Blog: Hvis dansk cybersikkerhed var et børneeventyr, ville det være bygget af de første to små grise...
Sikkerhed på internettet og i vores digitale liv er åbenlyst hamrende vigtigt. Men hvorfor ligner vores it-systemer og digitale infrastruktur så noget, de første to små grise i den berømte eventyr har bygget?
Og ja, de første to små grise havde som bekendt ikke rigtig styr på sikkerheden, de byggede deres hus i strå og pinde, som ulven let kunne puste omkuld. I den hårde version bliver de ædt, i den børnevenlige søger de ly hos den tredje lille gris, som klogeligt har bygget et robust hus i mursten, der kan modstå ulve-angreb.
Overført til en internet-kontekst, skulle man tro at en mellemstor dansk kommune gerne ville hyre den tredje lille gris, der også på cybersikkerhed er lidt af en stræber. Han har forberedt et system der ikke gemmer indbyggernes følsomme data, han følger alle gældende standarder på området, og får en gammel ven i Sverige til at hjælpe med den teknik, han ikke selv kan klare. Desværre er hans tilbud lidt dyrere, så den tredje lille gris vinder ikke udbuddet.
Opgaven går i stedet til den første lille gris, der laver et system som registrerer flest muligt oplysninger om indbyggerne og gemmer dem på en billig cloud-løsning. Og hans kompagnon den anden lille gris, der står for udlicitering af service og vedligehold til nogle billige programmører et sted i Rumænien, der godt nok har dygtige it-folk, men også massive problemer med korruption.
Rav i den
I cyber-versionen er den store stygge ulv nok nærmere en flok kriminelle typer, der har let ved at få poterne i det yderst usikre setup grisene har kørende. Ulvene tømmer kommunen for både julefrokostkassen og interessante oplysninger om borgere, der kan videresælges. En statslige aktør, der gerne vil lave lidt rav i den, dukker også op og lukker Borgerservice i tre dage.
Sådan et par cyber-angreb giver dårlig stemning i en mellemstor kommune. Og det er desværre ikke kun i børnehistorier den slags forekommer, men et ret almindeligt problem.
Tænk hvis vi begyndte at bygge som den tredje lille gris fra start, med tanke på sikkerhed i alle nye it-systemer og vores infrastruktur. Så ville vi kunne forsvare os mod mange angreb, sikre borgernes personlige og følsomme oplysninger og i det lange løb nok også spare penge.
Det er i hvert fald min og andre gode folks klare anbefaling: Sikkerhed er nødt til at blive indtænkt i kernen af al ny digitalisering og it-infrastruktur.
Nye systemer skal bygges efter klare principper og retningslinjer for sikkerhed og Privacy by Design, så modstandsdygtigheden og privatlivsbeskyttelse i softwareren tænkes ind fra start, og at informationerne holdes tæt på borgeren. Det minimerer risikoen for læk, hacking og misbrug og øger tilliden.
Samtidig bør der indføres produktansvar ift. softwareproducenter, så de er forpligtede til at rette sikkerhedsbrister. I EU bliver der lige nu lavet gode retningslinjer for det, men de er ikke implementeret i Danmark endnu. Det skal vi i gang med, og det haster.
Stop evindelige udliciteringer
Og så må der tages et opgør, med de evindelige udliciteringer. Det er en åbenlys sikkerhedsrisiko, hvis samfundskritiske systemer eller infrastruktur ejes og drives af et væld af private og udenlandske virksomheder, hvor vi ikke har nogen mulighed for at styre sikkerheden, herunder hvem der har adgang til data. Grisenes rumænske it-folk var måske fine nok, men kan fx let blive bedt om oplysninger af en korrupt efterretningsofficer.
Samfundskritiske it-systemer og infrastruktur skal efter min mening holdes tættest muligt på Danmark og under højere grad af demokratisk kontrol for at øge sikkerheden. Et såkaldt digitalt nærhedsprincip vil indebære: At man først afsøger om det er muligt at udvikle og drive systemerne i Danmark, sekundært i Norden og endelig i en europæisk kontekst.
Der bør også lægges vægt på at sikre en højere grad af demokratisk kontrol ved at øge kapaciteten i den offentlige sektor både til at udvikle og drive systemerne, og i højere grad at styre og kontrollere processerne omkring udbud. En oplagt mulighed er at opbygge samarbejdet med vores nordiske nabolande, der har teknisk kapacitet, og hvor vi allerede har et tæt politisk samarbejde og fælles geopolitiske sikkerhedshensyn.
Dansk cybersikkerhed har brug for et kæmpe løft, og der bør især regering og kommuner lade sig inspirere af den tredje lille gris og bygge ordentligt fra start.
Læs baggrunden for disse anbefalinger og flere gode forslag til et mere cybersikkert Danmark i Kalvebod Brygge Deklarationen.
