Danmark vil have cyberangreb og sikkerhedshændelser frem i lyset - men danske myndigheder gør det stik modsatte

Computerviews: Det offentlige har igen og igen efterspurgt ærlighed fra virksomheder, der bliver udsat for cyberangreb. Men danske myndigheder praktiserer ofte det stik modsatte.

Vidensdeling og åbenhed. De to dyder bliver konsekvent prædiket som (d)et afgørende element i god cybersikkerhed, og politikere fra begge sider af folketingssalen har meldt ud, at de private virksomheder skal åbne op for posen, og fortælle om det hackerproblem, der desværre kun bliver større.

Fra maj måned gør den europæiske persondataforordning det da også lovpligtigt at indberette datalæk og hackerangreb til både Datatilsynet og de berørte kunder, så åbenheden kommer - om man kan lide det eller ej.

Derfor er det dybt paradoksalt, at det offentlige, der ligger inde med følsomme persondata om alle danskere, i mange tilfælde praktiserer den ultimative lukkethed.

Den smule åbenhed, der en sjælden gang imellem når op til overfladen, kommer som regel fra det private erhvervsliv, hvor teleselskabet 3 sidste år gik forrest og fortalte åbent om, at hackere havde fået adgang til tusindvis af kunders private data. Cadeau for det.

Det offentlige er derimod ofte lukket som en østers.

Ret skal være ret, og der er flere gode eksmpler på kommuner, der står frem og fortæller om problemer med ransomware og medarbejdere, der klikker på mistænkelige links.

Det er forbilledligt, men der er desværre alt for mange eksempler på det modsatte.

Når Forsvarets mailsystem bliver hacket, er det umuligt at få svar på de grundlæggende spørgsmål, og når Skat får kritik for manglende kontrol med mere end 100 it-systemer, afviser man blankt at forklare hvordan og hvorfor.

Det seneste eksempel på dette er Moderniseringsstyrelsens pludselige nulstilling af kodeord i statslige it-systemer mellem jul og nytår.

Det vakte en del undren, da alle brugere uden varsel skulle have nyt password til blandt andet statens udgave af Navision-platformen, og bekymrede myndigheder frygtede naturligvis, at deres data havde været kompromitterede.

Hvorfor skulle man ellers vælge så drastisk og besværlig en løsning?

Det vedrører alle danskere, hvis hackere har haft adgang til fællesstatslige it-systemer, og derfor er det beskæmmende, at Moderniseringsstyrelsen nægter at besvare selv det mest simple spørgsmål om sagen: Hvorfor nulstillede man alle kodeord uden varsel på et af de mest upraktiske tidspunkter, man kan forestille sig?

Svaret til både medier og berørte myndigheder lyder, at nulstillingen er sket af sikkerhedshensyn. Hvilke sikkerhedshensyn, der er tale om, er dog en hemmelighed, og vi skal bare slappe af og lade være med at bekymre os, lyder meldingen.

Læs også: Styrelse nægter at fortælle undrende brugere om årsagen til pludselig nulstilling af password: Statens sikkerhed er på spil

I verdens mest digitaliserede land er det afgørende, at borgere og virksomheder tør stole på offentlig it. Men den efterhånden kilometer-lange liste af dårlige it-sikkerhedssager fra kommuner og regioner gør det ikke nemt.

Og i et moderne demokrati er det lidt af en kamel at sluge, når Moderniseringsstyrelsen bruger en gummiparagraf om statens sikkerhed i offentlighedsloven til at mørklægge oplysninger om, ja, statens sikkerhed.

Det er forståeligt, at virksomheder og myndigheder er bange for “lortesager”, men Moderniseringsstyrelsen kunne med fordel have fulgt bare lidt af 3s eksempel og lagt den overordnede baggrund for sagen frem.

Der er ikke nogen, der forventer eller ønsker, at dybe tekniske detaljer om Moderniseringsstyrelsens proceduerer og systemer skal frem i lyset.

Men det ville sætte det gode eksempel, hvis Modernisteringsstyrelsen som en af Danmarks vigtigste it-institutioner lagde kortene på bordet og fortalte, om man har været udsat for et cyberangreb, har begået en intern fejl eller noget helt tredje.

Både fejl og cyberangreb kan ske for enhver, men når man som Moderniseringsstyrelsen mørklægger alt, ja, så er der ikke noget at sige til, at folk frygter det værste.

Det gavner ikke nogen.

Læs også: Danske myndigheder helt paf over Moderniseringsstyrelsens pludselige sløjfning af password: “Det mest tænkelige scenarie er et cyberangreb”

Efter tre uger er der omsider svar fra Center for Cybersikkerhed om Forsvarets dårlige it-sikkerhed: "Der henvises til besvarelse af spørgsmål 1"




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
NEC's opkøb af KMD er endeligt gennemført: Se den nye bestyrelse med japaner i spidsen
NEC har gennemført opkøbet af KMD, og nu sætter det japanske selskab et nyt hold til bestyrelsen i KMD. Den hidtidige bestyrelsesformand Jens Due Olsen bliver erstattet af en japaner. Se hele den nye bestyrelse her.
Computerworld
SSD-priserne kollapser: De lynhurtige drev koster under det halve af, hvad de gjorde i 2018
Efter en periode med prisstigninger, falder priserne på de hurtige SSD-drev nu hastigt.
CIO
Tech fra Toppen: Det har CIO Mads Madsbjerg Hansen fra FLSmidth lært af flere års global it-konsolidering
Tech fra Toppen: Flere års arbejde har betydet en reduktion i antallet af it-systemer hos FLSmidth. Men processen har ikke været uden overraskelser. Hør hvad CIO Mads Madsbjerg Hansen har lært af den omfattende og globale proces.
Job & Karriere
Toke Kruse: Jeg spår, at humankapital i 2019 erstattes af it-kapital
I 2019 vil vi se en kæmpe udskiftning af ressourcer, hvorunder de menneskelige processer overtages af software, der gør os mennesker hurtigere og mere effektive. Betyder det store fyringsrunder? Måske.
White paper
Sådan gør du din forretning agil uden at komplicere netværkssikkerheden
Mange virksomheder er i gang med en form for digital transformation, i forhold til hvordan produkter og services bringes til markedet og i sidste ende levere værdi til kunderne. Men digital transformation bringer også kompleksitet med sig i forhold til dem der opererer netværket. I dette white paper kigger vi nærmere på, hvordan du laver en succesfuld transformation og gør dit netværk sikkert.