Regeringens digitaliseringsstrategi skal omfatte indberetningspligt ved sårbarheder i it-sikkerheden, og kommercielle aktører, der benytter open source, skal bidrage til at sikkerheden af det givne produkt udvikles. Det er blandt en række budskaber, som Rådet for Digital Sikkerhed byder ind med i kølvandet på, at den udbredte krypteringssoftware OpenSSL har været ramt af sårbarheden Heartbleed.
OpenSSL bruges i webservere og andre it-produkter verden over, og for små to uger siden kom det frem, at mere end 300.000 systemer stadig er sårbare som følge af Heartbleed, der gør kommunikationen mellem bruger og server usikker.
Heartbleed har fået Linux-foundations medlemsskare til at bidrage økonomisk til udviklingen af sikkerheden i Open Source-produkter, og ifølge Rådet for Digital Sikkerhed bør vi i Danmark følge med i den retning.
» At aktører som anvender open source-løsninger i kommercielle produkter aktivt bidrager til at højne sikkerheden, enten i form af arbejdsmæssig indsats eller økonomiske bidrag til andre, som udfører sådant arbejde,« hedder det i Rådets anbefalinger, der også efterlyser bedre information til borgerne om sikkerhedsbrister i fremtiden.
De danske myndigheder har været yderst sparsomme med kommunikationen i forbindelse med Heartbleed, hvilket tidligere har fået flere it-sikkerhedseksperter til kritisere det offentlige i skarpe vendinger. Og den kritik er Rådet for Digital Sikkerhed altså enig i.
»Den danske regering bør som led i sin digitaliseringsstrategi tage skridt til at indføre en indberetningspligt vedrørende sårbarheder og markant opprioritere indsatsen i forhold til at informere og vejlede om it‐sikkerhed og privatlivsbeskyttelse til danske borgere,« skriver Rådet.
Du kan læse alle Rådet for Digital Sikkerheds anbefalinger her
Leave a Reply