Artikel top billede

(Foto: Dan Jensen)

Pas nu på: Mærkningsordning for it-sikkerhed kan give falsk tryghed

Klumme: Inden udgangen af 2020 kan de første danske virksomheder bryste sig af et nyt mærke for it-sikkerhed og ansvarlig dataanvendelse. Men der er mange problemer med den slags mærker, og folkene bag mærket skal holde tungen meget lige i munden.

Denne klumme er et debatindlæg og er alene udtryk for skribenternes synspunkter.

Vi har smiley’er i fødevarebutikker og restauranter. Vi har svane- og ø-mærker, når vi vil handle bæredygtigt.

Og nu skal vi også som det første land i verden til at have en mærkningsordning for ”it-sikkerhed og ansvarlig dataanvendelse”.

Formålet er, at virksomheder, der har styr på tingene, kan bruge det til at profilere sig selv og opnå en konkurrencemæssig fordel.

Det lyder jo rigtig godt, men det kræver også, at parterne bag mærket holder tungen lige i munden. Og at virksomheder og forbrugere er med på, hvad et sådant mærke ikke kan bruges til.

For det er en anden sag at opgøre it-sikkerhed og ansvarlig dataanvendelse end at sætte et mærke på en økologisk leverpostej. Og det siger jeg med al respekt.

Jeg ser tre grundlæggende udfordringer ved en mærkningsordning:

1. Det er svært at gøre det ordentligt, for it-sikkerhed er komplekst

Ingen tvivl om, at det er et nobelt formål at sætte fokus på sikkerhed, men metoden er jeg betænkelig ved, for hvis et sådant mærke virkelig skal være retvisende, så vil der skulle en temmelig grundig audit til.

Nærmest i stil med en ISO-certificering.

Cybersikkerhed er nemlig en kompleks størrelse. En leverpostej er enten økologisk eller ikke-økologisk. Med cybersikkerhed kan man ikke sætte det så enkelt op. Det er ikke det samme som fysisk sikkerhed.

Når det handler om it, kan man være mere eller mindre sikker, men aldrig 100 procent sikker. Derfor vil en mærkningsordning for it-sikkerhed aldrig være en garanti. Den kan højst vise, at man har taget nogle bestemte forholdsregler.

Og så er kompleksiteten meget større, for med it-sikkerhed skal du også bekymre dig om ’naboens’ sikkerhed. Hvis der er huller et sted i dit økosystem af leverandører eller kunder, så kan du gøre nok så meget selv men stadig have et sikkerhedsproblem.

Der er altså behov for et meget fintmasket net for at fange eventuelle udfordringer.

Men hvis man kigger på metodikken bag det kommende mærke, så er der nærmere tale om en light audit med grundlæggende spørgsmål – for eksempel om virksomheden har udpeget en it-sikkerhedsansvarlig. Eller om virksomheden inden for de sidste seks måneder har oplevet nogen former for cyberangreb.

Hvis man svarer nej til sidstnævnte spørgsmål, så har man i hvert fald ikke styr på sin it-sikkerhed. For alle virksomheder bliver angrebet hele tiden …

2. Vi har allerede GDPR til at håndtere dataanvendelse

En anden udfordring med det kommende mærke er, at det blander it-sikkerhed sammen med ansvarlig dataanvendelse.

Det er to forskellige discipliner. Det kan godt være, at du har styr på dataanvendelsen, men at din it-sikkerhed ikke er på plads. Og i forhold til dataanvendelse har vi jo allerede GDPR, som det er lovpligtigt at følge, og som er mere målrettet.

Det virker ærligt talt lidt unødvendigt at introducere et mærke, der blot viser, at virksomheden lever op til gældende lovgivning.

Normalt bruger vi mærkningsordninger til at deklarere produkter eller virksomheder, der sætter højere standarder end lovgivningen. Vil et mærke ikke komme til at se ud, som om den pågældende virksomhed gør mere for ansvarlig dataanvendelse end naboen? Hvilket fører mig til min tredje og sidste anke:

3. Hvad med dem, der ikke har mærket?

Hvis du vil drive en restaurant i Danmark, så er du underlagt smiley-ordningen. Uanset om du vil det eller ej.

Og får du en sur smiley, så ved forbrugerne, hvad de skal forholde sig til. God hygiejne bliver et vigtigt konkurrenceparameter. Og det virker. Jeg går i hvert fald selv langt uden om de sure smileyer.

Men forestil dig så i stedet en tandpasta med mærket ”indeholder ikke bly.” Hvor mange ville ikke tænke tanken, at tandpastaen ved siden af i supermarkedet og uden et tilsvarende mærke måske indeholdt bly?

Det illustrerer udfordringen ved en mærkningsordning som ikke er obligatorisk for alle.

Det kan komme til at se ud, som om to virksomheder har helt forskellige sikkerhedsniveauer, selv om de i virkeligheden er på niveau.

Det risikerer at skabe et pres for at anskaffe sig mærket for at kunne konkurrere på lige vilkår. Med alt hvad det indebærer af ekstra administration og gebyrer, men uden at det reelt skaber en forskel for it-sikkerhed og dataanvendelse i virksomhederne.

Der skal omtanke til

Hvis vi skal have en mærkningsordning på dette område, så er det vigtigt, at vi udvikler den med omtanke.

Det skal være helt tydeligt for både virksomheder og forbrugere, hvad mærket ikke kan sige noget om, og hvad kriterierne er for at få det.

Og så vil jeg opfordre til, at parterne bag mærket tænker meget over, hvordan mærket kan supplere GDPR og fremhæve virksomheder, der gør mere end det, lovgivningen i forvejen foreskriver.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.