IT-sikkerhedsudvalget i Dansk Dataforening vil i foråret formulere en vision for et IT-sikkerhedsmæssigt Danmark, som tager afsæt i den virkelighed, som IT-brugeren befinder sig i. Nogle risici er forbundet med den professionelle virksomhed, mens andre påvirker den private IT-bruger. Det gælder for alle at lære at forholde sig til konstruktivt og realistisk til forholdet mellem funktionalitet og sikkerhed.
Eksempelvis ADSL og den dertil hørende mulighed for konstant opkobling til Internet. Chancen for at private oplysninger på harddisken kommer i forkerte hænder bliver større end uden ADSL. Hvis man f.eks. kører sit bankregnskab via pc koblet op med ADSL, så mener jeg, at den i princippet frie adgang til harddisken svarer til at lade alle ens regnskabsbilag flyde på vejen. Hvem har ansvaret for sikkerheden? Er det »teknikken«, producenten eller den enkelte? En firewall sat op på pc’en kan et stykke hen ad vejen løse problemet.
Opmærksomheden mod IT-sikkerhed har for så vidt ikke ændret sig. Den har altid været der. Men med Internettets fremkomst har flere og flere fået øjnene op for de risici, der er forbundet med computere. Jeg synes dog debatten meget har været præget af skandalesager og ikke altid af en nøgtern overvejelse overfor den reelle fare. Frygten for overvågningssamfundet har også fået sikkerhedsdebatten lidt af sporet.
De sikkerhedsmæssige risici kan ofte begrænses ved at tage nogle enkelte forholdsregler. Det drejer sig om at forstå, at vores samfund bliver kittet sammen af IT, og at den måde, vi kommunikerer sammen på, er ved at udveksle data. Data kan skrives, slettes og bearbejdes. De findes »et sted« på harddisken eller som små pakker, der sendes afsted igennem telefonlinierne. Data forsvinder ikke bare fra systemerne. Med de rette værktøjer kan de gendannes eller aflyttes.
Man må acceptere, at der er svagheder i sikkerheden i de fleste systemer, men det betyder jo ikke, man så skal gå rundt med hovedet under armen og ikke gøre noget.
Foreningen ønsker at fremme IT-sikkerhedspolitiske synspunkter og tiltag, der så vidt muligt støtter en dynamisk samfundsudvikling, som baserer sig på en høj grad af IT-anvendelse. At en funktionalitet kan stilles mere effektivt til rådighed ved brug af IT, bør ikke i sig selv medføre et krav om øget sikkerhed i forbindelse med funktionalitetens udnyttelse - sammenholdt med anden eller mere traditionel udnyttelse heraf - medmindre et højere (IT-) sikkerhedsniveau var et fastlagt succeskriterie fra starten.
Vi ønsker i dialog med politikerne at påvirke den politiske proces, så forslag til samfundets IT-indretning kommer til at indeholde et IT-sikkerhedsmæssigt aspekt, hvor løsninger er afpasset det sikkerhedsmæssige niveau, der skønnes nødvendigt. Hverken så vi lader alle døre stå åbne for hackere og heller ikke så restriktivt, at spøgelset om overvågningssamfundet bliver vagt til fode igen. De sikkerhedsmæssige løsninger skal ses i en helhed. Man kan også med en let omskrivning sige, at det gælder om at fokusere på osten fremfor kun at kigge efter hullerne!
Af Carsten Stenstrøm, fmd. for IT-sikkerhedsudvalget i Dansk Dataforening og koncern IT-sikkerhedschef i Danske Bank
