Flere IT-sikkerhedsfolk i Danmark mener ikke, at IT-sikkerheden er så dårlig, som direktøren for Ingrian Networks i Europa, James Blom, hævder.
James Blom sagde blandt andet, i artiklen Danmark ligger åben for hackere, at han mener, at IT-sikkerheden i Danmark ikke bliver taget alvorligt nok, og at flere danske netværk og servere er for nemme at bryde ind i. Direktøren vurderer, at dansk IT-sikkerhed er for dårlig i forhold til de lande, vi sammeligner os med.
Men Carsten W. Heilbuth er uenig. Han leder selskabet KPMGs afdeling for IT-riskmanagement.
- Generelt er det mit indtryk, at Danmark er godt med. Der vil selvfølgelig altid være steder, hvor det kan gøres bedre. Men alt i alt er det et relativt pænt billede, vi har af IT-sikkerheden i Danmark, siger Carsten W. Heilbuth.
KPMG-manden mener dog, at det i det hele taget er svært at sige noget entydigt om dansk IT-sikkerhed, fordi der er lavet for få uafhængige undersøgelser af problemets omfang.
Andre lande har også problemer
Finn Auning er formand for et nyoprettet udvalg i IT-brancheforeningen med fokus på IT- sikkerhed. Han mener, at der er flere eksempler på, at IT-sikkerheden i Danmark er dårlig:
- Den seneste tids sager illustrerer, at der er problemer med IT-sikkerheden i Danmark. Når det er sagt, tror jeg ikke at situationen i Danmark er specielt meget værre end i de andre lande, som vi normalt sammenligner os med. Men de oplever jo også sikkerhedsproblemer, siger Finn Auning.
Han mener, at der vigtigt, at der fokuseres på sikkerhed i fremtiden. Ikke mindst af hensyn til vores omdømme som IT-nation.
- Det er enormt vigtigt at der fokuseres på sikkerhed, hvis Danmark vil bevare en førerposition inden for IT-udviklingen. Hvis vi ikke er ordentligt med på alle fronter, risikerer vi, at sager som dem, vi har set omkring Socialministeriet og Økonomiministeriet, undergraver tilliden til, at vi har styr på det, siger Finn Auning.
Han peger på planerne om digital forvaltning som et oplagt sted at starte.
- Det bliver afgørende for implementeringen af det digitale Danmark, at sikkerheden er i orden. Hvis der er huller i systemerne, vil det kunne få stærk indvirkning på folks tiltro til den digitale forvaltning. Omvendt har Danmark en god mulighed for at markere sig som IT-nation, hvis det lykkes, lyder det fra Finn Auning.
Ulven kommer
Ulf Munkedal er IT-sikkerhedsekspert og ejer af Fort Consult. Han kan heller ikke genkende det billede, som James Blom malede op i mandags. Han siger, at udmeldinger af den art indebærer en fare for, at virksomhedsledere bliver døve over for sikkerhedsproblemer.
- Når der er blevet råbt "ulven kommer" tilstrækkeligt mange gange, ender det til sidst med, at ingen tror på det, når ulven virkelig kommer, siger han.
Ulf Munkedal mener, at sikkerhed skal ses i et langsigtet perspektiv.
- Det er vigtigt at man ikke går i panik, når der kommer udmeldinger af denne art. På den anden side skal man heller ikke gå i den anden grøft og tro sig sikker, bare fordi der aldrig er sket noget. Sikkerhed går netop ud på konstant at vurdere truslen - og tage sine forholdsregler, siger sikkerhedseksperten.
Små virksomheder presset
Carsten W. Heilbuth fra KPMG vurderer, at små virksomheder har svært ved at følge med:
- Vi kan se, ud fra vores egne undersøgelser, at de store virksomheder er godt med omkring sikkerhed. Det skyldes primært, at de har råd til at følge med udviklingen. Der opstår jo nye huller hver dag, og det gør det nok svært for en lille virksomhed - med et stramt budget - at følge med.
Heri er formanden for IT-B's sikkerhedsudvalg, Finn Auning, enig.
- Der er reel fare for, at de små virksomheder ikke kan følge med udviklingen, fordi det går så forbandet stærkt. Vi har sågar selv problemer med at følge med. Hver dag opstår der jo nye huller som vi skal være opmærksomme på.
Fælles standard
Finn Auning gør sig til talsmand for, at branchen laver en fælles standard for certificering af sikkerhedsniveauet i de forskellige løsninger som branchen sælger.
- Det bedste ville være, hvis branchen kunne blive enige om en art mærkning eller certificering af, hvor sikker et bestemt stykke software eller hardware er ud fra en fælles standard. Det vil betyde, at kunderne kan få et bedre indblik i, hvor sikre deres IT-løsninger er.
Han fortæller, at IT-brancheforeningens sikkerhedsudvalg, som han er formand for, er på vej med et udspil til en sådan ordning.
- Tiden må jo vise, om branchen vil være med til det, siger Finn Auning
Tiltaget fra IT-Brancheforeningen bliver dog ikke det eneste af sin art. Onsdag offentliggjorde Ministeriet for Videnskab, Teknologi og Udvikling planer om et nationalt kompetencecenter for IT-sikkerhed til erstatning for det nedlagte IT-sikkerhedsråd.
Nogle af arbejdsområderne for det nye center bliver blandt andet at fastsætte normer og standarder for IT-sikkerhed og lave løbende målinger af IT-sikkerhedsniveauet i Danmark.
Behov for undersøgelser
Carsten W. Heilbuth undres over de mange, der tilsyneladende ved en masse om sikkerhedsniveauet i Danmark.
- Generelt er det svært at sige noget samlet om sikkerhedsniveauet i Danmark, fordi der ikke er lavet dækkende undersøgelser af problemet. De få, der er lavet, baserer sig på et for lille datagrundlag. Samtidig er det et pænt stykke tid siden, at det sidst blev undersøgt. Så jeg ser frem til, at det nye center får lavet nye og mere dækkende undersøgelser.
Den sidste offentligt tilgængelige undersøgelse, der er lavet af IT-sikkerheden i Danmark, udkom i begyndelsen af dette år. Det var det nu nedlagte IT-sikkerhedsråd, der stod bag. Undersøgelsen indeholdt blandt andet en HIT-liste over de tyve hyppigste skader.
Nummer et på denne liste var virusangreb. Næsten halvdelen af de adspurgte virksomheder havde oplevet problemer med virus. Problemer med telekommunikation, back-up, og "gammeldags indbrud" kom ind på anden, tredje og fjerdepladsen. Først nede på 11. pladsen finder vi ?uautoriseret adgang?, med 48 ramte virksomheder, eller godt 12 procent.
Undersøgelsen baserede sig på spørgeskemaer udsendt til danske virksomheder og institutioner i første halvår af 2001. 391 besvarelser kom retur, og danner grundlag for HIT-listen.
Relevante links:
Den første artikel "Danmark ligger åben for hackere", affødte heftig debat på sitet. Læs debatten her
IT-sikkerhedsrådets delrapport: Datasikkerheden i Danmark