Pas nu på: Mærkningsordning for it-sikkerhed kan give falsk tryghed

Klumme: Inden udgangen af 2020 kan de første danske virksomheder bryste sig af et nyt mærke for it-sikkerhed og ansvarlig dataanvendelse. Men der er mange problemer med den slags mærker, og folkene bag mærket skal holde tungen meget lige i munden.

Denne klumme er et debatindlæg og er alene udtryk for skribenternes synspunkter.

Vi har smiley’er i fødevarebutikker og restauranter. Vi har svane- og ø-mærker, når vi vil handle bæredygtigt.

Og nu skal vi også som det første land i verden til at have en mærkningsordning for ”it-sikkerhed og ansvarlig dataanvendelse”.

Formålet er, at virksomheder, der har styr på tingene, kan bruge det til at profilere sig selv og opnå en konkurrencemæssig fordel.

Det lyder jo rigtig godt, men det kræver også, at parterne bag mærket holder tungen lige i munden. Og at virksomheder og forbrugere er med på, hvad et sådant mærke ikke kan bruges til.

For det er en anden sag at opgøre it-sikkerhed og ansvarlig dataanvendelse end at sætte et mærke på en økologisk leverpostej. Og det siger jeg med al respekt.

Jeg ser tre grundlæggende udfordringer ved en mærkningsordning:

1. Det er svært at gøre det ordentligt, for it-sikkerhed er komplekst
Ingen tvivl om, at det er et nobelt formål at sætte fokus på sikkerhed, men metoden er jeg betænkelig ved, for hvis et sådant mærke virkelig skal være retvisende, så vil der skulle en temmelig grundig audit til.

Nærmest i stil med en ISO-certificering.

Cybersikkerhed er nemlig en kompleks størrelse. En leverpostej er enten økologisk eller ikke-økologisk. Med cybersikkerhed kan man ikke sætte det så enkelt op. Det er ikke det samme som fysisk sikkerhed.

Når det handler om it, kan man være mere eller mindre sikker, men aldrig 100 procent sikker. Derfor vil en mærkningsordning for it-sikkerhed aldrig være en garanti. Den kan højst vise, at man har taget nogle bestemte forholdsregler.

Og så er kompleksiteten meget større, for med it-sikkerhed skal du også bekymre dig om ’naboens’ sikkerhed. Hvis der er huller et sted i dit økosystem af leverandører eller kunder, så kan du gøre nok så meget selv men stadig have et sikkerhedsproblem.

Der er altså behov for et meget fintmasket net for at fange eventuelle udfordringer.

Men hvis man kigger på metodikken bag det kommende mærke, så er der nærmere tale om en light audit med grundlæggende spørgsmål – for eksempel om virksomheden har udpeget en it-sikkerhedsansvarlig. Eller om virksomheden inden for de sidste seks måneder har oplevet nogen former for cyberangreb.

Hvis man svarer nej til sidstnævnte spørgsmål, så har man i hvert fald ikke styr på sin it-sikkerhed. For alle virksomheder bliver angrebet hele tiden …

2. Vi har allerede GDPR til at håndtere dataanvendelse
En anden udfordring med det kommende mærke er, at det blander it-sikkerhed sammen med ansvarlig dataanvendelse.

Det er to forskellige discipliner. Det kan godt være, at du har styr på dataanvendelsen, men at din it-sikkerhed ikke er på plads. Og i forhold til dataanvendelse har vi jo allerede GDPR, som det er lovpligtigt at følge, og som er mere målrettet.

Det virker ærligt talt lidt unødvendigt at introducere et mærke, der blot viser, at virksomheden lever op til gældende lovgivning.

Normalt bruger vi mærkningsordninger til at deklarere produkter eller virksomheder, der sætter højere standarder end lovgivningen. Vil et mærke ikke komme til at se ud, som om den pågældende virksomhed gør mere for ansvarlig dataanvendelse end naboen? Hvilket fører mig til min tredje og sidste anke:

3. Hvad med dem, der ikke har mærket?
Hvis du vil drive en restaurant i Danmark, så er du underlagt smiley-ordningen. Uanset om du vil det eller ej.

Og får du en sur smiley, så ved forbrugerne, hvad de skal forholde sig til. God hygiejne bliver et vigtigt konkurrenceparameter. Og det virker. Jeg går i hvert fald selv langt uden om de sure smileyer.

Men forestil dig så i stedet en tandpasta med mærket ”indeholder ikke bly.” Hvor mange ville ikke tænke tanken, at tandpastaen ved siden af i supermarkedet og uden et tilsvarende mærke måske indeholdt bly?

Det illustrerer udfordringen ved en mærkningsordning som ikke er obligatorisk for alle.

Det kan komme til at se ud, som om to virksomheder har helt forskellige sikkerhedsniveauer, selv om de i virkeligheden er på niveau.

Det risikerer at skabe et pres for at anskaffe sig mærket for at kunne konkurrere på lige vilkår. Med alt hvad det indebærer af ekstra administration og gebyrer, men uden at det reelt skaber en forskel for it-sikkerhed og dataanvendelse i virksomhederne.

Der skal omtanke til
Hvis vi skal have en mærkningsordning på dette område, så er det vigtigt, at vi udvikler den med omtanke.

Det skal være helt tydeligt for både virksomheder og forbrugere, hvad mærket ikke kan sige noget om, og hvad kriterierne er for at få det.

Og så vil jeg opfordre til, at parterne bag mærket tænker meget over, hvordan mærket kan supplere GDPR og fremhæve virksomheder, der gør mere end det, lovgivningen i forvejen foreskriver.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.



mest debatterede artikler

Premium
Apple er på vej med en stribe nye iPhones: En folde-telefon kan være lige om hjørnet
Der kan være en stribe iPhones på trapperne, hvor Apple blandt andet formentlig vil forsøge at gøre andre producenter kunsten efter med en skærm, der kan foldes på midten.
Computerworld
Trump bønfalder Helle Thorning: Giv mig min Facebook-konto tilbage
Facebooks tilsynsråd, der har Helle Thorning-Schmidt i spidsen, har modtaget en erklæring fra Donald Trump, som ønsker at få genoprettet adgangen til sin Facebook og Instagram-konto.
CIO
Der findes ikke noget vigtigere for din virksomhedskultur end psychological safety
Klumme: Forskningen er entydig: Vidensarbejde er mere effektiv, når du tør stille spørgsmål, rejse kritik og indrømme fejl helt uden frygt for at blive straffet eller gjort til grin. Hvis du ikke har fokus på denne del af din virksomhedskultur, så lever din virksomhed og dine medarbejdere ikke op til deres fulde potentiale.
Job & Karriere
IBM Danmark trækker tilbud om frivillige fratrædelser tilbage for stort antal ansatte: "IBM har taget røven på sine ansatte"
Som led i IBM Danmarks store fyringsrunde fik 130 ansatte grønt lys til at forlade selskabet på en frivillig fratrædelsesordning. Men nu har IBM Danmark trukket det oprindelige tilbud tilbage for størstedelen af de ansatte.
White paper
Sådan: Giv medarbejderne frit valg og øg arbejdsglæden
Mange virksomheder udleverer stadig samme smartphone, laptop eller tablet til alle medarbejderne. Det kan koste dyrt på produktivitet, effektivitet, arbejdsglæde – og reelt også medføre ressourcespild, massivt øget administration og øgede sikkerhedsrisici. Men det behøver slet ikke at koste ekstra, hvis du giver medarbejderne indflydelse på, hvilke enheder de skal arbejde på. Tværtimod kan du med en gennemtænkt choose-your-own-device-aftale stille præcis det udvalg af enheder og tilbehør til rådighed, som både lever op til medarbejdernes forventninger og virksomhedens sikkerhedskrav.