Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 29. august 2003.
Ingen har det overordnede ansvar for statens it-sikkerhed. Ulempen ved det decentrale sektoransvar er manglende overblik. Fordelen er, at sikkerheden bliver bedre, når ansvaret befinder sig tæt på brugerne. Forslag om fælles standard for it-sikkerhed i staten skal højne sikkerheden. Tidsplanen for den nationale sårbarhedsudredning er fremskyndet.
STATENS IT-SIKKERHED
Som et led i digitaliseringen af den offentlige forvatning har regeringen taget initiativ til at skabe et samarbejde om it-sikkerhed på tværs af ministerierne.
Der er ikke tale om en centralisering eller samordning af it-sikkerheden, men om at standardisere it-sikkerhedsprocesserne. Ansvaret vil stadig - som i dag - ligge i det enkelte ministerium ud fra devisen om, at lokal ansvarlighed giver bedre resultater end centrale direktiver.
- It-sikkerheden skal være så tæt på brugerne som muligt, siger fuldmægtig Erik Sørup Andersen, Kontoret for IT-Sikkerhed i IT- og Telestyrelsen.
- Vi har heldigvis sektoransvar i Danmark. Det er et sundt princip. Det nytter ikke noget, at andre, som ikke kender til et givet område, skal ind og overtage ansvaret, når det brænder på, siger kontorchef Jørn Devantier, Beredskabskontoret under Beredskabsstyrelsen.
De enkelte ministerier har desuden så forskellige opgaver og driver så mange forskellige former for kommunikation, at man ikke kan opstille fælles regler for it-sikkerhed, mener kontorchef Yih-Jeou Wang, IT-Politisk Center i Videnskabsministeriet.
Rigtig mange kokke
Videnskabsministeriet har i forbindelse med varetagelsen af regeringens it-politik en overordnet rolle i forhold til it-sikkerheden i samfundet. Det er er også Videnskabsministeriet, der laver budgetterne.
- Der afsættes ikke midler på finansloven specifikt til it-sikkerhed, det er en prioritering, vi foretager her i Videnskabsministeriet, siger Yih-Jeou Wang.
Foruden Videnskabsministeriet har også Justitsministeriet, Økonomi- og Erhvervsministeriet, Finansministeriet, Statsministeriet, Rigsrevisionen, Forsvarets Efterretningstjeneste (FE) med flere ansvar for hver deres del af statens it-sikkerhed.
Beredskabsstyrelsen har med Beredskabsloven, som trådte i kraft 1. juli i år, også fået del i ansvaret.
- Før havde vi kun ansvar i krigstid, men nu skal vi også koordinere planlægningen, hvis der sker ulykker eller katastrofer i fredstid, der går på tværs af sektorerne. Hvis hele statsadministrationen lammes af it-nedbrud, så vil vi være en del af den kriseberedskabsgruppe under Statsministeriet, der skal tage over, siger Jørn Devantier fra Beredskabsstyrelsen.
På de enkelte ministeriers ressort-områder er der rigtig mange, der skal kontrollere, rådgive og vejlede om statens it-sikkerhed. Blandt andre DK-CERT, Datatilsynet, Rigsrevisionen, IT- og Telestyrelsen (herunder Rådet for IT-sikkerhed og IT-sikkerhedskontoret), politiet, anklagemyndigheden, Finanstilsynet, FE og PET. Hertil kommer statslige it-leverandører og driftsselskaber.
Mange føler ansvar
- Vi føler os ansvarlige for Statens it-sikkerhed i et vist omfang, fordi det blandt andet er noget, vi har skrevet under på i vores kontrakter, siger kommunikationsdirektør Markus Bjørn Kraft, CSC.
- Rådet for IT-Sikkerhed har et ansvar for statens it-sikkerhed og for it-sikkerheden i den offentlige sektor, men det er ikke operationelt. Vi er netop et råd, der skal rådgive, men vi skal selvfølgelig give de rigtige råd, siger Allan Fischer-Madsen, formand for Rådet for IT-sikkerhed og partner i Devoteam Fischer & Lorenz.
Rådets bebudede vejledning om virus er blevet forsinket fra dette forår til efteråret, men Allan Fischer-Madsen tror ikke, at vejledningen ville have gjort den store forskel for Sobig-F's gennemslagskraft i den offentlige sektor.
- Jeg tror til gengæld på, at digital signatur kan komme til at gøre en forskel, når den bliver mere udbredt. Om et par år er der forhåbentlig ingen brugere, der dobbeltklikker på en vedhæftet fil i en mail med en signatur, de ikke kender, siger formanden for Rådet for IT-Sikkerhed.
Fælles standard på vej
Videnskabsministeriet har i øjeblikket et forslag til standardisering af it-sikkerheden i staten ude i høring i hele statsadministrationen. Høringsfristen er den samme som e-dag, på mandag den 1. september.
Arbejdet er sat i gang på mandat fra Regeringens Økonomiudvalg, fordi troværdighed og it-sikkerhed på tværs i forvaltningen er en forudsætning for at få det fulde udbytte af digital forvaltning.
Ideen er ifølge Yih-Jeou Wang blandt andet at indføre it-sikkerhedsstandarden DS 481-1 del 1 i statsadministrationen, hvor den set i lyset af det decentrale ansvar vil få funktion som en tjekliste. Indførelsen af en standard vil også kræve større engagement i it-sikkerhed fra topledelsens side.
- Det er ikke meningen, at der skal indføres hverken centralt ansvar eller samme sikkerhedsniveau overalt. Der vil stadig være forskel på behovet for it-sikkerhed for en finansserver på den ene side og for et udvalg under Kulturministeriet som den anden yderlighed, siger Yih-Jeou Wang.
I IT-Sikkerhedskontoret er fuldmægtig Erik Sørup Andersen ankermand på høringen.
- De svar, vi hidtil har fået ind, tyder på, at der er meget stor interesse for et fælles tiltag. Standardiseringen vil dog ikke betyde, at statsadministrationen ikke en anden gang kan gå i knæ på grund af et virusangreb. Men der vil i det mindste være en plan for, hvad man gør når og hvis, siger Erik Sørup Andersen.
Der går år
Han vurderer, at - såfremt Statens IT-Råd altså vælger at anbefale en tvungen eller frivillig overholdelse af en fælles it-sikkerhedsstandard i staten - der vil gå år, før standarden er indført overalt:
- Der er meget stor forskel på it-sikkerhedsniveauet i institutionerne. For nogle vil det blot være en formsag - andre skal starte fra grunden, og det er en stor opgave.
Sideløbende med initiativet til at standardisere statens it-sikkerhed har Indenrigsministeriet og Beredskabsstyrelsen sat ekstra skub i arbejdet med Den Nationale Sårbarhedsudredning, som blandt andet omfatter en udredning af statens og samfundets sårbarhed i forhold til it og tele. Udredningen forventes at være færdig før årskiftet.
Billedtekst:
Om et par år er der forhåbentlig ingen brugere, der dobbeltklikker på en vedhæftet fil i en mail med en signatur, de ikke kender, siger formanden for Rådet for IT-Sikkerhed, Allan Fischer-Madsen. Foto: Torben Klint
