KMD skyder budbringeren med klodset politianmeldelse: Lad os nu få en fælles whistleblower-ordning

ComputerViews: Med politianmeldelsen af Esben Warming skriver KMD sig ind i, hvad der er ved at blive en uheldig tradition for at retsforfølge borgere, der gør opmærksom på sikkerhedshuller i offentlige it-systemer. It-branchen har brug for en fælles whistleblower-ordning.

ComputerViews: Google, Apple og Microsoft belønner it-eksperter, der gør opmærksom på alvorlige sikkerhedshuller i deres produkter. KMD politianmelder.

Mens de amerikanske it-giganter årligt udbetaler betragtelige millionbeløb til it-eksperter, der finder fejl i deres software, indtager KMD med politianmeldelsen af Esben Warming et standpunkt, der er unødvendigt defensivt - og dårligt for sikkerheden i de offentlige it-systemer, vi alle sammen bruger.

Der er sårbarheder i al software, og når it-kyndige borgere finder og gør opmærksom på dem, så gør de os allesammen en tjeneste.

Det er gratis konsulentbistand for virksomhederne, men KMD er ikke det eneste selskab, der har en udfordring med at kende forskel på "hacking" og "værdifulde gratis konsulentydelser".

I 2015 blev en dansk familiefar meldt til politiet af it-firmaet Infoba for at have opdaget et sikkerhedshul i intranettet i sin søns børnehave.

Det er efterhånden ikke svært at forstå, hvis man som it-kyndig dansker ikke tør henvende sig til en dansk it-virksomhed, når man finder graverende huller i sikkerheden.

Gråzone gør whistleblower-ordning nødvendig
Sagen er dog ikke helt sort hvid.

Hvis man vil påvise, at et system er sårbart over for hackerangreb, er det ofte en del af processen at udføre et, ja, hackerangreb.

Den letteste (eneste?) måde at bevise, at man kan bryde ind i et system på, er at bryde ind i systemet, og så har man jo i princippet gjort noget ulovligt - også selvom hensigten er god.

Man fortæller heller ikke banken, at den er sårbar over for røverier, ved at røve den, og det er en hårfin balance, når den gode it-samaritaner skal skabe et proof-of-concept uden at gøre sig selv til kriminel.

Især fordi der for it-firmaerne ofte står millioner på spil, hvis eller når det afsløres, at deres produkter er så sårbare, at en dedikeret enkeltperson kan tappe dem for data. 

Det er derfor fristende for firmaerne at møde afsløringer med en benægtelse, som i dedikation kan minde om Monty Pythons legendariske papegøje-sketch, hvor en stædig dyrehandler insisterer på at en stendød papegøje bare tager sig en lur (se den her).

Blandt andet derfor kan det være fristende at skaffe sig opmærksomhed gennem pressen.

Det skal vi være de sidste til at beklage, for det er som regel gode historier, der tiltrækker mange læsere. 

Men resultatet kan blive en ond cirkel, hvor it-leverandører afviser problemer, ender i pressen med ridser i lakken og næste gang i endnu stærkere vendinger benægter problemer.

Lægger du desuden en politianmedelse oven i sagsgangen, så tørrer villigheden til at gøre opmærksom på fejlene hurtigt op. 

Til skade for brugerne, borgerne og hele Danmark.

Dialog højner sikkerheden
Derfor bør it-branchen arbejde for at etablere en fælles, anonym whistleblower-ordning. Med fælles klare linjer for indberetning og professionel modtagelse af de indberetninger. 

Det ville sikre at der tages et fælles ansvar og sende et tydeligt signal om, at sikkerhed tages dybt seriøst i branchen.

Der vil altid være sikkerhedshuller i systemerne, og det vil være en fordel for alle, at de velmenende it-kompetencer, der finder dem, kan indrapportere det uden fare for at få en retssag på halsen.

De amerikanske it-giganter har for længst forstået, at dialog højner sikkerheden.

Men hvis KMD og den danske it-branche bliver ved med at skræmme it-kompetente borgere væk, ender det med, at de kriminelle hackere er de eneste, der tør lede efter sikkerhedshuller.

Og så har vi allesammen et problem. Derfor bør branchen lægge sig i selen for at løse det.

Læs også: Sikkerhedseksperter kritiserer KMDs politianmeldelse: "Det er grotesk, at man skal være bange for at indrapportere usikre systemer"

Hvad mener du? Giv dit besyv med i debatfeltet herunder.



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
CIO Kristian Hjort-Madsen har spredt PFA's it ud i alle mulige retninger for at få mere kog i gryden: "Jeg tror simpelthen ikke på, at vi it-folk tænker visionært nok"
Nomineret til Årets CIO 2018: Hos PFA skal it-chefen ikke forretningsudvikle. Han skal sørge for, at hele organisationen tænker digitalt fra starten. CIO Kristian Hjort-Madsen har nemlig ikke alle de gode idéer selv.
Computerworld
Seneste Windows 10-opdatering kan få din computer til at gå i sort - selv Microsofts egne Surface-enheder ramt
Der er knas i den store Windows 10 forårsopdatering. I værste tilfælde kan den få din computer til at gå helt i sort.
CIO
Allersidste opdatering på vej: Om en uge er det slut med stor-version af Windows 10 - skynd dig at opdatere
Om en uge er det slut for altid med den første store udgave af Windows 10, som Microsoft efter 29 måneder ikke længere vil supportere.
Job & Karriere
Vil strejkende it-folk kunne lægge hele Statens It ned? "Det har vi ingen kommentarer til," lyder den kryptiske melding fra Statens It
50 it-medarbejdere hos Statens It truer med at nedlægge arbejdet i sympatistrejke. Vil det betyde, at Statens It går ned?
Statens It nægter at svare.
White paper
11 skridt, der sikrer dig det bedste udbytte af dit CRM-projekt
Dette whitepaper identificerer 11 skridt, som enhver organisation bør gennemgå i forbindelse med CRM-implementering.