Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.'
Trine Bramsen – vores forsvarsminister med ansvar for rigets sikkerhed – vil gerne fremstå handlekraftig, og med regeringens vanlige tæft for at ramme mediernes dagsorden har hun netop været ude med nyheden om en snarlig offentliggørelse af en national strategi for cybersikkerhed.
Det har ganske vist allerede været på tegnebrættet i et par år.
Problemerne omkring en bevidste håndtering af it-sikkerhed i projekter har været et tilbagevendende tema i den private sektor i lang tid, men nu hvor man har læst breaking om, at hacking, ransomware og digital spionage kan ramme kritisk infrastruktur og luske sig ind i centraladministrationen, har man altså vurderet, at det ville være formålstjenligt at få nogle uniformer på talerstolen.
Det er faktisk noget, vi bør hilse velkommen.
For uanset om man fokuserer på den offentliggjorte ’one-pager’, der giver et hurtigt overblik, eller på det kommissorium, som skal danne grundlag for den endelige strategi, så er det en ren tilståelsessag, der afslører, hvor galt det står til med myndighedernes forståelse af, hvor problemet ligger, hvor alvorligt det skal tages, og hvordan det følgelig skal løses.
Glade amatører
Noget af det første – muligvis lidt kulørte – der fik flest til umiddelbart at reagere, var naturligvis den helt overvældende disrespekt for problemets alvor.
Som en skærende kontrast til den alvorstunge mine, ministeren havde anlagt, måtte befolkningen se måbende til, da hun præsenterede et såkaldt ’cyber-hjemmeværn’ som en af de tre bærende søjler i den forventede strategi.
Man kunne tro, det var en morsomhed, men desværre nej.
Vi kender de glade hobby-infanterister fra parkeringspladserne ved kræmmermarkeder med licens til at løfte en advarende pegefinger, hvis vi holder uden for striberne.
Lignende skal nu forsvare vores digitale infrastruktur.
Og det vidner med al tydelighed om, at der helt grundlæggende ikke er den tilstrækkelige forståelse eller faglige indsigt til at håndtere udfordringerne.
Gaffatape og fugtskader
Så lad os begynde der. Med det grundlæggende.
Vores kommissær i EU, Margrethe Vestager, formulerede det på et tidspunkt meget rammende. Jeg citerer frit efter hukommelsen:
”Der er meget der er holdt sammen med gaffatape (i Danmarks offentlig it, red.)”. Det er almindelig kendt – dog bemærkelsesværdigt ignoreret fra offentlig side – at vores offentlige it-systemer har en så massive pukkel af teknisk gæld, med systemer, der dårligt nok hænger sammen, at hele korthuset, som man bliver ved med at bygge ovenpå, truer med at styrte sammen, hvert øjeblik det skal være. Vi taler systemer, der i nogle tilfælde er mere end 30 år gamle.
Vestager sagde, at disse systemer bliver holdt sammen med gaffatape. En anden metafor kunne være, at vores offentlige it har fugt i fundamentet.
Dette bliver på intet tidspunkt adresseret i hverken one-pager eller kommissoriet.
Faktisk er en håndtering af de enorme legacy-problemer larmende fraværende.
Til gengæld er kommissoriet fyldt med newspeak som ”videns- og awarenessindsats” og et gennemgående fokus på adfærd. Både blandt det offentliges ansatte, private aktører og danske borgere i almindelighed.
Vidste man ikke bedre, kunne man få indtrykket, at Danmarks it-sikkerhed primært er udsat, fordi folk ikke kan lade være med at klikke på links med katte-videoer og glemmer at skifte password.
Flødeskum på toppen
Efter endt læsning står det klart, at den kommende strategi ikke med sit nuværende fokus kommer til at løse de fundamentale problemer.
Den fortsætter nemlig ud ad den bane, der har kendetegnet det offentlige Danmarks digitaliseringsproces, hvor sikkerhed er det afsluttende flødeskum på toppen.
Det er et levn fra dengang, vi havde vores data i kælderen, og galakser væk fra tankegangen hos natives, der er født i clouden, og private aktører, som i forbindelse med deres cloudmigration har lært, at sikring af GxP ikke bare er første punkt i projektplanen, men er en integreret del af ethvert projekt og derfor ikke kommer som en overraskelse kort før launch.
Sagen er nemlig, at private aktører i dag slet ikke kan fungere, hvis de ikke har fuldstændig styr på compliance og governance.
Det er license-to-operate, da manglende opfyldelse vil diskvalificere dem hos samarbejdspartnere, der med god grund vil betvivle, om udvekslede data er sikre.
Og det er i virkeligheden det største problem: Ingen danske virksomheder eller borgere kan undgå at ”samarbejde” med de danske myndigheder, og da sidstnævnte tilsyneladende ikke har tænkt sig at få styr på deres egen sikkerhed og gøre noget ved den tekniske gæld, der giver dem fugt i sikkerhedsfundamentet, så er vi alle udsat.
Mere udsat, end et hjemmeværn kan dirigere os ud af.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.