Tilbage til artiklen: Formand: Fjern it-råd fra Helge Sander
Subject: IT-Sikkerhed i digitaliseringsprocessen - det handler om organisering...
Kære IT-ordførere,
Jeg tillader mig at kontakte jer direkte, idet jeg som formand for Dansk IT's Råd for IT- og Persondatasikkerhed, er bekymret omkring styringen af it-sikkerheden i den offentlige Digitaliseringsproces.
Ikke mindst set i lyset af de seneste ugers offentlige debat omkring it-sikkerhedsråd, paneler og eventuelle komitéer.
Videnskabsminister Helge Sander fremkom for nylig med sit bud på en fremtidig forankring af IT-Sikkerheden i Danmark, og ikke så underligt har denne plan om en it-sikkerhedskomité placeret IT- og Telestyrelsen, der selv har udfærdiget planen, helt centralt.
Der er to overordnede bekymringer:
1. Fokus for komitéen er samfundet som helhed (samfundet, virksomhederne og borgerne), og ikke som det bør være: Digitaliseringsstrategien.
2. Forankringen er fortsat under VTU, hvilket historisk set er meget uheldigt, da det bliver svært at få reel tværoffentlig indflydelse.
Råd for IT- og Persondatasikkerhed foreslår at I som IT-ordførere overvejer følgende perspektiv:
- -
Ad 1: Fokus:
Det er fint nok, at man ønsker en it-sikkerhedskomité, som skal have ovennævnte fokus.
Men for nu at være helt ærlig, så løser IT- og Telestyrelsen faktisk den opgave ganske fint uden en sådan komité (se f.eks.: http://www.itst.dk/it-sikkerhed).
Forslaget om en komité virker således mest som gammel vin på nye flasker, og et forsøg på blot at dæmme op for politisk kritik.
Det er uetisk overfor deltagerne i komitéen, da det i virkeligheden er spild af deres gode kræfter, tid og kompetence.
Men idéen kan faktisk med få virkemidler blive rigtig god, hvis fokus ændres, og forankringen sker det rigtige sted.
Fokus bør således istedet være den offentlige digitaliseringsstrategi's implementering i samfundet.
Det er jo dér it-sikkerheden i praksis skal ske lige nu, og en it-sikkerhedsstyrekomité som en slags "samfundets referencegruppe" vil være et rigtig godt...fortsættes
...værktøj til at få det rette niveau af it-sikkerhed og persondatabeskyttelse bygget ind fra starten.
Ad 2: Forankringen:
Helt kort: Forankringen af it-sikkerheden i Danmark, og den omtalte it-sikkerhedskomité, bør ligge under Den Digitale Taskforce (Finansministeriet), og ikke under IT- og Telestyrelsen (VTU).
ITST's it-sikkerhedskompetence center kan imidlertid godt være det sted man henter konkret hjælp og vejledning, men de bør ikke lede processen.
Som i nogle af verdens største virksomheder (der har it-infrastrukturer der ofte er pænt mere omfattende end den danske stat), forankres det overordnede ansvar for it-sikkerhed typisk hos Finansdirektøren, mens IT-Direktøren har ansvaret for IT-driften.
Analogien til vores samfund er ret tydelig, og jeg er sikker på at modellen også vil have betydelig positiv effekt i en statslig sammenhæng.
Ikke mindst fordi it-sikkerhedsprocessen har karakter af kontrol (og man kan nu engang ikke kontrollere sig selv effektivt (funktionsadskillelse!)).
Hvis digitaliseringen skal være både sikker, driftstabil og omkostningseffektiv, så skal der være stærk styring.
Rent it-sikkerhedsmæssigt er der ret mange praktiske forhold at tage stilling til:
1. Statens samlede it-sikkerhedspolitik, vejledninger og standarder
2. Infrastruktur perimeter sikkerhed (hvordan undgår vi indbrud fra uvedkommende)
3. Antivirus, antispyware, antispam osv (hvordan undgår vi at blive ramt af nedbrud forårsaget af dette)
4. Sårbarhedstilstanden (hvordan sikrer vi os at systemerne ikke kan hackes eller er sårbare mod orme og "trojanske heste")
5. Risikostyring
6. Katastrofe og beredskabsplaner (hvad gør vi hvis systemerne er nede - sygehuse mv.)
7. Rollebaseret adgangskontrol (hvem har adgang til hvilke data og med hvilken hjemmel)
8. Kryptering af data (emails, datastrømme osv.)
9. Revision af systemerne og dets kontroller
10.Overholdelse af love og regler (persondataloven, registerloven, grundloven osv.)
Blot for at nævne nogle af de mange forhold der skal styres.
- -
Generelt kan man sige, at leder man ikke it-sikkerheden stramt (som digitaliseringen i øvrigt), så vil der ske alverdens suboptimeringer, systemer vil være dårligt beskyttet og svigte forskellige steder.
Det vil føre til dårlig håndtering af deres personfølsomme data, samt unødvendigt spild af skatteydernes penge på senere at skulle rydde op.
De eneste ministerier der kan stå for en sådan styring er Statsministeriet (rent teoretisk) eller mere realistisk, Finansministeriet!
Det kommer ikke til at ske under Videnskabsministeriet, uanset hvor gode intentionerne end måtte være.
Heller ikke Skatteministeriet, som der jo tales om som it-driftansvarlig, skal stå for it-sikkerheden jf. ovennævnte funktionsadskillelses princip.
Såfremt I måtte ønske en mere direkte dialog om dette emne, stiller jeg mig naturligvis gerne til rådighed for et møde hvor vi kan drøfte de udfordringer samfundet og I som IT-ordførere står overfor i den sammenhæng.
NB: Råd for IT- og Persondatasikkerhed bliver iøvrigt ikke berørt af etableringen af en eventuel it-sikkerhedskomité, idet vi ufortrødent vil fortsætte med at fungere som de danske samfundsborgeres eneste helt uafhængige it-sikkerhedsråd.
Denne email er i sig selv et godt eksempel på vores eksistensberettigelse.
Jeg ser frem til at høre jeres bemærkninger, og håber ellers på en god og konstruktiv debat om emnet.
På forhånd tak.
Med venlig hilsen,
Kim Aarenstrup
Formand
RÅD FOR IT- OG PERSONDATASIKKERHED
http://www.itsikkerhedsraad.dk
Tilbage til artiklen: Formand: Fjern it-råd fra Helge Sander
