KMD skyder budbringeren med klodset politianmeldelse: Lad os nu få en fælles whistleblower-ordning

ComputerViews: Med politianmeldelsen af Esben Warming skriver KMD sig ind i, hvad der er ved at blive en uheldig tradition for at retsforfølge borgere, der gør opmærksom på sikkerhedshuller i offentlige it-systemer. It-branchen har brug for en fælles whistleblower-ordning.

ComputerViews: Google, Apple og Microsoft belønner it-eksperter, der gør opmærksom på alvorlige sikkerhedshuller i deres produkter. KMD politianmelder.

Mens de amerikanske it-giganter årligt udbetaler betragtelige millionbeløb til it-eksperter, der finder fejl i deres software, indtager KMD med politianmeldelsen af Esben Warming et standpunkt, der er unødvendigt defensivt - og dårligt for sikkerheden i de offentlige it-systemer, vi alle sammen bruger.

Der er sårbarheder i al software, og når it-kyndige borgere finder og gør opmærksom på dem, så gør de os allesammen en tjeneste.

Det er gratis konsulentbistand for virksomhederne, men KMD er ikke det eneste selskab, der har en udfordring med at kende forskel på "hacking" og "værdifulde gratis konsulentydelser".

I 2015 blev en dansk familiefar meldt til politiet af it-firmaet Infoba for at have opdaget et sikkerhedshul i intranettet i sin søns børnehave.

Det er efterhånden ikke svært at forstå, hvis man som it-kyndig dansker ikke tør henvende sig til en dansk it-virksomhed, når man finder graverende huller i sikkerheden.

Gråzone gør whistleblower-ordning nødvendig
Sagen er dog ikke helt sort hvid.

Hvis man vil påvise, at et system er sårbart over for hackerangreb, er det ofte en del af processen at udføre et, ja, hackerangreb.

Den letteste (eneste?) måde at bevise, at man kan bryde ind i et system på, er at bryde ind i systemet, og så har man jo i princippet gjort noget ulovligt - også selvom hensigten er god.

Man fortæller heller ikke banken, at den er sårbar over for røverier, ved at røve den, og det er en hårfin balance, når den gode it-samaritaner skal skabe et proof-of-concept uden at gøre sig selv til kriminel.

Især fordi der for it-firmaerne ofte står millioner på spil, hvis eller når det afsløres, at deres produkter er så sårbare, at en dedikeret enkeltperson kan tappe dem for data. 

Det er derfor fristende for firmaerne at møde afsløringer med en benægtelse, som i dedikation kan minde om Monty Pythons legendariske papegøje-sketch, hvor en stædig dyrehandler insisterer på at en stendød papegøje bare tager sig en lur (se den her).

Blandt andet derfor kan det være fristende at skaffe sig opmærksomhed gennem pressen.

Det skal vi være de sidste til at beklage, for det er som regel gode historier, der tiltrækker mange læsere. 

Men resultatet kan blive en ond cirkel, hvor it-leverandører afviser problemer, ender i pressen med ridser i lakken og næste gang i endnu stærkere vendinger benægter problemer.

Lægger du desuden en politianmedelse oven i sagsgangen, så tørrer villigheden til at gøre opmærksom på fejlene hurtigt op. 

Til skade for brugerne, borgerne og hele Danmark.

Dialog højner sikkerheden
Derfor bør it-branchen arbejde for at etablere en fælles, anonym whistleblower-ordning. Med fælles klare linjer for indberetning og professionel modtagelse af de indberetninger. 

Det ville sikre at der tages et fælles ansvar og sende et tydeligt signal om, at sikkerhed tages dybt seriøst i branchen.

Der vil altid være sikkerhedshuller i systemerne, og det vil være en fordel for alle, at de velmenende it-kompetencer, der finder dem, kan indrapportere det uden fare for at få en retssag på halsen.

De amerikanske it-giganter har for længst forstået, at dialog højner sikkerheden.

Men hvis KMD og den danske it-branche bliver ved med at skræmme it-kompetente borgere væk, ender det med, at de kriminelle hackere er de eneste, der tør lede efter sikkerhedshuller.

Og så har vi allesammen et problem. Derfor bør branchen lægge sig i selen for at løse det.

Læs også: Sikkerhedseksperter kritiserer KMDs politianmeldelse: "Det er grotesk, at man skal være bange for at indrapportere usikre systemer"

Hvad mener du? Giv dit besyv med i debatfeltet herunder.



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
SMV'er mangler stadig basal it-sikkerhed: “Der er simpelthen ikke nok økonomi i det for de store virksomheder”
Mindre sikkerhedsvirksomheder har fået øjnene op for at sælge it-sikkerhedsløsninger til SMV'er. Den etablerede branche er nemlig ikke interesseret i SMV-markedet, lyder vurderingen fra CTO hos EG.
Computerworld
Studieguide: Følg disse råd og få mest smartphone for pengene - disse fire smartphones er de bedste køb lige nu
En ny, velfungerende smartphone behøver ikke at koste alverden. Sådan får du masser af mobil til få penge.
CIO
Forleden reparerede en mekaniker min bil: Det kostede 4.200 kroner, som min hjerne snød mig til at betale med et smil
De rationelle it-beslutninger du træffer er måske en illusion. Det lærte jeg da min bil gik i stykker og min hjerne snød mig til at tro, at alt var fint. Til gengæld fandt jeg tre fælder dine it-beslutninger kan falde i.
Job & Karriere
Amazon kan komme til at lide samme skæbne som Uber i Danmark - fagbevægelse ruster sig til kamp
Den danske fagbevægelse står klar til at give Amazon en varm velkomst på det danske marked. Spørgsmålet er derfor om et stærkt samarbejde mellem på den side detailbranchen og internethandlen og på den anden side fagbevægelsen vil kunne skabe et bolværk mod Amazons indtog, eller om Amazon har lært af Uber og Ryanairs fejl?
White paper
Du slipper ikke … digitaliseringen rammer også dig og din virksomhed. Men gå ikke i panik, for de fundamentale færdigheder er (næsten) de samme som altid
Hvordan slipper industrivirksomheder i alle størrelser igennem det minefelt af markedskræfter, stadig mere krævende digitale kunder, konkurrencepres og digitale forventninger? Nøglen er at begynde med det fundamentale. Mennesker, smidige processer, digitalt lederskab og tilfredse kunder. Læs dette whitepaper fra Columbus med bidrag fra eksperter og få indsigt i relevant benchmarking. 24 sider på engelsk.