Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Forleden talte jeg med en ven, der ved virkelig meget om cybersikkerhed både i det private og det offentlige.
Vi nørdede over anbefalinger til den dersens Kalvebod Brygge-Deklaration, som et par håndfulde flinke og gode mennesker har arbejdet på i nogen tid.
Cybersikkerhed for private, hhv. offentlige er så forskellige størrelser, at vi ikke kan komme med de samme anbefalinger på begge områder.
Jeg har derfor valgt at dedikere denne klumme til at tale om et par af anbefalingerne, der kan øge cybersikkerheden for borgere og private virksomheder og så bruge næste uges klumme til at komme med anbefalinger til, hvordan man kunne øge cybersikkerheden i det offentlige.
Det er måske også næsten en lille bitte smule sjovt, at vi udsætter dét med det offentlige til senere...
Nå, tilbage til det private område:
Forestil jer et øjeblik, at kultur, fødevarer, landbrug og miljø ikke havde deres eget ministerium, men i stedet hver især blev varetaget (særdeles) delvist af forskellige instanser:
- Forsvarets Personeltjeneste tog sig af impressionistisk kunst (og FE havde en særlig afdeling med ansvar for at arrangere udstillinger på Louisiana, men fortalte aldrig om kommende arrangementer),
- Politiet havde en styrelse for små vandløb og en hotline under Rigspolitiet for gråandepassage over landeveje (men altså kun for gråænder og kun over landeveje),
- Udenrigsministeriet kontrollerede import af sydamerikanske bælgfrugter og rødvin fra EU-lande, mens
- Statsministeriets styrelse for gravhøje var ansvarlig for at kontrollere landbrugets forbrug af fast gødning på rapsmarker.
Sådan omtrent er situationen på it- og cybersikkerhedsområdet. Lap på lap på lap, som man kalder gruppesex i det nordlige Finland.
Men hør, det var jo ikke et problem under enevælden, vel
It- og cybersikkerhedsproblemet er stort og går på tværs af alt og alle, men da det ikke var et problem under Enevælden, har vi ikke et ministerium for det, og da de fleste MF'ere fortsat har svært ved at finde for eksempel C på et tastatur er it heller ikke særligt højt på agendaen i vore forskellige stænderforsamlinger.
I 2019 skrev jeg i en kronik i Berlingske, at situationen kunne sammenlignes med en bystat med vidt åbne porte, ingen låse på dørene, ingen, der stoppede en gut, der slæbte afsted med et maleri, vagter der aldrig pågreb nogen - og hvor folk, der gemte sig bag sofaen i et privat hjem bare fik lov at blive liggende i fred og ro.
Kronikken er blevet frigivet til almen fordøjelse.
Fornøj jer eventuelt bare med begyndelsen af den - der er sket meget i de seneste fire år, der adresserer en del af det jeg brokkede mig over, eller som er blevet mere alment kendt:
Kina er den største trussel i cyberspace – ikke Rusland (berlingske.dk)
Tilbage til min viise ven og hans forslag!
Den første anbefaling er meget interessant og vil kunne skabe frygt, usikkerhed og tvivl (FUT) hos en gruppe virksomheder, der ikke rigtigt har prøvet dette før: Software-leverandørerne.
Præsident Biden har nemlig via Executive Order 14028 (EO 14028) bedt NIST (National Institute of Standards & Technology) om blandt andet at kigge på leveranceansvar for software.
Giv det en tanke...vi er vant til, at software-leverandører kan skrive sig ud af ALT i deres betingelser.
Men når du køber en mobiltelefon, en mikrobølgeovn, en el-cykel eller endda en laptop, så har leverandøren produktansvar. Punktum.
Findes ikke i software
Den type produktansvar, det vil sige ansvar for at produktet er godt og at man ikke kan komme til skade, hvis man følger retningslinjerne, findes ikke for software.
Selv hvis man patcher morgen, middag, aften, nat og hver time om tirsdagen, er der stadig en kæmpe svaghed indbygget for hver 42. kodelinie, der bare venter på at blive brugt af nogle herlige folk fra Persien, Peking, Pyongyang eller Sankt Petersborg.
Det er ikke mange, der fra begyndelsen dedikerer lige så mange penge og timer til sikkerheden af programmet som til selve designet og udviklingen.
Men det vil ændre sig. Vi skal op på at bruge 200 procent penge og timer: 100 procent til design og udvikling, 100 procent på sikkerhed.
Det skal blive meget interessant at følge EO 14028.
Men mon ikke det bliver til noget, når amerikanerne har fået nok og 3.400 NIST-folk sættes i bevægelse?
Og så følger vi andre efter.
Så bliver det pludselig anderledes interessant at købe software og læse Oracles licensbetingelser .
Nå, men træerne vokser bestemt ikke ind i himmelen, og man kan læse meget mere nuanceret om 14028 her:
Det var min vens første forslag.
Separat domstol
Det andet forslag er, at vi får en separat domstol, der er dedikeret til it- og cybersikkerhed med særligt uddannede dommere, ligesom vi har det for økonomisk kriminalitet i dag.
Og vi skal have en ombudsmand på området.
Hvis man gennemfører blot disse to tiltag i Danmark (leveranceansvar og cyberdomstol), vil vi reelt flytte noget.
Der vil stadig være masser af problemer, men den absurde situation, som vi har i dag, hvor Wyatt Earp og Calamity Jane frit kan roame i netværkene, Pony-ekspressen mangler to af fire hjul på dens drosker, og John Waynes timepris stiger hver uge, kunne blive bare lidt normaliseret og til at håndtere for både rigtige mennesker og pensionister.
We have a dream: At en dag vil vi både have en sherif, en dommer, et fængsel og en lovgivende forsamling, ja måske endda noget kavaleri i blå jakker.
Og Sølvpil og Lucky Luke vil sidde sammen i saloon'en og fortælle røverhistorier fra gamle dage over adskillige gode glas.
Og det bør I også gøre i den kommende weekend.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.