Artikel top billede

Dansk cybersikkerhed har fugt i fundamentet ... og derfor er den nye nationale strategi vakkelvorn fra begyndelsen

Klumme: FE’s annoncering af en snarlig national strategi for cybersikkerhed afslører skræmmende uvilje til at adressere de rigtige problemer. Men på trods af en tilstandsrapport med flere K3’ere er strategien måske også morsom.

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.'

Trine Bramsen – vores forsvarsminister med ansvar for rigets sikkerhed – vil gerne fremstå handlekraftig, og med regeringens vanlige tæft for at ramme mediernes dagsorden har hun netop været ude med nyheden om en snarlig offentliggørelse af en national strategi for cybersikkerhed.

Det har ganske vist allerede været på tegnebrættet i et par år.

Problemerne omkring en bevidste håndtering af it-sikkerhed i projekter har været et tilbagevendende tema i den private sektor i lang tid, men nu hvor man har læst breaking om, at hacking, ransomware og digital spionage kan ramme kritisk infrastruktur og luske sig ind i centraladministrationen, har man altså vurderet, at det ville være formålstjenligt at få nogle uniformer på talerstolen.

Det er faktisk noget, vi bør hilse velkommen.

For uanset om man fokuserer på den offentliggjorte ’one-pager’, der giver et hurtigt overblik, eller på det kommissorium, som skal danne grundlag for den endelige strategi, så er det en ren tilståelsessag, der afslører, hvor galt det står til med myndighedernes forståelse af, hvor problemet ligger, hvor alvorligt det skal tages, og hvordan det følgelig skal løses.

Glade amatører

Noget af det første – muligvis lidt kulørte – der fik flest til umiddelbart at reagere, var naturligvis den helt overvældende disrespekt for problemets alvor.

Som en skærende kontrast til den alvorstunge mine, ministeren havde anlagt, måtte befolkningen se måbende til, da hun præsenterede et såkaldt ’cyber-hjemmeværn’ som en af de tre bærende søjler i den forventede strategi.

Man kunne tro, det var en morsomhed, men desværre nej.

Vi kender de glade hobby-infanterister fra parkeringspladserne ved kræmmermarkeder med licens til at løfte en advarende pegefinger, hvis vi holder uden for striberne.

Lignende skal nu forsvare vores digitale infrastruktur.

Og det vidner med al tydelighed om, at der helt grundlæggende ikke er den tilstrækkelige forståelse eller faglige indsigt til at håndtere udfordringerne.

Gaffatape og fugtskader

Så lad os begynde der. Med det grundlæggende.

Vores kommissær i EU, Margrethe Vestager, formulerede det på et tidspunkt meget rammende. Jeg citerer frit efter hukommelsen:

”Der er meget der er holdt sammen med gaffatape (i Danmarks offentlig it, red.)”. Det er almindelig kendt – dog bemærkelsesværdigt ignoreret fra offentlig side – at vores offentlige it-systemer har en så massive pukkel af teknisk gæld, med systemer, der dårligt nok hænger sammen, at hele korthuset, som man bliver ved med at bygge ovenpå, truer med at styrte sammen, hvert øjeblik det skal være. Vi taler systemer, der i nogle tilfælde er mere end 30 år gamle.

Vestager sagde, at disse systemer bliver holdt sammen med gaffatape. En anden metafor kunne være, at vores offentlige it har fugt i fundamentet.

Dette bliver på intet tidspunkt adresseret i hverken one-pager eller kommissoriet.

Faktisk er en håndtering af de enorme legacy-problemer larmende fraværende.

Til gengæld er kommissoriet fyldt med newspeak som ”videns- og awarenessindsats” og et gennemgående fokus på adfærd. Både blandt det offentliges ansatte, private aktører og danske borgere i almindelighed.

Vidste man ikke bedre, kunne man få indtrykket, at Danmarks it-sikkerhed primært er udsat, fordi folk ikke kan lade være med at klikke på links med katte-videoer og glemmer at skifte password.

Flødeskum på toppen

Efter endt læsning står det klart, at den kommende strategi ikke med sit nuværende fokus kommer til at løse de fundamentale problemer.

Den fortsætter nemlig ud ad den bane, der har kendetegnet det offentlige Danmarks digitaliseringsproces, hvor sikkerhed er det afsluttende flødeskum på toppen.

Det er et levn fra dengang, vi havde vores data i kælderen, og galakser væk fra tankegangen hos natives, der er født i clouden, og private aktører, som i forbindelse med deres cloudmigration har lært, at sikring af GxP ikke bare er første punkt i projektplanen, men er en integreret del af ethvert projekt og derfor ikke kommer som en overraskelse kort før launch.

Sagen er nemlig, at private aktører i dag slet ikke kan fungere, hvis de ikke har fuldstændig styr på compliance og governance.

Det er license-to-operate, da manglende opfyldelse vil diskvalificere dem hos samarbejdspartnere, der med god grund vil betvivle, om udvekslede data er sikre.

Og det er i virkeligheden det største problem: Ingen danske virksomheder eller borgere kan undgå at ”samarbejde” med de danske myndigheder, og da sidstnævnte tilsyneladende ikke har tænkt sig at få styr på deres egen sikkerhed og gøre noget ved den tekniske gæld, der giver dem fugt i sikkerhedsfundamentet, så er vi alle udsat.

Mere udsat, end et hjemmeværn kan dirigere os ud af.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.




Premium
Tech-giganters regnskaber overgik forventningerne, men investorerne frygter for fremtiden
Computerviews: De store tech-giganter har igen haft et kvartal med massiv vækst. Men selskabernes regnskaber blev modtaget køligt på aktiemarkeder, der frygter, at tiden efter coronakrisen vil byde på lavere vækstrater.
Computerworld
Hent opdateringerne nu: Apple lapper gabende sikkerhedshuller til iPhone, iPad og Mac
En sårbarhed gjorde det muligt for hackere at overtage kontrollen med din iPhone, iPad eller Mac. Det er 13. gang i år, at Apple lukker en nuldagssårbarhed.
CIO
Årets CIO 2021: Nu skal Danmarks dygtigste CIO findes - er det dig? Eller kender du en, du vil indstille?
Det er den mest eftertragtede titel for danske it-chefer og CIO'er, der er på spil, når Årets CIO kåres 16. september 2021. Søg selv eller prik til en, som du kender - og læs mere om prisen her.
Job & Karriere
Så meget kan du tjene: Disse stillinger giver den højeste løn i den danske it-branche lige nu
Du skal have ledelsesansvar, hvis du vil helt tops i lønhierakiet i den danske it-branche, viser nye tal. Se hvor meget du kan tjene i de stillinger i it-branchen, der giver den højeste månedsløn lige nu.
White paper
Sådan sikrer du hovednøglen til jeres data
80% af alle ransomwareangreb skyldes misbrug af privilegerede brugeradgange. Ved at begrænse og overvåge adfærden på de privilegerede konti samt kontrollere mængden af tildelte rettigheder kan du mindske skaden ved hackerangreb mod din virksomhed og i visse tilfælde helt blokere dem. Internt kan du bruge kontrollen med brugeradgange til at dokumentere, hvem der bevæger sig i hvilke systemer, og hvad der foregår derinde. Privilegeret brugerstyring har de seneste to år stået øverst på Gartners Top10-liste over it-sikkerhedsprojekter, der bør få højeste prioritet. Alligevel er teknologien kun så småt ved at finde fodfæste i Danmark. Det kan viden om åbenlyse gevinster, relativ kort implementeringstid og yderst rimeligt budget være med til at ændre på. I dette whitepaper folder vi temaet privilegeret brugerstyring ud og placerer teknologien i det væld af prioriteringer, som CISO’en hver dag skal foretage.