Artikel top billede

(Foto: Povl D. Rasmussen)

KMD skyder budbringeren med klodset politianmeldelse: Lad os nu få en fælles whistleblower-ordning

ComputerViews: Med politianmeldelsen af Esben Warming skriver KMD sig ind i, hvad der er ved at blive en uheldig tradition for at retsforfølge borgere, der gør opmærksom på sikkerhedshuller i offentlige it-systemer. It-branchen har brug for en fælles whistleblower-ordning.

ComputerViews: Google, Apple og Microsoft belønner it-eksperter, der gør opmærksom på alvorlige sikkerhedshuller i deres produkter. KMD politianmelder.

Mens de amerikanske it-giganter årligt udbetaler betragtelige millionbeløb til it-eksperter, der finder fejl i deres software, indtager KMD med politianmeldelsen af Esben Warming et standpunkt, der er unødvendigt defensivt - og dårligt for sikkerheden i de offentlige it-systemer, vi alle sammen bruger.

Der er sårbarheder i al software, og når it-kyndige borgere finder og gør opmærksom på dem, så gør de os allesammen en tjeneste.

Det er gratis konsulentbistand for virksomhederne, men KMD er ikke det eneste selskab, der har en udfordring med at kende forskel på "hacking" og "værdifulde gratis konsulentydelser".

I 2015 blev en dansk familiefar meldt til politiet af it-firmaet Infoba for at have opdaget et sikkerhedshul i intranettet i sin søns børnehave.

Det er efterhånden ikke svært at forstå, hvis man som it-kyndig dansker ikke tør henvende sig til en dansk it-virksomhed, når man finder graverende huller i sikkerheden.

Gråzone gør whistleblower-ordning nødvendig

Sagen er dog ikke helt sort hvid.

Hvis man vil påvise, at et system er sårbart over for hackerangreb, er det ofte en del af processen at udføre et, ja, hackerangreb.

Den letteste (eneste?) måde at bevise, at man kan bryde ind i et system på, er at bryde ind i systemet, og så har man jo i princippet gjort noget ulovligt - også selvom hensigten er god.

Man fortæller heller ikke banken, at den er sårbar over for røverier, ved at røve den, og det er en hårfin balance, når den gode it-samaritaner skal skabe et proof-of-concept uden at gøre sig selv til kriminel.

Især fordi der for it-firmaerne ofte står millioner på spil, hvis eller når det afsløres, at deres produkter er så sårbare, at en dedikeret enkeltperson kan tappe dem for data. 

Det er derfor fristende for firmaerne at møde afsløringer med en benægtelse, som i dedikation kan minde om Monty Pythons legendariske papegøje-sketch, hvor en stædig dyrehandler insisterer på at en stendød papegøje bare tager sig en lur (se den her).

Blandt andet derfor kan det være fristende at skaffe sig opmærksomhed gennem pressen.

Det skal vi være de sidste til at beklage, for det er som regel gode historier, der tiltrækker mange læsere. 

Men resultatet kan blive en ond cirkel, hvor it-leverandører afviser problemer, ender i pressen med ridser i lakken og næste gang i endnu stærkere vendinger benægter problemer.

Lægger du desuden en politianmedelse oven i sagsgangen, så tørrer villigheden til at gøre opmærksom på fejlene hurtigt op. 

Til skade for brugerne, borgerne og hele Danmark.

Dialog højner sikkerheden

Derfor bør it-branchen arbejde for at etablere en fælles, anonym whistleblower-ordning. Med fælles klare linjer for indberetning og professionel modtagelse af de indberetninger. 

Det ville sikre at der tages et fælles ansvar og sende et tydeligt signal om, at sikkerhed tages dybt seriøst i branchen.

Der vil altid være sikkerhedshuller i systemerne, og det vil være en fordel for alle, at de velmenende it-kompetencer, der finder dem, kan indrapportere det uden fare for at få en retssag på halsen.

De amerikanske it-giganter har for længst forstået, at dialog højner sikkerheden.

Men hvis KMD og den danske it-branche bliver ved med at skræmme it-kompetente borgere væk, ender det med, at de kriminelle hackere er de eneste, der tør lede efter sikkerhedshuller.

Og så har vi allesammen et problem. Derfor bør branchen lægge sig i selen for at løse det.

Læs også: Sikkerhedseksperter kritiserer KMDs politianmeldelse: "Det er grotesk, at man skal være bange for at indrapportere usikre systemer"

Hvad mener du? Giv dit besyv med i debatfeltet herunder.