvikling røg i grøften, og den planlagte chef tog sit gode tøj og forlod slagmarken.

Delt ansvar er lig med alle og ingen - perfekt til at slippe for ansvar.

4
1. oktober 2014 kl. 09:07

den nuværende regering

Det her handler ikke om rød/blå mudderkastning: den forrige regering satte en pauseklovn på området.

Problemet er at politikerne simpelthen ikke har gjort sig klart at IT er en teknologi der kan forvolde skader og derfor ikke har konstrueret et apparat til at holde styr på risikoen.

6
1. oktober 2014 kl. 13:45

Det her handler ikke om rød/blå mudderkastning: ...

Nej da, den slags må du sør'm selv ordne med din egen skriftefader.. ;)

Tunnelsyn fanger ikke det jeg skrev - en gang til.

I øjeblikke kan man på it-område selv opfinde X, implementer X og revider X - udvikling, drift og revision/kontrol (data og sikkerhedsmæssigt) er ikke adskilt.

Vi har en Rigsrevision, der tager sig af mønterne og deres anvendelse. De refererer til det politiske organ Statsrevisorerne.

Hvor er tilsvarende 'RigsDataRevision' der tager sig af data og datasikkerhed og refererer til folketingets 'StatsDataRevision', der heller ikke findes ?

Samfundets og borgernes data er da lige så meget eller mere værd, end de småpenge, der ligger hos kasserer - men lige der laves der en eller anden form for kontrol og 'kasseeftersyn' af mønter, sedler og beholdninger. Hvor mange uanmeldt dataeftersyn foretages der, og af hvem ?

Når det er it må man gerne undersøge sig selv datamæssigt og sikkerhedsmæssigt og dømme sig selv - underligt. Bortset fra de få sager, hvor Rigsrevisionen (dem med mønterne) drejer kasketten en halv omgang og optræder som 'RigsDataRevision' eller drejer den en kvart omgang og nu er 'RigsSikkerhedsRevision' ;)

..ikke har konstrueret et apparat til at holde styr på risikoen..

Du fangede dog retningen men ikke indholdet ;)