KMD skyder budbringeren med klodset politianmeldelse: Lad os nu få en fælles whistleblower-ordning

ComputerViews: Med politianmeldelsen af Esben Warming skriver KMD sig ind i, hvad der er ved at blive en uheldig tradition for at retsforfølge borgere, der gør opmærksom på sikkerhedshuller i offentlige it-systemer. It-branchen har brug for en fælles whistleblower-ordning.

ComputerViews: Google, Apple og Microsoft belønner it-eksperter, der gør opmærksom på alvorlige sikkerhedshuller i deres produkter. KMD politianmelder.

Mens de amerikanske it-giganter årligt udbetaler betragtelige millionbeløb til it-eksperter, der finder fejl i deres software, indtager KMD med politianmeldelsen af Esben Warming et standpunkt, der er unødvendigt defensivt - og dårligt for sikkerheden i de offentlige it-systemer, vi alle sammen bruger.

Der er sårbarheder i al software, og når it-kyndige borgere finder og gør opmærksom på dem, så gør de os allesammen en tjeneste.

Det er gratis konsulentbistand for virksomhederne, men KMD er ikke det eneste selskab, der har en udfordring med at kende forskel på "hacking" og "værdifulde gratis konsulentydelser".

I 2015 blev en dansk familiefar meldt til politiet af it-firmaet Infoba for at have opdaget et sikkerhedshul i intranettet i sin søns børnehave.

Det er efterhånden ikke svært at forstå, hvis man som it-kyndig dansker ikke tør henvende sig til en dansk it-virksomhed, når man finder graverende huller i sikkerheden.

Gråzone gør whistleblower-ordning nødvendig
Sagen er dog ikke helt sort hvid.

Hvis man vil påvise, at et system er sårbart over for hackerangreb, er det ofte en del af processen at udføre et, ja, hackerangreb.

Den letteste (eneste?) måde at bevise, at man kan bryde ind i et system på, er at bryde ind i systemet, og så har man jo i princippet gjort noget ulovligt - også selvom hensigten er god.

Man fortæller heller ikke banken, at den er sårbar over for røverier, ved at røve den, og det er en hårfin balance, når den gode it-samaritaner skal skabe et proof-of-concept uden at gøre sig selv til kriminel.

Især fordi der for it-firmaerne ofte står millioner på spil, hvis eller når det afsløres, at deres produkter er så sårbare, at en dedikeret enkeltperson kan tappe dem for data. 

Det er derfor fristende for firmaerne at møde afsløringer med en benægtelse, som i dedikation kan minde om Monty Pythons legendariske papegøje-sketch, hvor en stædig dyrehandler insisterer på at en stendød papegøje bare tager sig en lur (se den her).

Blandt andet derfor kan det være fristende at skaffe sig opmærksomhed gennem pressen.

Det skal vi være de sidste til at beklage, for det er som regel gode historier, der tiltrækker mange læsere. 

Men resultatet kan blive en ond cirkel, hvor it-leverandører afviser problemer, ender i pressen med ridser i lakken og næste gang i endnu stærkere vendinger benægter problemer.

Lægger du desuden en politianmedelse oven i sagsgangen, så tørrer villigheden til at gøre opmærksom på fejlene hurtigt op. 

Til skade for brugerne, borgerne og hele Danmark.

Dialog højner sikkerheden
Derfor bør it-branchen arbejde for at etablere en fælles, anonym whistleblower-ordning. Med fælles klare linjer for indberetning og professionel modtagelse af de indberetninger. 

Det ville sikre at der tages et fælles ansvar og sende et tydeligt signal om, at sikkerhed tages dybt seriøst i branchen.

Der vil altid være sikkerhedshuller i systemerne, og det vil være en fordel for alle, at de velmenende it-kompetencer, der finder dem, kan indrapportere det uden fare for at få en retssag på halsen.

De amerikanske it-giganter har for længst forstået, at dialog højner sikkerheden.

Men hvis KMD og den danske it-branche bliver ved med at skræmme it-kompetente borgere væk, ender det med, at de kriminelle hackere er de eneste, der tør lede efter sikkerhedshuller.

Og så har vi allesammen et problem. Derfor bør branchen lægge sig i selen for at løse det.

Læs også: Sikkerhedseksperter kritiserer KMDs politianmeldelse: "Det er grotesk, at man skal være bange for at indrapportere usikre systemer"

Hvad mener du? Giv dit besyv med i debatfeltet herunder.



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
Tung Atea-dominans på hardware-markedet helt ok, mener SKI: "Hvis en virksomhed vokser sig stor, er det typisk også fordi, den gør et eller andet rigtigt. Der er ikke noget i vejen med at være dominerende"
Der er glimrende konkurrence på markedet for det offentliges hardware-indkøb, selv om Atea lander de fleste ordrer, mener SKI. "Det er min opfattelse, at der er en glimrende og benhård konkurrence på hardwaremarkedet. Det er ikke nemt at være aktør på det marked," siger udbudsdirektør i SKI, Christian Lunding.
Computerworld
Kæmpe-cyberangreb afsløret: Millioner af computere hacket - pilen peger (igen) mod Rusland
Pilen peger entydigt mod Rusland, mener USA og Storbritannien. Se stor advisory om angrebet, der har inficeret millioner af routere, switche og lignende i virksomheder og myndigheder.
CIO
Allersidste opdatering på vej: Om en uge er det slut med stor-version af Windows 10 - skynd dig at opdatere
Om en uge er det slut for altid med den første store udgave af Windows 10, som Microsoft efter 29 måneder ikke længere vil supportere.
Job & Karriere
Klassiske brokere af it-konsulenter står over for kæmpe udfordring - forretningsmodellen er under pres
Klumme: Eksterne konsulenter er populære og en god løsning i en branche i vækst. Men selve forretningsmodellen bag it-konsulenterne er under alvorligt pres.
White paper
Står din infrastruktur i vejen for virksomhedens udvikling? … her er de 10 vigtigste overvejelser
Oplever du, at din virksomheds it-infrastruktur er en stopklods for udviklingen af forretningen, digitalisering og konkurrencekraft? Måske er svaret hyperkonvergeret infrastruktur, hvor software og hardware smelter sammen i én konkurrencedygtig enhed, som er nem at administrere. Men der er 10 meget vigtige overvejelser at gøre sig, før man vælger en løsning. Læs dette whitepaper fra Lenovo og bliv klædt bedre på til at vælge rigtigt. 10 Key Considerations for Selecting Hyper-Converged Infrastructure - What to Know Before You Choose a Solution, Lenovo, 18 sider på engelsk.