Burde vi ikke kunne stole på det offentliges it-sikkerhed?

Rigsrevisionens beretning om det offentliges it-sikkerhed er aldeles kritisk. Dine, mine og virksomhedernes data i det offentlige er simpelthen for nemme at hacke sig frem til. Det skader både virksomheder og borgere. Normalt stoler danskerne i høj grad på det offentlige, når det gælder it. Det er snart fortid. Tilliden til det offentlige falder drastisk efter rapporter som denne og deciderede hacker-angreb. Det holder ikke!

Heldigvis er vi er lige nu i den helt fantastiske situation, at vi har uanede mugligheder for at digitalisere, effektivisere og forbedre borgernes muligheder online. På samme tid skal vi bedre sikre borgernes og virksomhedernes data i det DIGITALE offentlige. Vi skal tænke det smart ind fra starten i alle it-projekter.

Ingen risikovurderinger

”Undersøgelsen viste, at ingen af de undersøgte virksomheder i deres risikovurderinger havde håndteret den risiko, de udsatte sig for,” står der i Rigsrevisions beretning.

Man kan aldrig sikre sig 100 procent mod hacker-angreb. Men man skal alligevel opbygge en sikkerhedsstrategi, et beredskab og en teknisk løsning, som gør det så svært som muligt for hackerne. Når man accepterer, at man aldrig er 100 procent sikret, vil man automatisk ændre sit syn på it-sikkerhed. Man må have en plan for før, under og efter et angreb indtræffer. Og den plan skal laves, INDEN man bliver angrebet. Det er den eneste måde, vi holder sikkerheden og tilliden i top.

Skrækeksemplet er CSC-sagen og politiets kørekortregister, som blev hacket i 2012. Her fik hackerne frit spillerum i en periode på otte måneder, inden Politiet blev klar over problemet – før CSC.

(Den mistillid vi har til SKAT i disse dage kan ses som en parallel. Deres udfordring er dog ikke it-sikkerhed men systemer og fejl generelt. Når borgere og virksomheder går ud fra en service i det offentlige virker, og den så ikke gør det, mister vi tilliden.)

Et succesfuldt angreb er…

“Rigsrevisionen anser et angreb som succesfuldt, når ingen af virksomhedens eller Statens IT’s interne sikringstiltag har forebygget eller detekteret angrebet, og hvor det ikke efterfølgende er muligt at afvise, at it-systemer eller data er blevet misbrugt.”

Med en defineret plan, der tager hånd om hackerangreb, får man større klarhed over, hvad man skal beskytte. Man er klar til at minimere skaderne, mens angrebet står på. Og man er bedre i stand til at udrede skaderne og fjerne evt. ondsindede programmer, der er efterladt.

En sådan national it-sikkerhedsplan skal Statens IT igangsætte nu. Det er naturligvis en investering i både mandskab og penge. Det må vi prioritere. Vi har ikke råd til at borgerne og virksomhederne mister mere tillid til det digitale Danmark.

Burde vi ikke kunne stole på det offentliges it-sikkerhed? Jeg har desværre svært ved det for tiden! Hvad med dig?