It-souschef i Udenrigsministeriet: "Vi bliver nødt til at tænke vores løsninger på en radikalt anderledes måde"

Interview: Hidtil har Udenrigsministeriet kørt sine data gennem et krypteret netværk, hvor alt skulle via København, men den ordning kan ikke fungere længere. I stedet arbejdes med et begreb, der kaldes 'tilstrækkeligt beskyttet'. "Vi skal tænke vores løsninger på en radikalt anderledes måde," fortæller it-souschef Kenneth Bülow.

Udenrigsministeriets it-afdeling skal primært holde styr på danske data i udlandet inden for handelsfremme, udviklingsbistand, borgerservice og ikke mindst diplomatiets fortrolige forhandlinger.

En af de it-folk, der står i spidsen for at holde sikkerheden i en kort snor, er Kenneth Bülow, der er it-souschef i Udenrigsministeriet.

Det gør han sammen med en it-afdeling med godt 50 ansatte, der suppleres med eksterne konsulenter, når opgaven kræver det.

Ministeriet har en traditionelt opbygget it-struktur med alt fra drift over service desk og til udvikling, men afdelingen står i øjeblikket midt i et skifte mellem, hvad man gjorde tidligere, og hvad man ønsker at gøre i fremtiden, fortæller Kenneth Bülow.

"Gennem de seneste mange år har vi opbygget et kæmpe it-apparat, men verden og teknologierne har ændret sig meget, og vi har erkendt, at der er noget af det gamle, der ikke mere kan opgraderes. Vi skal tænke vores løsninger på en radikalt anderledes måde."

Indtil for tre til fire år siden har Udenrigsministeriets it-afdeling været kendetegnet ved primært at skulle håndtere drift.

"Vi havde ikke en proaktiv tilgang, hvor man går ud for at spørge organisationen om, hvad den har brug for."

Forretningen er kommet på dagsordenen, og i det seneste års tid har ministeriet set infrastrukturen godt og grundigt efter i sømmene, og man er kommet frem til, at der skal ændres fundamentalt på tingene ikke mindst på sikkerhedsområdet.

"Både infrastrukturen og applikationer skal stilles overfor nogle skarpere krav. Governance-aspektet og styring fylder nu rigtig meget," fortæller han og fortsætter:

"Cloud har indtil for kort tid siden eksempelvis været no-go hos os. Når cloud er blevet nævnt, så er det blevet efterfulgt af et argument om, at det er ikke sikkert nok i forhold til vores krav. Det er mit indtryk, at holdning lige så stille begynder at løsne op også indenfor forsvaret og politiet, men vi går lidt og venter på hvem, der tør tage de første spring," fortæller han.

Cloud var et fy-ord
Andre udenrigsministerier rundt omkring i Europa er så småt begyndt at lægge nogle data ud i skyen. Men processen handler i høj grad om at få kategoriseret sine data på en solid og sikker måde, da de følsomme oplysninger skal holdes tættere til jordoverfladen.

Du siger, at cloud har været et fy-ord, men at holdninger er ved at ændre sig. Hvad er der sket?

"Der er det rent tekniske aspekt, om det er sikkert eller ej. Den modenhed er ved at være der og i visse sammenhænge, er det faktisk mere sikkert at have sine data i skyen. Det andet aspekt handler om forståelse. Hvad er cloud egentlig for en størrelse? Hvis man ikke forstår tingene, er det altid nemmere bare at sige nej. Det handler også om tryghed. Når serveren står i rummet, så føler man sig helt naturligt mere sikker."

Så cloud handler også om psykologi?

"Der er helt sikkert et mentalt aspekt. Organisationen skal tro på, at teknologierne er sikre nok og tro på, at der er styr på data."

Men det giver vel også god mening at anvende cloud, når man er så udadvendte, som I er?

"Helt sikkert. Traditionelt har Udenrigsministeriet været en meget lukket og hemmelig organisation med en 'koldkrigstankegang'. Det er også et af de mål, som vi arbejder på at ændre. Det er nu blevet et helt officielt statement, at vi er en netværksorganisation. Vi lever af samarbejdet med partnere i både ind- og udland og må derfor nødvendigvis være åbne. Lidt populært sagt er vi en informationsvirksomhed."

Men der er vel også brug for lukkethed eller sikkerhed på nogen områder? Medarbejderne i diplomatiet kan have behov for mobilitet, men samtidig en høj grad af sikkerhed, da man ikke kan risikere spionage.

"Sikkerhed fylder meget i alle sammenhænge. Handelsmedarbejdere, der skal fremme danske interesser, rejser eksempelvis rundt i hele verden, og de har behov for sikre mobile data. Et eksempel på det er Apples datacenter i Jylland. Alle informationer blev holdt indenfor vores egne rammer frem til nyheden blev lanceret. Det er vigtigt, at vi kan overholde det sikkerhedsniveau."

Er der specielle sikkerhedsforanstaltninger inden for handel i forhold til eksempelvis udviklingsbistand?

"Vi vil gerne standardisere, så tingene overlapper på de forskellige områder. Men med hensyn til udviklingsbistand er det helt anderledes. Her handler det om transparens, så offentligheden eksempelvis kan se, hvad pengene bliver brugt til."

Tilstrækkeligt beskyttet er ok
I Udenrigsministeriet arbejder man ud fra en model, der hedder 'adequately protected'.

Det handler ikke bare om at sikre alt, men om at beskytte til det niveau, der er nødvendig.

"Jo mere vi skal sikre, jo mere koster det også. Den udfordring er spændende, når det handler om sikkerhed. At finde balancen mellem økonomi og sikkerhed. Det handler både om den ansatte, arbejdsområdet, og hvilket lokalitet vedkommende arbejder på."

På visse ambassader er der eksempelvis sikre områder, hvor lokaltansatte ikke må komme på grund af sikkerhed.

Hvad gør I helt konkret? Bruger I kryptering, eller hvordan håndterer i udfordringerne?

"Her forsøger vi at rykke os fra koldkrigstankegangen, hvor alt skal være krypteret. Vi har et globalt, internt, netværk, der blev bygget for femten år siden, og hvor alle data ryger over København. Det er topsikkert, og det fungerer helt fint, men det er rasende dyrt at bruge ikke mindst på grund af de stigende datamængder. Her må vi gøre op med os selv og finde nye veje."

Så I begynder at hive data ud af jeres sikre netværk?

"Ja. Det giver eksempelvis ikke mening, at Facebook-data ryger gennem et netværk, der er krypteret efter militær-standard. Vi skal differentiere vores datatrafik, så det der er beskyttet, forbliver beskyttet og resten kan så køre via mere eller mindre normale kanaler," fortæller Kenneth Bülow.

Foregår alt egentlig digitalt, eller sker der dataudvekslinger via kufferter med papirer, som man ser det i tv-film?

"Der er stadig sager, der går via kurerer, men som udgangspunkt er alt digitalt. Det mener jeg nu også er langt mere sikkert."

Hvad er den største udfordring, som I står overfor i de kommende år?

"Det er helt sikkert at få opdelt vores data efter sikkerhedsniveau. Vi har de sikre transportveje, nu skal vi så finde de rigtige data til de rigtige kanaler og til den rigtige pris. Den verden hvor vi troede, at vi kunne garantere topsikkerhed over hele linjen, er nok forbi. Og det er også helt ok."

Læs også:

Når CIO'en selv skal stå skoleret: Her er it-chefens egen chef

Mød Danmarks fem bedste CIO'er: Her er deres vigtigste it-opgaver lige nu (og sådan løser de dem)




Premium
Energinet udskyder kæmpe-outsourcing til KMD med flere måneder: ""Vi er blevet klogere, og derfor rykker vi datoen"
Interview: Den store transitionen i Energinets omfattende outsourcing-aftale med KMD er udskudt i tre måneder. "Vi er blevet klogere, og derfor rykker vi datoen," siger selskabets CIO, Morten Gade Christensen. Få indblik i forløbet her.
Computerworld
TDC ruller gratis fiber ud til 5.100 danske husstande - se adresserne her
TDC går i gang med at udruller fiber til tusindvis af danske husstande i Odens, Nordsjælland og Storkøbenhavn. Se hvor TDC’s gravemaskiner kommer forbi med tilbud om gratis fiber-opkobling.
CIO
Podcast: Hos Viking Life-Saving Equipment er it gået fra at være backend til at være noget, som kunderne spørger aktivt efter
Podcast, The Digital Edge: Viking leverer en stadig større del af deres produkt som en tjeneste. Som en del af tjenesten tager Viking ansvar for sikkerheden ved at levere, dokumentere og vedligeholde det nødvendige sikkerhedsudstyr. Hør hvordan Henrik Balslev senior digital director hos Viking har løftet den opgave.
Job & Karriere
Regner din ferie væk? Brug tiden på at søge en af disse otte stillinger, der er ledige netop nu
Det sjasker ned over hele Danmark. Du kan bruge de våde sommerdage på at søge et af disse otte job, der er ledige lige nu.
White paper
Sådan: Fem måder at sikre dine medarbejdere på hjemmekontoret
Gennem de seneste år har arbejde hjemmefra vundet langt større gehør, selv i relativt traditionelt indstillede virksomheder, og med Covid-19 blev det i perioder en uomgængelig del af hverdagen. Men alt tyder på, at et langt mere fleksibelt arbejdsliv er kommet for at blive, også når corona slipper sit greb. Hjemme er medarbejderne – og i særdeleshed de systemer og data, de har adgang til – imidlertid langt mere udsatte for cyberangreb end bag virksomhedens firewall og andre sikkerhedsforanstaltninger. På den ene side er der altså behov for let og fleksibel adgang til centrale værktøjer og en udstrakt grad af self-service. På den anden side er det helt afgørende at sikre medarbejder, data og systemer mere grundigt end hidtil – også udenfor virksomhedens eget netværk. I denne hvidbog kan du læse mere om, hvordan værktøjerne i RSA SecurID Access kan være med til at løfte opgaven.