Skrøbelig sikkerhed – bombe under offentlig digitalisering

Vejskilt med tesksten offentlig digitalisering.

Danmark er kåret som verdens bedste til offentlig digitalisering, men skrøbelig sikkerhed kan sætte projektet over styr, da hackere let kan få adgang til fortrolige borgerdata, advarer IT-direktør og formand for IT-Branchens sikkerhedsudvalg. Bedre adgangssikkerhed vil løse en del af udfordringen, mener han.

Selvbetjening og digital videndeling er afgørende, hvis der i fremtiden skal være råd til ældrepleje, skoler, sundhedsvæsen og øvrige velfærdsydelser – og i 2017 brugte det offentlige da også 13,7 mia. kroner på IT.

”Men borgerne skal kunne være sikre på, at kommunerne gør deres yderste for at behandle private data så sikkert som muligt. Her er vi desværre langtfra i mål,” konstaterer Bjarke Alling. Han er formand for IT-Branchens IT-Sikkerhedsudvalg samt direktør i IT-virksomheden Liga og har gennem årene været i direkte kontakt med de fleste danske kommuner.

Passwords er helt utilstrækkelige

”Lokalt gør man sig ikke klart, at fundamentet skrider under de digitale milliardinvesteringer, hvis borgerne mister tilliden til systemerne. For eksempel hvis dybt fortrolige informationer om borgernes sundhed, sociale forhold eller sagsbehandling slipper ud fra de kommunale systemer,” bemærker Bjarke Alling.

”Ofte er simple passwords eneste boldværk mod hackere eller andre uvedkommende. Men passwords er skræmmende lette at knække for selv middelmådige IT-kriminelle,” konstaterer han.

Det paradoksale er ifølge Bjarke Alling, at der er adskillige gode løsninger, som gør kommunerne i stand til at indføre to-faktorsikkerhed. Det er sikkerhedsløsninger, hvor man får adgang med en kombination af et kodeord og f.eks. en adgangsapp eller SMS-kode  eller via et fysisk adgangskort med chip.

Sæt styringen af adgang på automatpilot

En anden udfordring er, at de fleste kommuner har mellem 200 og 400 fagsystemer, der hver giver adgang til mere eller mindre følsomme data om borgere og virksomheder. Det er et kæmpe arbejde at holde styr på alle de passwords, der giver hver af kommunens tusindvis af ansatte præcis den systemadgang, der gør vedkommende i stand til at passe sit arbejde. Det øger risikoen for fejl og for, at man fuldkommen mister overblikket over, hvem der har adgang til centrale borgerdata.

”Men kommunerne kan faktisk automatisere styringen af adgangen til data og systemer, så de ikke skal bruge så mange kræfter på at løfte opgaven. Men det prioriteres ganske enkelt ikke, og jeg oplever en omfattende træghed ude i de kommunale IT-afdelinger, der ofte har fokus på alt muligt andet,” siger han.

Derfor efterlyser Bjarke Alling både, at de kommunale IT-folk bliver langt mere opmærksomme på, om adgangssikkerheden er god nok i deres systemer. Men også, at sikkerhed rykker op som et emne på ledelsesniveau og i det kommunalpolitiske system.

”Opret, udsted, anvend og reviderer adgang – hver gang”

”Hvis du skal styre adgang effektivt, er du nødt til at oprette, udstede, anvende og revidere adgang til data og systemer – og at automatisere processen. Det er den eneste effektive måde at styre adgang til så komplekse og talrige systemer som dem, de arbejder med i kommunerne,” siger Bjarke Alling.

”Alle vil gerne digitalisere. Derimod er sikkerhed er stort set ikke på dagsordenen ude i kommunerne – slet ikke på direktionsniveau eller i politisk sammenhæng – og jeg ser ugentligt tilfælde på kommuner, der ikke engang overholder de gældende sikkerhedsforskrifter. Det er ganske enkelt ikke godt nok og burde i langt højere grad være et emne, man tog op på kommunalbestyrelsesniveau,” anbefaler Bjarke Alling.

Læs mere om to-faktorsikkerhed og om styring af adgangskontrol på og hent hvidbogen om Sikker Digital Identitet via www.liga-com/sikkerdigitalidentitet

For yderligere information kontakt venligst
Bjarke Alling, adm. direktør
Liga Software ApS
Center Boulevard 5
2300 København S Danmark
+45 40 13 91 05
ba@liga.com

Liga sælger og markedsfører software, som hjælper virksomheder og det offentlige med at flytte sig ind i den digitale tidsalder. Med vores standardiserede software kan I varetage digital sikkerhed, identitet og mobilitet på en måde, der både giver fordele til den enkelte medarbejder og styrker forretningen – samt ikke mindst sikrer, at I lever op til den stadigt stigende mængde lovkrav fra myndighederne. Liga har eksisteret siden 1999 og sælger til det nordiske marked fra vores kontorer i København og Stockholm