Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.
Egentlig burde jeg slet ikke være blevet overrasket, da en ven forleden spurgte mig, om man tør sætte sine penge i banken.
Når man arbejder med cyber- og informationssikkerhed, får man nemlig ofte en masse interessante spørgsmål fra familie og venner, der ikke er involveret i området og derfor ikke har et klart billede af, hvad det rent faktisk er, man går og sysler med til daglig.
Det bedste ved at få den slags spørgsmål er, at man får lejlighed til at understrege, at vi alle har et ansvar for at tænke på sikkerhed, og hvordan man som privat person kan gøre sit for at beskytte sine egne data, tilskynde andre til at gøre det samme, og forklare hvorfor det er vigtigt.
Min ven havde læst en artikel om usikre it-systemer i finanssektoren (især de der stadig anvender Windows Server 2003) og var derfor meget urolig.
I sig selv er det interessant, at Windows Server 2003 stadig benyttes.
Den næste revolution
Men jeg synes, man burde hæve barren og flytte opmærksomheden hen på det, der normalt kaldes for den næste revolution:
At vi er på vej til at koble alting op på nettet.
Jeg tror faktisk ikke, at vi helt har forstået, hvad det indebærer. Et tegn på dette er, at vi i årenes løb har vænnet os til at se overskrifter som, ”2,2 milliarder lækkede logindata flyder frit på nettet” eller ”Sådan kan smarte svindlere narre dig med MobilePay”.
Jeg siger ofte til venner og bekendte, at det er den verden, vi lever i.
Vi kan lige så godt acceptere, at der vil være sager som disse. Det skal vi forholde os til nu og i fremtiden.
Men vi må ikke acceptere, at disse sager stopper udviklingen, og det må ikke begrænse vores evne til at tage nye løsninger eller nye spændende platforme i brug.
Vi skal hæve kravene
Vi skal i stedet hæve vores krav til sikkerhed.
Hvorfor egentlig ikke tænke sikkerhed ind samtidig med at vi tænker ny teknologi ind? Så er vi allerede et skridt foran. Og vi skal sammen sikre, at vi passer på vore værdier, og at det er en fælles opgave at gøre det godt.
Jeg har naturligvis tillid til de danske banker, ligesom jeg har tillid til den danske energisektor og det danske sundhedsvæsen - blot for at nævne nogle. Min tillid går på, at de mange mennesker, som hver dag sikre vores penge, sørger for at vi har strøm, og at vi kan få behandling, alle som én vil os det bedste. Tillid til at de har viljen og ansvaret.
Heldigvis findes der folk i EU, der også bliver bekymrede over den slags – især fordi flere af de systemer, der gøres tilgængelige online, tilhører organisationer, der er samfundskritiske.
I EU har man derfor truffet beslutning om et direktiv, i daglig tale kaldet for NIS-direktivet (Net- og Informationssikkerhed), der per 9. maj 2018 er gjort gældende i samtlige medlemslande.
Det nye direktiv tvinger organisationer, der varetager samfundskritiske funktioner, til at arbejde systematisk med informationssikkerhed og garantere, at de fortsat kan levere deres samfundskritiske tjenester.
Når jeg ser på direktivet og læser de seks sektorers cyber- og informationsstrategier, som blev offentliggjort i januar 2019, så tænker jeg, at vi er på rette vej.
Der er masser af fokus og tiltag, som helt sikkert vil beskytte vores samfund og ikke mindst sikre, at vi kan stole på, at de kritiske dele af vore infrastruktur vil fungere også i fremtiden.
Men det handler også om at dele sin viden på tværs af sektorer.
Alt for ofte oplever man, at viden og erfaring om sikkerhed holdes tæt til kroppen.
Tænk på hvor langt vi kan nå, hvis for eksempel sundhedssektoren kender til de ting, man har erfaret rent sikkerhedsmæssigt i finanssektoren – og omvendt.
Som it-kriminel kan man i dag udtømme sine muligheder i den ene sektor og derefter hoppe videre til den næste sektor, uden at nogen fatter mistanke. Vi er som samfund nødt til at forstå, at der er en sammenhæng, og at der skal være en plan for, hvad vi gør, når det utænkelige sker.
Når jeg så ser dette i en sammenhæng med alt det arbejde og fokus, der er på ISO27001 og NIST, så tænker jeg, at hvis vi kan finde sammen om en fælles plan, så skal der meget til, før det går helt galt.
Den øgede interesse for informationssikkerhed, som NIS-direktivet og GDPR er netop et skridt i retning af en fælles plan, hvor der er mere fokus på informationssikkerhed, flere fælles retningslinjer og måske derfor en større åbenhed og vilje til at dele viden og erfaringer i hele samfundet.
Så vi for eksempel tør sætte vores penge i banken i fremtiden.
Hvad mener I? Er jeg for naiv, blåøjet og tillidsfuld? Måske. Omvendt mener jeg, at man skal være en slem pessimist for at mene, at alle disse initiativer (NIS og GDPR) ikke vil føre til et generelt løft både i forståelsen for men også på sigt i øget informationssikkerhed.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.