KMD skyder budbringeren med klodset politianmeldelse: Lad os nu få en fælles whistleblower-ordning

ComputerViews: Med politianmeldelsen af Esben Warming skriver KMD sig ind i, hvad der er ved at blive en uheldig tradition for at retsforfølge borgere, der gør opmærksom på sikkerhedshuller i offentlige it-systemer. It-branchen har brug for en fælles whistleblower-ordning.

ComputerViews: Google, Apple og Microsoft belønner it-eksperter, der gør opmærksom på alvorlige sikkerhedshuller i deres produkter. KMD politianmelder.

Mens de amerikanske it-giganter årligt udbetaler betragtelige millionbeløb til it-eksperter, der finder fejl i deres software, indtager KMD med politianmeldelsen af Esben Warming et standpunkt, der er unødvendigt defensivt - og dårligt for sikkerheden i de offentlige it-systemer, vi alle sammen bruger.

Der er sårbarheder i al software, og når it-kyndige borgere finder og gør opmærksom på dem, så gør de os allesammen en tjeneste.

Det er gratis konsulentbistand for virksomhederne, men KMD er ikke det eneste selskab, der har en udfordring med at kende forskel på "hacking" og "værdifulde gratis konsulentydelser".

I 2015 blev en dansk familiefar meldt til politiet af it-firmaet Infoba for at have opdaget et sikkerhedshul i intranettet i sin søns børnehave.

Det er efterhånden ikke svært at forstå, hvis man som it-kyndig dansker ikke tør henvende sig til en dansk it-virksomhed, når man finder graverende huller i sikkerheden.

Gråzone gør whistleblower-ordning nødvendig
Sagen er dog ikke helt sort hvid.

Hvis man vil påvise, at et system er sårbart over for hackerangreb, er det ofte en del af processen at udføre et, ja, hackerangreb.

Den letteste (eneste?) måde at bevise, at man kan bryde ind i et system på, er at bryde ind i systemet, og så har man jo i princippet gjort noget ulovligt - også selvom hensigten er god.

Man fortæller heller ikke banken, at den er sårbar over for røverier, ved at røve den, og det er en hårfin balance, når den gode it-samaritaner skal skabe et proof-of-concept uden at gøre sig selv til kriminel.

Især fordi der for it-firmaerne ofte står millioner på spil, hvis eller når det afsløres, at deres produkter er så sårbare, at en dedikeret enkeltperson kan tappe dem for data. 

Det er derfor fristende for firmaerne at møde afsløringer med en benægtelse, som i dedikation kan minde om Monty Pythons legendariske papegøje-sketch, hvor en stædig dyrehandler insisterer på at en stendød papegøje bare tager sig en lur (se den her).

Blandt andet derfor kan det være fristende at skaffe sig opmærksomhed gennem pressen.

Det skal vi være de sidste til at beklage, for det er som regel gode historier, der tiltrækker mange læsere. 

Men resultatet kan blive en ond cirkel, hvor it-leverandører afviser problemer, ender i pressen med ridser i lakken og næste gang i endnu stærkere vendinger benægter problemer.

Lægger du desuden en politianmedelse oven i sagsgangen, så tørrer villigheden til at gøre opmærksom på fejlene hurtigt op. 

Til skade for brugerne, borgerne og hele Danmark.

Dialog højner sikkerheden
Derfor bør it-branchen arbejde for at etablere en fælles, anonym whistleblower-ordning. Med fælles klare linjer for indberetning og professionel modtagelse af de indberetninger. 

Det ville sikre at der tages et fælles ansvar og sende et tydeligt signal om, at sikkerhed tages dybt seriøst i branchen.

Der vil altid være sikkerhedshuller i systemerne, og det vil være en fordel for alle, at de velmenende it-kompetencer, der finder dem, kan indrapportere det uden fare for at få en retssag på halsen.

De amerikanske it-giganter har for længst forstået, at dialog højner sikkerheden.

Men hvis KMD og den danske it-branche bliver ved med at skræmme it-kompetente borgere væk, ender det med, at de kriminelle hackere er de eneste, der tør lede efter sikkerhedshuller.

Og så har vi allesammen et problem. Derfor bør branchen lægge sig i selen for at løse det.

Læs også: Sikkerhedseksperter kritiserer KMDs politianmeldelse: "Det er grotesk, at man skal være bange for at indrapportere usikre systemer"

Hvad mener du? Giv dit besyv med i debatfeltet herunder.



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

CIO
"På 11 minutter blev vores computere ramt af den frygtede Petya ransomware-skærm"
"På 11 minutter blev vores computere ramt af den frygtede Petya ransomware-skærm. Først troede vi, at det bare ville blive en aften uden email, og at de ville fikse det i løbet af natten. Men næste morgen var der krisemøde, og vi fik at vide, at vi ville være nede i lang tid."
Comon
Oversigt: Her er de bedste Android-smartphones der kan købes i Danmark
Det vrimler med spændende Android-smartphones på markedet. Vi har samlet en oversigt over de bedste Android-telefoner, du kan købe herhjemme netop nu.
Job & Karriere
IBM’s Watson har gennemlæst 600 jobopslag, og snart kan der blive vendt op og ned på vores jobsøgning
Kunstig intelligens kan forandre den måde virksomheder rekrutterer på. Derfor har IBM netop gennemført et stort forsøg med Danmarks største erhvervsskole.
White paper
Er din virksomhed (måske) på vej ud i skyen? … her er tre mulige strategier og alle de vigtigste overvejelser
For langt de fleste virksomheder er cloud en uundgåelig del af fremtiden. Men hvordan skal man gribe det projekt an? Dette whitepaper fra EG fyldt med værdifulde input til de virksomheder, som står på tærsklen til at tage beslutningen - analyser, refleksioner, opmærksomhedspunkter og anbefalinger, som kan være en støtte i overvejelserne og undersøgelsen forud for beslutningen.