Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 20. januar 2006.
Et privat it-sikkerhedsråd som forum for
analyser, debat og lobbyvirksomhed kan blive en løsning på den frustration som mange
it-sikkerhedsfolk føler efter nedlæggelsen af Rådet for IT-sikkerhed.
Der hvilede en tung sky af uforløst politik over førstedagen på den årlige todagskonference om it-sikkerhed, som Dansk IT stod bag for 19. gang. Det begyndte allerede at trække sammen, da interesseorganisationens formand Per Buchwaldt i sin velkomst til de godt 200 deltagere tirsdag morgen beklagede, at regeringen havde valgt at nedlægge Rådet for IT-sikkerhed.
- Det er meget underligt, at ministeren har valgt at nedlægge Rådet for IT-sikkerhed. Men jeg har selv været medlem af rådet og mener ikke, at det er tilstrækkeligt med kompetencer på papiret. Der skal komme praktiske resultater, og uden ressourcer til at drive et sekretariat bagved sådan et råd, så sker der ingenting, indledte Per Buchwaldt dagen.
- Så meget desto vigtigere er det, at vi, der beskæftiger os professionelt med it, arbejder aktivt med it-sikkerhed. Dansk IT vil gerne forsøge at fylde det tomrum, der er opstået efter Rådet for it-sikkerhed, gennem vores Fagråd for it-sikkerhed og andre netværk, sagde Per Buchwaldt.
Der er frustration blandt it-sikkerhedsfolk over, at regeringen igen har valgt at ændre og i princippet starte forfra med at bringe it-sikkerhed ind i en politisk og samfundsmæssig dagsorden. En indsats som er nødvendig for, at almindelige brugere og erhvervslivets beslutningstagere får øjnene op for, at it-sikkerhed ikke er et nødvendigt økonomisk onde og en besværlig barriere, men en vigtig forudsætning for at kunne udnytte teknologiens fordele.
- Hvis vores gader og stræder så ud som internettet, så ville vi jo være i undtagelsestilstand, sagde it-sikkerhedschef Kim Aarenstrup fra A. P. Møller - Mærsk spøgefuldt i sit indlæg om it-sikkerhed i Danmarks største virksomhed. Et indlæg understregede, at succes med it-sikkerhed kræver et langt sejt og fokuseret træk.
Samme meldinger om arbejdet med it-sikkerhed på mikroniveau i virksomheder, kom fra Ole Hvidkjær, der arbejder med operationel risikostyring i Danmarks Nationalbank. Så skiftede scenen igen til makroniveau, da videnskabsminister Helge Sander (V) indtog scenen.
I sit 15 minutters indlæg fortalte ministeren de godt 200 deltagere fra alle hjørner af it-sikkerhedsarbejdet, at it-sikkerhed er vigtigt og ikke kender nogen grænser i en globaliseret verden. Mod slutningen af indlægget nåede han dog til at fortælle, at der nu afsættes 10 millioner kroner ekstra til forskning i it-sikkerhed, og at han havde noteret sig, men ikke kunne forstå kritikken af den nye model for regeringens arbejde med it-sikkerhed.
Der var ellers store forventninger, da den nye regering i 2002 nedlagde det eksisterende it-sikkerhedsråd og oprettede Rådet for IT-sikkerhed, der skulle være uafhængig og have et egentligt sekretariat forankret i Videnskabsministeriet.
Kommissoriet for det nye råd løb frem til udgangen af 2005. Og i efteråret besluttede regeringen sig for at indføre en helt ny model for it-sikkerhedsarbejdet.
Det uafhængige råd erstattes af et nyt samarbejde om it-sikkerhed mellem Videnskabsministeriet og Teknologirådet. Der bliver udpeget et it-panel, der skal rådgive It-sikkerhedskontoret, som hører til i It- og Telestyrelsen.
- Det er fint med ekstra penge til forskning, og det nye it-sikkerhedspanel vil helt sikkert skabe en bedre og nødvendig kontakt til it-sikkerhedsbranchen. Min pointe er bare, at uden ekstra midler vil samarbejdet med Teknologirådet ikke resultere i andet end en enkelt rapport, og samtidig mister man uafhængigheden, kommenterede Dansk IT's formand Per Buchwaldt i frokostpausen.
En slags forløsning kom der dog, da formanden for det nu hedengangne Rådet for it-sikkerhed Allan Fischer-Madsen indtog scenen. Han pegede på, at der netop nu er et behov for at sikre et it-sikkerhedspolitisk arbejde, der hviler på analyser, anbefalinger af politiske og statslige tiltag samt debat - helst fra et uafhængigt råd.
- Vi kom med et forslag til regeringen om at ændre rådets kommissorium, så det blev mere realistisk og så rådet fik en sammensætning med øget faglig ekspertise, fortalte Allan Fischer-Madsen
Han mener fortsat, at der er behov for at finde en ny model for en uafhængig rådgiver på it-sikkerhedsområdet. En mulighed kunne efter hans mening være at anvende den ide som IT-Brancheforeningen er kommet med, som kopierer modellen fra Rådet for Større Færdselssikkerhed og skaber et Rådet for større it-sikkerhed i et økonomisk og fagligt interessentskab mellem staten og branchen.
Endelig ser Allan Fischer-Madsen en mulighed for et it-sikkerhedsråd i privat regi, som kunne udspringe af de interessefora, som allerede eksisterer. Sådan en organisation kunne stå bag analyser, forslag til initiativer og lobbyvirksomhed.
billedetekst: Flere penge Underligt, at ministeren har valgt at nedlæge Rådet for IT-sikkerhed, mener formanden for Dansk IT, Per Buchwaldt, som på IT-sikkerhed 2006 slog til lyd for flere midler til it-sikkerhedsarbejdet.
Foto: Hans Juhl
Behovet er der Der er behov for at finde en ny model for en uafhængig rådgiver på it-sikkerhedsområdet, siger Allan Fischer-Madsen, som på IT-sikkerhed 2006 fremlagde en liste med konkrete arbejdsopgaver. Foto: Torben Klint
boks: it-sikkerhedsopgaver
Allan Fischer-Madsen, formand for det nedlagte Rådet for IT-sikkerhed, fremlagde på IT-sikkerhed 2006 en ideliste over aktuelle nødvendige it-sikkerhedspolitiske tiltag.
• Forbrugerprodukter, der er konfigureret sikre, når de tages i brug.
• Substantielle kampagner om it-sikkerhedskultur.
• Sårbarhedsanalyse af det danske samfund på "it-systemniveauet".
• Relevant og brugbar it-sikkerhedsstatistik eller målinger.
• Uafhængige it-sikkerhedsanalyser på tværs eller i specifikke sektorer.
• It-sikkerheds- og datasikkerhedsinitiativ vedr. RFID og pervasive computing.
• Oplysning evt. forholdsordre vedr. phishing og identitetstyveri.
• Hardwarebaseret digital signatur (elektronisk identitetskort)
• Sammenligning af DS484 og IS17799.
Eksempler på tiltag, som Rådet for IT-sikkerhed satte i værk:
• Initiativer til større ansvarlighed på leverandørsiden - for eksempel ISP sikkerhedsforum.
• Oplysning - brochurer, hjemmeside og fælles gode råd.
