Tidligere efterretningsofficer siger: Tjek IT-sikkerheden

IT hænglåse

Af chefkonsulent Steffen Ørnemark

It-sikkerhed bør bekymre os alle – og det starter mellem ørerne!

Der er netop kommet en rapport om truslen fra cyberspionage og -kriminalitet mod Danmark og danskere.

Center for Cybersikkerhed vurderer, at truslen er “meget høj”.

Min fortid i efterretningstjeneste siger mig at dette skal tages endog meget seriøst og mit kendskab til it-sikkerheden kan kun give anledning til endnu mere bekymring.

Vi spiller ganske enkelt hasard ved ikke at forholde os til dette trusselsbillede.

Vi har heldigvis et meget højt niveau af tillid i dette samfund og det nyder vi alle godt af når vi færdes og når vi agerer i vores hverdag. Men verden består ikke af godtroende og venlige mennesker – og desværre er vores ageren i den digitale verden præget af samme tillidsfuldhed som vi møder vores fysiske hverdag med.

Vi kan selv gøre noget ved at optræde hensigtsmæssigt med vores følsomme data og vores indkøb – men det er langt fra nok. Idag kan man på de lidt mørkere side af internettet købe personlige ID til under 100 kr. Og langt billigere hvis man vil aftage større mængder. Der er desuden meget større trusler andre steder

Hver eneste dag er vores myndigheder under en eller anden form for angreb.

Det er ikke svært at forestille sig at Danmarks mest vitale udenrigspolitiske interesse er udsat for et koordineret angreb for at indsamle oplysninger. Vi vil de næste mange år diskutere i FN-regi hvordan den arktiske undergrund skal fordeles mellem en række lande. Det er enorme økonomiske interesser i denne fordeling.

Logikken er ganske enkel at det en modpart ved om vores data og vores beslutningsgrundlag og eventuelt vores forhandlingstaktik kan bruges til at fremme modpartens forhandlingsposition.

Udenrigsministeriet er naturligvis en væsentlig myndighed – og angiveligt under daglige angreb eller forsøg på indtrængen. Men tænk hvis GEUS’s store viden af videnskabelig karakter og som underbygger vores politiske påstande blev angrebet. Skaden ved at andre får adgang er en ting – men forestil jer at nogle succesfuldt får ændret data uden at dette opdages. Hele troværdigheden af Danmarks argumentation vil blive kompromiteret.

Dette blot for at illustrere en sag vi alle kender til. En myndighed som bør have top-beskyttelse – men i vores komplekse verden findes data mange steder og hos myndigheder eller institutioner som man måske ikke umiddelbart forbinder med data af betydning for rigets sikkerhed.

Det kræver ikke meget fantasi at forestille sig det samme indenfor sundhedssektoren. Der er meget store økonomiske interesser i om lægemidler godkendes eller om bivirkningers effekter slår tvivl om anvendelse. Det er klart at der er ubehag ved tanke om at nogle får adgang til vores individuelle sygdomsforløb – og det kan bruges imod os. Men der er også meget store interesser for at finde sammenhænge i data – og måske igen ændre i uønskede data.

Vi skal ikke stoppe med at digitalisere vores samfund – men vi bliver nød til at tage it-sikkerhed mere alvorligt.

Jeg er også bekymret for it-sikkerheden hos virksomheder som advokatfirmaer og revisionsfirmaer som ligger inde med værdifulde oplysninger om deres klienter. Hvis jeg sad i direktionen hos en stor virksomhed som var ved at planlægge opkøb eller frasalg ville jeg stille krav til it-sikkerheden hos mine vejledere. Prøv at leg med tanken om at Goldman Sachs kendte til detaljer i den danske stats forhandlingsposition vedrørende salg af DONG.

EU’s lovgivning om ansvar ved data stiller fornyede og rimelige krav til it-sikkerhedsniveauet ved at ansvarliggøre institutioner og myndigheder som ikke har en sikker måde at håndtere data på. Det vender jeg tilbage til med et senere indslag for det kræver en kommentar.

Der er meget at gøre for at forbedre vores sikkerhed i den digitale verden.

Som altid starter det mellem ørerne på os – gennem en sikkerhedspolitik. Men der er også meget at gøre både teknisk og organisatorisk.

Det tekniske bør starte med et system til identitets- og adgangshåndtering, men der skal meget mere til både perimetersikkerhed, kryptering og systemer der hindrer at data forlader vores net.

Jeg håber at en rapport som denne vil blive læst og så kan vi i det mindste starte mellem ørerne – så vil jeg vende tilbage med nogle indlæg om hvordan vi kan gribe sikkerheden an i praksis

link:

Kunne du lide artiklen?