Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Min klumme her er en kommentar til en artikel på Computerworld, hvor direktør Claus Østergaard Olsen langer ud efter offentlige myndigheder for manglende hjælp til virksomheder, som rammes af cyberangreb.
Umiddelbart da jeg læste artiklen var min første tanke: Forventer vi virkelig, at det offentlige hjælper, hvis man kommer galt afsted som virksomhed?
Takket være den danske velfærdsstat bliver ingen borgere tabt på gulvet – og heldigvis for det.
Men her er ikke tale om en borger, men derimod om en virksomhed. Og blandt professionelle må det forventes, at der findes midler til selv at tage sin forholdsregler.
Men ved nærmere eftertanke, så har Claus Østergaard Olsen jo ret – delvist.
For naturligvis har staten et ansvar.
Staten har for eksempel et ansvar, når det handler om at sikre den kritiske infrastruktur, som kan lamme samfundet.
Staten kan også forventes at have et ansvar over for borgerne, som i dette tilfælde er Gigabits kunder.
Hvad med en årlig risikovurdering?
Derfor vil min anklage mod de offentlige myndigheder i dette tilfælde være, at der ikke for længst er indført krav til virksomheder om for eksempel en årlig risikovurdering og efterfølgende sikkerhedstjek.
De fleste virksomheder udfører heldigvis selv med jævne mellemrum sikkerhedstjek, der ikke alene fortæller dem, hvor de potentielle svagheder findes, men også giver dem en risikovurdering, som gør det muligt at prioritere deres sikkerhedsindsats.
På den måde er man som virksomhed klædt på og ved præcist, hvilke konsekvenser et potentielt angreb vil få ikke alene for ens egen forretning, men også for kunderne.
Man har dermed mulighed for at tage de nødvendige forholdsregler og beskytte sine kunder.
Situationen kan sammenlignes med at tegne en husforsikring - eller undlade at gøre det og håbe på, at huset ikke brænder.
Hvis man vælger ikke at gennemføre jævnlige sikkerhedstjek og løbende udbedre eventuelle sårbarheder, så skubber man en cybergæld foran sig som en snebold, der bare bliver større og større.
Sårbarhederne bliver flere og flere, og det bliver tilsvarende dyrere at rette op på dem, efterhånden som tiden går.
Men vi mennesker er jo forskellige.
Nogle kan lide at gamble, andre vil hellere gå med både livrem og seler.
Nyd det så længe det varer
Til it-sikkerhedsgamblerne har jeg bare at sige: Nyd det så længe det varer, men lad være med at klage, når det går galt.
Et andet argument for ikke at indblande staten i virksomheders it-sikkerhedsproblematikker er, at når staten går ind og rådgiver og anbefaler, så bliver der meget hurtigt tale om monopollignende tilstande.
Hvilke løsninger skal anbefales frem for andre? Hvilke leverandører skal der peges på, og hvem skal der ikke peges på og hvorfor ikke?
Jeg synes, vi har oplevet tilstrækkeligt med eksempler på offentlige-private it-samarbejder til at vide, at det ikke er nogen udpræget god idé. Ingen nævnt, ingen glemt.
Men tilbage til Gigabit.
Claus Østergaard Olsen har da fuldstændig ret, når han siger, at Center for Cybersikkerhed med garanti ligger inde med værdifuld viden, som er guld værd for andre, og som de derfor burde dele ud af, så virksomheder og vi andre kan drage den viden med ind i sikkerhedsarbejdet.
Men det havde måske givet mere mening, hvis Claus Østergaard Olsen have pointeret dette på et tidligere tidspunkt og ikke først nu, hvor krigen er brudt ud, og han selv sidder med problemet.
Nu kommer det til at lyde mere hult. Kæmp hellere dine kampe i fredstid.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
