Som i de tidligere år, inviterede ITB's IT-sikkerhedsudvalg til åbent udvalgsmøde i forlængelse af Databeskyttelsesdagen (www.databeskyttelsesdagen.dk) i går eftermiddag. I Komité salen på Børsen, som emmer af historie og fortidens beslutninger om hvordan det danske samfund skulle udvikle sig kommercielt, blev diskuteret en række emner, som alle på en eller anden måde rækker ind i fremtiden og som påvirker hvordan Danmark kan fastholde en førerposition på det ICT området.
Gennem 1½ time blev dagens taler og drøftelser på Datasikkerhedsdagen videreudviklet i en meget konstruktiv dialog mellem leverandører, interesseorganisationer og private og offentlige virksomheder.
Der er mange ting at gå videre med - og som Formand for ITB's IT-sikkerhedsudvalg glæder jeg mig over, hvor rig en diskussion vi havde - og hvor mange spændende temaer der blev slået an, men også hvor stor enighed der grundlæggende var omkring bordet på mange af temaerne.
De overordende temaer som blev drøftet var:
1) Hvordan kan man sikre, at der ikke er bagdører i software, som er placeret af fx NSA eller den ditto kinesiske? En udfordring er, at man faktisk ikke ved om det rent faktisk forholder sig således. Det kan også føre til den fejlslutning, at Open Source er bedre - da man kan inspisere koden. At man har adgang til kildekoden betyder på ingen måde at man kan afslører svagheder - datalogisk kalder man utilsigtede svagheder for "sideeffekter" og der regnes (i hele træskolængder) med at der pr. 10.000 linier kode er mindst én super kritisk såbarhed. Om efterretningstjenester rent faktisk har "manipuleret" bagdører ind i kommerciel software - eller om de har indlejret det i Open Source produktet - er ikke kendt - eller om de "blot" har et bagkatalog af fundne, men endnu ikke kendte af offentligheden sårbarheder som kan udnyttes (hvilket jo er den måde de fleste store kriminelle netværk opererer på) er ej heller kendt. Så der er rigtig mange usikkerhed ift. at træffe en konklusion om det ene eller det andet er et "sikkert" produkt.
2) Hvorfor bekymre sig om bagdører, når fordøren ofte står vidt åben - der er en udbredt tro på at hvis man køber en teknologi-dims, så sikrer den en mod angreb/dårligdomme/kriminelle - det IT-sikkerhedsmæssige fundament er grundlæggende ikke stærkt nok hos hverken borgere eller virksomheder.
3) Hvordan skal vi som nation håndtere IT-sikkerhed - borgere og virksomheder bliver fra i år tvangsdigitaliseret - det er en stor mundfuld for mange, især de digitalt udfordrede. Og ovenpå det kommer så at der er kriminelle der vil forsøge at underminere tilliden gennem misbrug - hvordan fastholder vi borgernes og virksomhedernes tillid til det digitale?
4) Hvorfor er der ikke en langt større fælles-offentlig / fælles-privat forankring af de samfundsmæssige problemstillinger omkring digitalisering og IT-sikkerhed. Det virker som om vi ikke har en samlet strategi - måske er det fordi IT-sikkerhed bliver set som "nørdernes" domæne og at det derfor ikke har nogensomhelst politisk forankring. Man henviser til at Forsvarsministeriet og Center for Cybersikkerhed er der - og at Politiet har oprettet Center for Cyberkriminalitet - men det er lidt som at lade ræven vogte gæs. Der er brug for en fælles-offentlig/privat aktør, som i alle borgeres og virksomheders interesse kan drive transformationen fra analogt samfund til digitalt samfund også med fokus på IT-sikkerhed.
5) Hvorfor bevæger vi os så langsomt ift. at finde fremtidens digitale autentificering? Danmark er langt fremme med digital autentificering - men det er vigtigt, at vi kommer ud over vores "elfensbenstårns" syndrom, hvor teknokrater i lukkede rum, beslutter ugennemtænkte løsninger for alle borgere og virksomheder. Der er brug for et "nationalt kompromis" om fremtidens CPR-system og hvordan vi autentificerer borgere og virksomheder i den digitale verden. Det er yderest glædeligt, at man har taget bolden i regi af IKT-vækstteamet og har påpeget nødvendigheden af Rådet for Digital Sikkerheds forslag om et nyt CRP-system.
Dette var blot et lille udpluk af drøftelserne og diskussionerne - hvis du har forslag eller ideer som du synes at kunne være interessante at drøfte fremadrettet, så skriv meget gerne en kommentar til dette indlæg.
Ingen kommentarer:
Send en kommentar