Danmark vil have cyberangreb og sikkerhedshændelser frem i lyset - men danske myndigheder gør det stik modsatte

Computerviews: Det offentlige har igen og igen efterspurgt ærlighed fra virksomheder, der bliver udsat for cyberangreb. Men danske myndigheder praktiserer ofte det stik modsatte.

Vidensdeling og åbenhed. De to dyder bliver konsekvent prædiket som (d)et afgørende element i god cybersikkerhed, og politikere fra begge sider af folketingssalen har meldt ud, at de private virksomheder skal åbne op for posen, og fortælle om det hackerproblem, der desværre kun bliver større.

Fra maj måned gør den europæiske persondataforordning det da også lovpligtigt at indberette datalæk og hackerangreb til både Datatilsynet og de berørte kunder, så åbenheden kommer - om man kan lide det eller ej.

Derfor er det dybt paradoksalt, at det offentlige, der ligger inde med følsomme persondata om alle danskere, i mange tilfælde praktiserer den ultimative lukkethed.

Den smule åbenhed, der en sjælden gang imellem når op til overfladen, kommer som regel fra det private erhvervsliv, hvor teleselskabet 3 sidste år gik forrest og fortalte åbent om, at hackere havde fået adgang til tusindvis af kunders private data. Cadeau for det.

Det offentlige er derimod ofte lukket som en østers.

Ret skal være ret, og der er flere gode eksmpler på kommuner, der står frem og fortæller om problemer med ransomware og medarbejdere, der klikker på mistænkelige links.

Det er forbilledligt, men der er desværre alt for mange eksempler på det modsatte.

Når Forsvarets mailsystem bliver hacket, er det umuligt at få svar på de grundlæggende spørgsmål, og når Skat får kritik for manglende kontrol med mere end 100 it-systemer, afviser man blankt at forklare hvordan og hvorfor.

Det seneste eksempel på dette er Moderniseringsstyrelsens pludselige nulstilling af kodeord i statslige it-systemer mellem jul og nytår.

Det vakte en del undren, da alle brugere uden varsel skulle have nyt password til blandt andet statens udgave af Navision-platformen, og bekymrede myndigheder frygtede naturligvis, at deres data havde været kompromitterede.

Hvorfor skulle man ellers vælge så drastisk og besværlig en løsning?

Det vedrører alle danskere, hvis hackere har haft adgang til fællesstatslige it-systemer, og derfor er det beskæmmende, at Moderniseringsstyrelsen nægter at besvare selv det mest simple spørgsmål om sagen: Hvorfor nulstillede man alle kodeord uden varsel på et af de mest upraktiske tidspunkter, man kan forestille sig?

Svaret til både medier og berørte myndigheder lyder, at nulstillingen er sket af sikkerhedshensyn. Hvilke sikkerhedshensyn, der er tale om, er dog en hemmelighed, og vi skal bare slappe af og lade være med at bekymre os, lyder meldingen.

Læs også: Styrelse nægter at fortælle undrende brugere om årsagen til pludselig nulstilling af password: Statens sikkerhed er på spil

I verdens mest digitaliserede land er det afgørende, at borgere og virksomheder tør stole på offentlig it. Men den efterhånden kilometer-lange liste af dårlige it-sikkerhedssager fra kommuner og regioner gør det ikke nemt.

Og i et moderne demokrati er det lidt af en kamel at sluge, når Moderniseringsstyrelsen bruger en gummiparagraf om statens sikkerhed i offentlighedsloven til at mørklægge oplysninger om, ja, statens sikkerhed.

Det er forståeligt, at virksomheder og myndigheder er bange for “lortesager”, men Moderniseringsstyrelsen kunne med fordel have fulgt bare lidt af 3s eksempel og lagt den overordnede baggrund for sagen frem.

Der er ikke nogen, der forventer eller ønsker, at dybe tekniske detaljer om Moderniseringsstyrelsens proceduerer og systemer skal frem i lyset.

Men det ville sætte det gode eksempel, hvis Modernisteringsstyrelsen som en af Danmarks vigtigste it-institutioner lagde kortene på bordet og fortalte, om man har været udsat for et cyberangreb, har begået en intern fejl eller noget helt tredje.

Både fejl og cyberangreb kan ske for enhver, men når man som Moderniseringsstyrelsen mørklægger alt, ja, så er der ikke noget at sige til, at folk frygter det værste.

Det gavner ikke nogen.

Læs også: Danske myndigheder helt paf over Moderniseringsstyrelsens pludselige sløjfning af password: “Det mest tænkelige scenarie er et cyberangreb”

Efter tre uger er der omsider svar fra Center for Cybersikkerhed om Forsvarets dårlige it-sikkerhed: "Der henvises til besvarelse af spørgsmål 1"




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
Computerfans' paradis kæmper for livet: Nye nørder har indtaget Tokyos elektriske kvarter
Reportage: Tag med til Akihabara, der har været kendt som Tokyos elektriske bydel. Kvarterets gamle omdømme er under pres. De gamle boder med komponenter til selvbyggerne er kommet kraftigt i undertal, mens de nye nørder er rykket ind.
CIO
Allersidste opdatering på vej: Om en uge er det slut med stor-version af Windows 10 - skynd dig at opdatere
Om en uge er det slut for altid med den første store udgave af Windows 10, som Microsoft efter 29 måneder ikke længere vil supportere.
Job & Karriere
Vil strejkende it-folk kunne lægge hele Statens It ned? "Det har vi ingen kommentarer til," lyder den kryptiske melding fra Statens It
50 it-medarbejdere hos Statens It truer med at nedlægge arbejdet i sympatistrejke. Vil det betyde, at Statens It går ned?
Statens It nægter at svare.
White paper
11 skridt, der sikrer dig det bedste udbytte af dit CRM-projekt
Dette whitepaper identificerer 11 skridt, som enhver organisation bør gennemgå i forbindelse med CRM-implementering.