Danmark vil have cyberangreb og sikkerhedshændelser frem i lyset - men danske myndigheder gør det stik modsatte

Computerviews: Det offentlige har igen og igen efterspurgt ærlighed fra virksomheder, der bliver udsat for cyberangreb. Men danske myndigheder praktiserer ofte det stik modsatte.

Vidensdeling og åbenhed. De to dyder bliver konsekvent prædiket som (d)et afgørende element i god cybersikkerhed, og politikere fra begge sider af folketingssalen har meldt ud, at de private virksomheder skal åbne op for posen, og fortælle om det hackerproblem, der desværre kun bliver større.

Fra maj måned gør den europæiske persondataforordning det da også lovpligtigt at indberette datalæk og hackerangreb til både Datatilsynet og de berørte kunder, så åbenheden kommer - om man kan lide det eller ej.

Derfor er det dybt paradoksalt, at det offentlige, der ligger inde med følsomme persondata om alle danskere, i mange tilfælde praktiserer den ultimative lukkethed.

Den smule åbenhed, der en sjælden gang imellem når op til overfladen, kommer som regel fra det private erhvervsliv, hvor teleselskabet 3 sidste år gik forrest og fortalte åbent om, at hackere havde fået adgang til tusindvis af kunders private data. Cadeau for det.

Det offentlige er derimod ofte lukket som en østers.

Ret skal være ret, og der er flere gode eksmpler på kommuner, der står frem og fortæller om problemer med ransomware og medarbejdere, der klikker på mistænkelige links.

Det er forbilledligt, men der er desværre alt for mange eksempler på det modsatte.

Når Forsvarets mailsystem bliver hacket, er det umuligt at få svar på de grundlæggende spørgsmål, og når Skat får kritik for manglende kontrol med mere end 100 it-systemer, afviser man blankt at forklare hvordan og hvorfor.

Det seneste eksempel på dette er Moderniseringsstyrelsens pludselige nulstilling af kodeord i statslige it-systemer mellem jul og nytår.

Det vakte en del undren, da alle brugere uden varsel skulle have nyt password til blandt andet statens udgave af Navision-platformen, og bekymrede myndigheder frygtede naturligvis, at deres data havde været kompromitterede.

Hvorfor skulle man ellers vælge så drastisk og besværlig en løsning?

Det vedrører alle danskere, hvis hackere har haft adgang til fællesstatslige it-systemer, og derfor er det beskæmmende, at Moderniseringsstyrelsen nægter at besvare selv det mest simple spørgsmål om sagen: Hvorfor nulstillede man alle kodeord uden varsel på et af de mest upraktiske tidspunkter, man kan forestille sig?

Svaret til både medier og berørte myndigheder lyder, at nulstillingen er sket af sikkerhedshensyn. Hvilke sikkerhedshensyn, der er tale om, er dog en hemmelighed, og vi skal bare slappe af og lade være med at bekymre os, lyder meldingen.

Læs også: Styrelse nægter at fortælle undrende brugere om årsagen til pludselig nulstilling af password: Statens sikkerhed er på spil

I verdens mest digitaliserede land er det afgørende, at borgere og virksomheder tør stole på offentlig it. Men den efterhånden kilometer-lange liste af dårlige it-sikkerhedssager fra kommuner og regioner gør det ikke nemt.

Og i et moderne demokrati er det lidt af en kamel at sluge, når Moderniseringsstyrelsen bruger en gummiparagraf om statens sikkerhed i offentlighedsloven til at mørklægge oplysninger om, ja, statens sikkerhed.

Det er forståeligt, at virksomheder og myndigheder er bange for “lortesager”, men Moderniseringsstyrelsen kunne med fordel have fulgt bare lidt af 3s eksempel og lagt den overordnede baggrund for sagen frem.

Der er ikke nogen, der forventer eller ønsker, at dybe tekniske detaljer om Moderniseringsstyrelsens proceduerer og systemer skal frem i lyset.

Men det ville sætte det gode eksempel, hvis Modernisteringsstyrelsen som en af Danmarks vigtigste it-institutioner lagde kortene på bordet og fortalte, om man har været udsat for et cyberangreb, har begået en intern fejl eller noget helt tredje.

Både fejl og cyberangreb kan ske for enhver, men når man som Moderniseringsstyrelsen mørklægger alt, ja, så er der ikke noget at sige til, at folk frygter det værste.

Det gavner ikke nogen.

Læs også: Danske myndigheder helt paf over Moderniseringsstyrelsens pludselige sløjfning af password: “Det mest tænkelige scenarie er et cyberangreb”

Efter tre uger er der omsider svar fra Center for Cybersikkerhed om Forsvarets dårlige it-sikkerhed: "Der henvises til besvarelse af spørgsmål 1"




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
Claus Larsen skal som ny landechef skubbe anonyme Atos frem i lyset i Danmark: "Jeg har været i militæret i en del år, så jeg har brug for en plan. Derfor eksekverer vi fra 1. januar på en ny plan"
Claus Larsen blev midt i oktober i al diskretion indsat som ny landechef for Atos i Danmark. Han skal nu gøre den franske it-kæmpe ligeså kendt i Danmark, som den er på verdensplan.
Computerworld
Yousee varsler prisstigninger på op til 36 procent - skal være med til at finansiere fiber-udrulning
Yousee varsler prisstigninger på både tv-pakker og bredbånd. Pengene skal blandt andet være med til finansiere fiber-investeringer.
CIO
Forleden reparerede en mekaniker min bil: Det kostede 4.200 kroner, som min hjerne snød mig til at betale med et smil
De rationelle it-beslutninger du træffer er måske en illusion. Det lærte jeg da min bil gik i stykker og min hjerne snød mig til at tro, at alt var fint. Til gengæld fandt jeg tre fælder dine it-beslutninger kan falde i.
Job & Karriere
Manden bag Stack Overflow til softwareudviklere og folk i it-branchen: Disse ting skal du lære, hvis du vil undgå at blive tromlet totalt
Interview: Manden bag Stack Overflow og Trello har en opsang til folk i it-branchen. Her er de kompetencer, som du bare skal tilegne dig nu.
White paper
Sådan vælger du det bedste intranet
At vælge den bedste, eller skal vi kalde det, den rette intranetplatform til din virksomhed eller organisation, er ikke nødvendigvis nogen let opgave. Sammenlignet med andre stykker software eller værktøjer til udførelse af specifikke behov, ja så er et intranet typisk en platform, der skal implementeres på tværs af hele virksomheden. Det med det faktum, at det også vil berøre mere eller mindre samtlige ansatte og funktionsområder, hvorfor man alt andet lige skal gøre sig ekstra umage – både mht. valg af hvilken platform, men også mht. udarbejdelse af business case, implementering, udrulning samt adoption og uddannelse. Dette er en 40 siders udførlig guide til dig som skal i gang med at vælge intranetplatform til din virksomhed, og mangler inspiration til, hvordan hele processen bør køre fra start til slut.