Pas nu på: Mærkningsordning for it-sikkerhed kan give falsk tryghed

Klumme: Inden udgangen af 2020 kan de første danske virksomheder bryste sig af et nyt mærke for it-sikkerhed og ansvarlig dataanvendelse. Men der er mange problemer med den slags mærker, og folkene bag mærket skal holde tungen meget lige i munden.

Denne klumme er et debatindlæg og er alene udtryk for skribenternes synspunkter.

Vi har smiley’er i fødevarebutikker og restauranter. Vi har svane- og ø-mærker, når vi vil handle bæredygtigt.

Og nu skal vi også som det første land i verden til at have en mærkningsordning for ”it-sikkerhed og ansvarlig dataanvendelse”.

Formålet er, at virksomheder, der har styr på tingene, kan bruge det til at profilere sig selv og opnå en konkurrencemæssig fordel.

Det lyder jo rigtig godt, men det kræver også, at parterne bag mærket holder tungen lige i munden. Og at virksomheder og forbrugere er med på, hvad et sådant mærke ikke kan bruges til.

For det er en anden sag at opgøre it-sikkerhed og ansvarlig dataanvendelse end at sætte et mærke på en økologisk leverpostej. Og det siger jeg med al respekt.

Jeg ser tre grundlæggende udfordringer ved en mærkningsordning:

1. Det er svært at gøre det ordentligt, for it-sikkerhed er komplekst
Ingen tvivl om, at det er et nobelt formål at sætte fokus på sikkerhed, men metoden er jeg betænkelig ved, for hvis et sådant mærke virkelig skal være retvisende, så vil der skulle en temmelig grundig audit til.

Nærmest i stil med en ISO-certificering.

Cybersikkerhed er nemlig en kompleks størrelse. En leverpostej er enten økologisk eller ikke-økologisk. Med cybersikkerhed kan man ikke sætte det så enkelt op. Det er ikke det samme som fysisk sikkerhed.

Når det handler om it, kan man være mere eller mindre sikker, men aldrig 100 procent sikker. Derfor vil en mærkningsordning for it-sikkerhed aldrig være en garanti. Den kan højst vise, at man har taget nogle bestemte forholdsregler.

Og så er kompleksiteten meget større, for med it-sikkerhed skal du også bekymre dig om ’naboens’ sikkerhed. Hvis der er huller et sted i dit økosystem af leverandører eller kunder, så kan du gøre nok så meget selv men stadig have et sikkerhedsproblem.

Der er altså behov for et meget fintmasket net for at fange eventuelle udfordringer.

Men hvis man kigger på metodikken bag det kommende mærke, så er der nærmere tale om en light audit med grundlæggende spørgsmål – for eksempel om virksomheden har udpeget en it-sikkerhedsansvarlig. Eller om virksomheden inden for de sidste seks måneder har oplevet nogen former for cyberangreb.

Hvis man svarer nej til sidstnævnte spørgsmål, så har man i hvert fald ikke styr på sin it-sikkerhed. For alle virksomheder bliver angrebet hele tiden …

2. Vi har allerede GDPR til at håndtere dataanvendelse
En anden udfordring med det kommende mærke er, at det blander it-sikkerhed sammen med ansvarlig dataanvendelse.

Det er to forskellige discipliner. Det kan godt være, at du har styr på dataanvendelsen, men at din it-sikkerhed ikke er på plads. Og i forhold til dataanvendelse har vi jo allerede GDPR, som det er lovpligtigt at følge, og som er mere målrettet.

Det virker ærligt talt lidt unødvendigt at introducere et mærke, der blot viser, at virksomheden lever op til gældende lovgivning.

Normalt bruger vi mærkningsordninger til at deklarere produkter eller virksomheder, der sætter højere standarder end lovgivningen. Vil et mærke ikke komme til at se ud, som om den pågældende virksomhed gør mere for ansvarlig dataanvendelse end naboen? Hvilket fører mig til min tredje og sidste anke:

3. Hvad med dem, der ikke har mærket?
Hvis du vil drive en restaurant i Danmark, så er du underlagt smiley-ordningen. Uanset om du vil det eller ej.

Og får du en sur smiley, så ved forbrugerne, hvad de skal forholde sig til. God hygiejne bliver et vigtigt konkurrenceparameter. Og det virker. Jeg går i hvert fald selv langt uden om de sure smileyer.

Men forestil dig så i stedet en tandpasta med mærket ”indeholder ikke bly.” Hvor mange ville ikke tænke tanken, at tandpastaen ved siden af i supermarkedet og uden et tilsvarende mærke måske indeholdt bly?

Det illustrerer udfordringen ved en mærkningsordning som ikke er obligatorisk for alle.

Det kan komme til at se ud, som om to virksomheder har helt forskellige sikkerhedsniveauer, selv om de i virkeligheden er på niveau.

Det risikerer at skabe et pres for at anskaffe sig mærket for at kunne konkurrere på lige vilkår. Med alt hvad det indebærer af ekstra administration og gebyrer, men uden at det reelt skaber en forskel for it-sikkerhed og dataanvendelse i virksomhederne.

Der skal omtanke til
Hvis vi skal have en mærkningsordning på dette område, så er det vigtigt, at vi udvikler den med omtanke.

Det skal være helt tydeligt for både virksomheder og forbrugere, hvad mærket ikke kan sige noget om, og hvad kriterierne er for at få det.

Og så vil jeg opfordre til, at parterne bag mærket tænker meget over, hvordan mærket kan supplere GDPR og fremhæve virksomheder, der gør mere end det, lovgivningen i forvejen foreskriver.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.




Premium
Udviklings- og Forenklingsstyrelsen lancerer for første gang robot baseret på kunstig intelligens: Skal skære op mod 400 timers tastearbejde væk
En ny RPA-robot skal effektivisere sagsbehandlingen hos Motorstyrelsen med op mod 400 timer mindre tastearbejde årligt. Robotten er udviklet i Udviklings- og Forenklingsstyrelsens store kunstig intelligens- og RPA-afdeling, der nu vil sætte endnu mere turbo på kunstig intelligens i RPA-løsninger.
Computerworld
Salling Group lukker stor online-satsning efter kun et år
Millionsatsningen Fillop lukker ved årets udgang. I stedet er supermarkeds-giganten Salling Group nu på vej med en række helt nye online-satsninger, der er affødt af coronakrisen.
CIO
Podcast: Hos Viking Life-Saving Equipment er it gået fra at være backend til at være noget, som kunderne spørger aktivt efter
Podcast, The Digital Edge: Viking leverer en stadig større del af deres produkt som en tjeneste. Som en del af tjenesten tager Viking ansvar for sikkerheden ved at levere, dokumentere og vedligeholde det nødvendige sikkerhedsudstyr. Hør hvordan Henrik Balslev senior digital director hos Viking har løftet den opgave.
Job & Karriere
Regner din ferie væk? Brug tiden på at søge en af disse otte stillinger, der er ledige netop nu
Det sjasker ned over hele Danmark. Du kan bruge de våde sommerdage på at søge et af disse otte job, der er ledige lige nu.
White paper
Få øjeblikkelig og brugbar sikkerhedsindsigt med SIEM i skyen
En stigende del af virksomhedens kritiske IT-infrastruktur og applikationer driftes som hybridløsninger eller leveres online som SaaS eller PaaS. Alligevel er mange sikkerhedsprodukter stadig on-premise-baserede, tunge at implementere, kræver løbende vedligehold, er svære at overskue og bliver slet ikke udnyttet effektivt – hvis de da overhovedet installeres. Men det er under hastig forandring. Gartner venter, at 80% af alle Security Information and Event Management-løsninger (SIEM) om højst fem år vil have kernefunktioner, der udelukkende leveres via skyen, og det er der gode grunde til. Cloudbaseret SIEM er mere agilt, lettere at implementere, trækker på både AI og flere datakilder, er enkle at skalere og giver et markant bedre og mere prioriteret overblik over aktuelle trusler. Læs meget mere i denne hvidbog.