Vidensdeling og åbenhed. De to dyder bliver konsekvent prædiket som (d)et afgørende element i god cybersikkerhed, og politikere fra begge sider af folketingssalen har meldt ud, at de private virksomheder skal åbne op for posen, og fortælle om det hackerproblem, der desværre kun bliver større.
Fra maj måned gør den europæiske persondataforordning det da også lovpligtigt at indberette datalæk og hackerangreb til både Datatilsynet og de berørte kunder, så åbenheden kommer - om man kan lide det eller ej.
Derfor er det dybt paradoksalt, at det offentlige, der ligger inde med følsomme persondata om alle danskere, i mange tilfælde praktiserer den ultimative lukkethed.
Den smule åbenhed, der en sjælden gang imellem når op til overfladen, kommer som regel fra det private erhvervsliv, hvor teleselskabet 3 sidste år gik forrest og fortalte åbent om, at hackere havde fået adgang til tusindvis af kunders private data. Cadeau for det.
Det offentlige er derimod ofte lukket som en østers.
Ret skal være ret, og der er flere gode eksmpler på kommuner, der står frem og fortæller om problemer med ransomware og medarbejdere, der klikker på mistænkelige links.
Det er forbilledligt, men der er desværre alt for mange eksempler på det modsatte.
Når Forsvarets mailsystem bliver hacket, er det umuligt at få svar på de grundlæggende spørgsmål, og når Skat får kritik for manglende kontrol med mere end 100 it-systemer, afviser man blankt at forklare hvordan og hvorfor.
Det seneste eksempel på dette er Moderniseringsstyrelsens pludselige nulstilling af kodeord i statslige it-systemer mellem jul og nytår.
Det vakte en del undren, da alle brugere uden varsel skulle have nyt password til blandt andet statens udgave af Navision-platformen, og bekymrede myndigheder frygtede naturligvis, at deres data havde været kompromitterede.
Hvorfor skulle man ellers vælge så drastisk og besværlig en løsning?
Det vedrører alle danskere, hvis hackere har haft adgang til fællesstatslige it-systemer, og derfor er det beskæmmende, at Moderniseringsstyrelsen nægter at besvare selv det mest simple spørgsmål om sagen: Hvorfor nulstillede man alle kodeord uden varsel på et af de mest upraktiske tidspunkter, man kan forestille sig?
Svaret til både medier og berørte myndigheder lyder, at nulstillingen er sket af sikkerhedshensyn. Hvilke sikkerhedshensyn, der er tale om, er dog en hemmelighed, og vi skal bare slappe af og lade være med at bekymre os, lyder meldingen.
I verdens mest digitaliserede land er det afgørende, at borgere og virksomheder tør stole på offentlig it. Men den efterhånden kilometer-lange liste af dårlige it-sikkerhedssager fra kommuner og regioner gør det ikke nemt.
Og i et moderne demokrati er det lidt af en kamel at sluge, når Moderniseringsstyrelsen bruger en gummiparagraf om statens sikkerhed i offentlighedsloven til at mørklægge oplysninger om, ja, statens sikkerhed.
Det er forståeligt, at virksomheder og myndigheder er bange for “lortesager”, men Moderniseringsstyrelsen kunne med fordel have fulgt bare lidt af 3s eksempel og lagt den overordnede baggrund for sagen frem.
Der er ikke nogen, der forventer eller ønsker, at dybe tekniske detaljer om Moderniseringsstyrelsens proceduerer og systemer skal frem i lyset.
Men det ville sætte det gode eksempel, hvis Modernisteringsstyrelsen som en af Danmarks vigtigste it-institutioner lagde kortene på bordet og fortalte, om man har været udsat for et cyberangreb, har begået en intern fejl eller noget helt tredje.
Både fejl og cyberangreb kan ske for enhver, men når man som Moderniseringsstyrelsen mørklægger alt, ja, så er der ikke noget at sige til, at folk frygter det værste.
Det gavner ikke nogen.
Efter tre uger er der omsider svar fra Center for Cybersikkerhed om Forsvarets dårlige it-sikkerhed: "Der henvises til besvarelse af spørgsmål 1"