Artikel top billede

(Foto: Lars Jacobsen)

Nørgaard: Cybersikkerhed - en by i Danmark

Klumme: I dag handler min klumme om cybersikkerhed i det offentlige Danmark. Jeg har været nødt til at krydre klummen med notabener om andre ting for at gøre det lidt mere udholdeligt for mig selv.

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Jeg har ofte fået skæld ud for min negative tone, når det drejer sig om det offentlige, og jeg har lært at se positivt på tingene og glæde mig over alle de herlige ting, som vi har i Danmark.

Men i dag skal jeg skrive om cybersikkerhed i det offentlige Danmark, og jeg har været nødt til at krydre klummen med notabener om andre ting for at gøre det lidt mere udholdeligt for mig selv.

Spænd selen.

Jeg læste computer science på Louisiana State University i Baton Rouge fra 1982-83, og vi lærte Pascal.

Den første kode-opgave var at lave et tekstbehandlingsprogram. Så er man da også i gang, når man aldrig havde rørt en computer.

Man kunne reelt kun få terminal-adgang til mainframen efter klokken 22, så der var en særlig stemning, når 50-100 studerende sad og programmerede til næste morgen.

En af de ældre studerende, der hjalp os med dit og dat, blev jeg gode venner med.

Han hjalp mig også med at få tekstbehandlingsprogrammet til at flytte ord ned på næste linie, når de ramte højre margen.

Fløj nordpå

Så blev han færdig og graduerede Magna Cum Laude ("With great distinction"). CIA og en ret ukendt organisation ved navn NSA ville meget gerne hyre ham. Han fløj nordpå til samtaler med begge.

CIA havde sendt ham en liste med syv bøger, der var superkritiske over for organisationen og opfordrede ham til at læse nogle af dem før jobinterviewet, hvilket han gjorde.

Det syntes, og synes, jeg er så mega klogt og fedt, at de fortjener ros for det alene.

Men han opdagede, at NSA havde en masse Cray-supercomputere og nogle MEGET kraftige workstations til hver kodekarl.

Og at kodesproget, der var klassificeret, hed B (gæt hvorfor - det var i øvrigt virkeligt stærkt til at manipulere bits).

Han sagde ja

Operativsystemet var hjemmestrikket og hed Folklore, fordi det var farverigt, festligt og udokumenteret på nær en pamflet på knap 20 sider.

Han valgte NSA. Han måtte så desværre ikke mere have kontakt med mig, fordi Danmark dengang ikke var et land, som man stolede helt så meget på grundet blandt andet vores komplet sindssyge fodnotepolitik (skam få de socialdemokrater fra dengang!).

Jeg burde egentlig lede efter ham og høre, hvordan det er gået.

NB1: Hans bror spillede en overgang i Jesus And Mary Chain, så jeg må kunne finde ham. Deres historie er én af de sjoveste nogensinde: https://da.m.wikipedia.org/wiki/The_Jesus_and_Mary_Chain

Men idéen med at bede ham læse kritisk litteratur før interviewet er fan'me sej!

Gid vi kunne gøre noget lignende ved ansættelser i stedet for at søge på keywords efter nye folk, der ligner de allerede ansatte - og derudover bare skal være jubeloptimister og/eller Admiralen På Pinafore-typer .

Læs dem nu bare, for pokker da

Eller kunne vi dog bare få ledelsen og de ansvarlige for cybersikkerheden hos alle vore offentlige myndigheder til fire gange om året at læse de mange sønderlemmende rapporter fra Rigsrevisionen - og andre, der ved noget - og derpå foran ministeren svare korrekt på fem lette og to svære spørgsmål genereret af GPT4...

Husker I min kloge ven fra sidste fredag?

Ham med ideerne om producentensvar og dommere, der ved noget om it? Det handlede om borgere og private bikse.

Hans forslag vedrørende det offentlige var straks vanskeligere.

For vi har jo ikke "et offentligt system" i Danmark.

Vi har 98 kommuner, fem regioner, 23 ministerier og ihvertfald 100 styrelser og direktorater, der hver især er et selvkørende, offentligt system, der tænker helt, helt frit ift de andre og kun kopierer andres gode idéer, hvis det drejer sig om kreative ting som at lyve om kræftstatistikker overfor staten.

NB2: Fantastisk, pudsigt og statistisk interessant, at alle fem regioner har løjet på præcist samme måde overfor Brostrøms folk, ikke? Og at Brostrøms folk ikke har opdaget det, ikke? Opfinder og aftaler de ting over rødvinen ude på restauranten om aftenen under #OffDig?

Det frække, hemmelige ord for den slags er i øvrigt "Forvaltningskunst". Per Helge holder foredrag om det.

Mindre kreative tiltag, såsom at efterkomme de mindstekrav om cybersikkerhed, der blev sendt til dem alle i 2019, har det store flertal af vore mange myndigheder desværre ikke liiige nået endnu. Ressourcer, I ved! Pandemien! Regeringsskifte! Noget!

NB3: Torsdag, hvor jeg skriver dette, sidder politiet på morgen-tv og fortæller stolte om, at de stadig er på Tik-Tok. Imponerende.

På den ene side bliver det måske vanskeligt for russerne i deres kommende cyberoffensiv at lamme vor offentlige sektor, når de forskellige myndigheder er SÅ autonome.

På den anden side bliver det måske nemt.

Og russerne er skidesure og har taget handskerne af. De brugte de nylige DDoS-angreb til både at mærke efter ("probe") og samle efterretninger. GU, SVR, og sikkert også FSB, er med ombord nu.

Der bliver, sagt uden ironi, endnu mere brug for Googles og Microsofts indsats denne gang. For vi vil og kan ikke selv. Helt ligesom med det kinetiske forsvar.

NB4: Engang stod RAID for "Redundant Arrays of Inexpensive Disks”. Så begyndte IBM og andre at sælge det virkeligt dårlige RAID-5 for en formue og omdøbte det til "Redundant Arrays of IndependentDisks “. Men i Danmark nu om dage står det for "Redundant Arrays of Inexperienced Djøfers".

Måske er RAID nøglen til vores overlevelse?

Tilbage til min kloge og vidende ven: Han er nået frem til disse to krav til vore 200+ offentlige systemers chefer:

  1. Efterlev mindstekravene for dit område. Nu.
  2. Dø af sult, eller fald på dit sværd, hvis det ikke sker.
Binære kontroller
Min ven bruger begrebet "binære kontroller", det vil sige, at man uden nogen tvivl kan se, om en offentlig myndighed har gjort det eller ej, og han foreslår, at hele chefens bonus afhænger af, om de faktisk har gjort dét, som de skulle.

God, simpel plan. Kan skrives som et BASIC-program på cirka otte linier med en WAIT-kommando i næstsidste og en GOTO 10 i sidste linie.

Men jeg tror ikke på den. Øv.

Hverken pisk, gulerod, ris, ros eller den gode, gamle "vi har tillid til hinanden" kommer nogensinde til at få alle vore offentlige dimser til at indføre tilstrækkelig cybersikkerhed. Det er nemmere at få 200+ katte til at gå i takt.

Og hvorfor skulle de? De bliver straffet for at forsøge at gøre en forskel og hamre en god, nødvendig eller bare rigtig løsning igennem - og de belønnes for at lege Admiralen På Pinafore.

Som en af mine venner en gang lærte i IBM: Det gælder om at være et sted i fedtlaget, hvor man hverken har ansvaret for det hele eller (uha!) direkte kundekontakt.

Som chef er man altid i dødelig fare. P2-logen (Politikerne og Pressen) er konstant på udkig efter ét eller andet negativt, som de kan jagte for at bevise deres raison d'être.

Det er farligt

Og det er mindst lige så farligt at sidde et sted, hvor man har direkte føling med kunderne: Det kan sagtens gå godt første og anden gang, at du gør noget reelt for at hjælpe de nødlidende kunder - men før eller siden dummer du dig, og så kommer de fra mellemlagene og spørger "hvad var dét?! Det må vi lige have et møde om. Og medbring gerne din tillidsmand..."

De af jer, der er gamle nok til at have læst Finn Søeborgs beretninger fra hans tid i et ministerium ved, hvad jeg taler om.

Så hvordan får vi gjort noget reelt ved den katastrofale mangel på cybersikkerhed hos hovedparten af vore offentlige myndigheder?

Jeg ved det ikke.

Forslag modtages: mogensxy@gmail.com.

NB5: Kalvebod Brygge-Deklarationen er næsten klar. Vi skal redde Danmark!

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.