Man kan diskutere hvad kritisk infrastruktur egentlig er - allerede i 2004 beskrev en arbejdsgruppe i regi af teknologirådet, hvad der kunne anses som særlig væsentlig og kritisk infrastruktur (http://www.tekno.dk/pdf/nummer190.pdf) - i min optik har DK et ikke særligt fokuseret syn og vurdering af CIIP - vi har ikke et nationalt overblik eller veldefineret governance processer ift at identificere / beskytte kritisk informations infrastruktur.
Netop derfor er diskussionen om salget af Nets ret fejlbehæftiget - da man ikke har et fælles sprog eller udgangspunkt ift at forstå konsekvenserne.
Der er en række forhold om Nets som det er vigtigt at slå fast:
• Nets er privat ejet
• Nets har vundet et offentligt udbud om at drive en del af den danske kritiske it-infrastruktur
• Nets (og hermed DanId) er aftalemæssigt forpligtet til at overholde Dansk og EU ret.
• Nets er for en dels vedkommende placeret i Norge (=udenfor EU).
I min optik er det IKKE afgørende hvem der ejer Nets, men hvilke krav der stilles til den fremtidige operatør af den digitale autentificering:
• Der skal være mulighed for valgfrihed ift valg af autentificerings-leverandør - dette skal naturligvis være under stærk regulering for at fastholde troværdighed og kompatabilitet. Rådet for Digital Sikkerhed har senest undertstreget nødvendigheden heraf (http://politiken.dk/oekonomi/virksomheder/ECE2208407/digitalt-raad-vil-ophaeve-nets-monopol-paa-nemid/)
• Det skal snarest påbegynde et arbejde med at definere næste generations autentificering, som kan sammenkæde on-card/device biometri, OTP (One-time passwords), NFC og privacy beskyttelse.
• Der skal skabes et klart / gennemsigtigt grundlag for hvad en autentificerings-operatør må og ikke må for at sikre at der er mulighed for at checke hvad en operatør burde gøre. Der skal samtidig være en "bred" folkelig debat omkring hvilke krav der skal stilles til de fremtidige operatører.
At ejerskab skulle være en parameter i vurderingskriterierne undre mig. Det er svært at se hvordan ejerkonstruktionen skal kunne betyde noget særligt for de forretningsmæssige valg, især ift de kontraktuelle vilkår som sættes for en operatør.
Ingen kommentarer:
Send en kommentar