Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 20. februar 2004.
Mens politikerne regulerer i detaljen over for pizzabageren, stilles der ingen krav til internetudbyderne - ej heller til det offentliges sikkerhedsniveau. Der savnes en overordnet koordinering på it-fronten, siger erhvervsrepræsentanter.
Koordinering
Mange "kokke" deles om ansvaret for at beskytte samfundets infrastruktur mod angreb via internettet og it-systemer. For mange. Og alligevel gøres der for lidt. Sådan lyder vurderingen fra Teknologirådet.
Vurderingen fremgår af publikationen "Fra rådet til tinget" - et nyhedsbrev fremsendt til Folketinget for en uge siden. Nyhedsbrevet med overskriften "Infrastruktur åben for Cyberterror?" bygger dels på et meget detaljeret oplæg til en workshop i efteråret 2003 og dels på resultatet heraf.
I oplægget afspejles både ansvarsfordelinger og mærkværdigheder. Cyberterrorisme hører for eksempel til under Politiets Efterretningstjeneste, mens sårbarheder, der vedrører landets beredskab, har hjemme i Forsvarsministeriet. Samtidig har Rigspolitichefens særlige organ, Nationalt Forskningsstøttecenter, til opgave at overvåge organiseret og kompliceret it-kriminalitet.
Netop Forsvarsministeriet foreslog i 2001, at man skulle favne de gamle opdelinger ved at oprette et nyt overordnet organ - et "Koordinationscenter for beskyttelse af national it-infrastruktur", men intet skete.
Ingen krav
Politikerne har heller ikke hæftet sig ved misforholdet mellem, at selv den mindste pizzabager skal have et næringsbrev og overholde hygiejnekrav, mens det står enhver skurk frit for at starte som internetudbyder.
Ejendommeligt er også, at politikerne ikke har stillet krav til offentlige organisationer om at skulle leve op til et mindstemål af it-sikkerhed. En offentlig organisation kan for eksempel undlade at scanne e-mails for ondartet kode og undlade at foretage backup, uden at det får konsekvenser.
Erhvervsliv presser
Teknologirådet har talt med en række sikkerhedskyndige såvel inden for det offentlige som i erhvervslivet. Man kan i nyhedsbrevet læse, at Danske Banks it-sikkerhedschef Kjell Hermansson undrer sig over, at der endnu ikke er iværksat en koordineret indsats på landsplan. Niels Nygaard, Security Manager hos SAS, undrer sig også. Han mener, at det bør være en "totalforsvarsopgave" helt på linie med beskyttelse af for eksempel el- og varmeforsyningen.
På den positive side tæller, at der sker ting i Videnskabsministeriet. MenTeknologirådet lader sig ikke stille tilfreds med det niveau, som It- og Telestyrelsen har lagt for deres projekt med navnet "Statsligt it- og teleberedskab".
At fokusere på staten alene er alt for smalt, mener Teknologi-rådet, der blandt andet henviser til hollandske erfaringer. Her har man skiftet fra et smalt fokus til et bredt, der også omfatter koblinger til den private sektor, men som derfor også vil tage lang tid at gennemføre.
Teknologirådet har imidlertid ingen magt. Kun ret til at informere folketingspolitikerne, når væsentlige sager trænger sig på.
Faktabokse:
Det offentlige beredskab
Videnskabsministeriets undersøgelse sætter fokus på den tele- og internetstruktur, som det offentlige er afhængig af i beredskabssituationer. TDC vil få besøg og ligeledes de øvrige udbydere af tele- og internetadgang.
Der skal desuden tages et kig hos samtlige beredskabsmyndigheder, men ikke i detaljer. Formålet er blandt andet at samle tilstrækkelig med baggrundsviden til, at man senere kan tilbyde disse myndigheder en tjekliste og anden generel hjælp.
For det praktiske arbejde står konsulenthuset Deloitte & Touche, der vandt Videnskabsministeriets udbudsforretning. Ifølge kontorchef i ministeriet, Yih-Jeou Wang, sætter konsulenthuset ti mand på opgaven, der skal gennemføres på tre til fire måneder. Derefter tager en ministeriel projektgruppe over og udarbejder anbefalinger, som ventes at foreligge sidst i 2004.
Efterfølgende sendes anbefalingerne i høring, og her vil også repræsentanter for det private erhvervsliv blive hørt, siger Yih-Jeou Wang. Hvornår regeringen forventes at skulle tage stilling til beredskabet vides endnu ikke, bortset fra at 2005 nævnes. toft
Overordnet indsats efterlyses
Teknologirådets notat om sårbarhed fra efteråret 2003 rummer en holdninger til, hvad der er behov for, og hvad det værst mulige trusselsbillede udgør. Rådet har interviewet folk i både den private og den offentlige sektor.
Danske Bank: Der er behov for en koordineret indsats for at styrke den internetrelaterede it-sikkerhed på landsplan. Der burde være handlet for længe siden. Internetudbyderne bør tage langt mere sikkerhedsansvar og underlægges kvalitetskrav fra det offentliges side.
SAS: Der er et udtalt behov en koordineret, landsdækkende indsats. For luftfarten isoleret set er samspillet mellem de statslige lufttrafiksystemer, lufthavnenes egne it-systemer og flyselskabernes it-systemer kritisk.
Hovedstadens Sygehusfællesskab: Der er behov for en koordineret indsats. Sårbarheden øges i takt med, at der indføres elektroniske patientjournaler med kontakt til andre it-systemer og it-styret apparatur på hospitalerne.
TDC: It-sikkerhed er første og fremmest den enkelte virksomheds ansvar. TDC betragter afbrydelse af strømforsyningen blandt værste tænkelige scenarier.
CSC: Man burde for længst have klarlagt, hvilke systemer, som er kritiske for driften af det danske samfund. Og der er under al kritik, at der lovgivningsmæssigt ikke er stillet krav om f.eks. virusscanning, backup m.v. til offentlige forvaltninger.
Energi2: Overordnet indsats er ikke nødvendig. Decentraliser virksomhedens it-bårne processer og kør på teknologisk forskellige systemer. "Worst case" for Energi2 er, hvis hackere ødelægger systemer, der bruges til at handle strøm på de internationale el-børser.
(Yderligere information på www.tekno.dk)
Billedtekst:
Terror af den håndgribelige slags ramte OL i München i 1972 (billedet). Den mere uhåndgribelige cyberterrorisme har vi heldigvis ikke set meget til endnu i Europa. I Danmark er ansvarsfordelingen for bekæmpelse af dette uvæsen og andre af samme skuffe genstand for strid.
