Jeg ved gennem venner og bekendte hvorledes sikkerhedsarbejdet er organiseret rundt omkring, men det er desværre ikke noget man er ret glade for at tale offentligt om, så det er ret begrænset hvad offentligheden ved om den slags og ikke meget jeg kan afsløre af detaljer.
Hvad jeg kan sige med 100% sikkerhed er at ingen af de mange firmaer har en politik der siger “Vi reagerer ikke på andres meldinger om, at det er farligt. Der er altid noget, der er farligt. I stedet kigger vi på, om der rent faktisk er nogen, der forsøger at udnytte sårbarheden, før vi melder ud” som GovCerts Thomas Kristmar citeres for.
Jeg er sikker på at medarbejderne i GovCert gør hvad de kan, givet resourcer, evner, mandat og resort.
Den korrekte og ansvarlige handling havde været hvis GovCert, så snart de havde verificeret at bash vitterlig var en åben ladeport, sendte en broadcast til alt og alle i offentlig IT der lød:
“Så lukker vi alt offentlig IT med hemmelige eller personhenførbare oplysninger. I må åbne igen når I har overbevist os om at I har lukket alle eventuelle huller i denne kontext.”
Det mandat har GovCert imidlertid ikke og det er der heller ikke nogen andre der har, mindst af alt det udelukkende ornamentale Datatilsyn.
Folketinget ved udemærket hvordan man skal lovgive om teknologiske farezoner, her er f.eks hvordan de senest gjorde det:
§ 6. En tilladelse kan kaldes tilbage, såfremt:
1) væsentlige forudsætninger for tilladelsen viser sig ikke at have været til stede,
2) der sker tilsidesættelse af stillede vilkår eller
3) hensynet til sikkerheden eller anden tvingende grund i øvrigt kræver standsning eller nedlæggelse af anlægget.
§ 7. Miljøstyrelsen og sundhedsstyrelsen har adgang til at fordre sig meddelt enhver oplysning, der af disse myndigheder skønnes af betydning for sikkerheden. De kan til enhver tid uden retskendelse mod behørig legitimation fordre adgang til at udøve tilsyn på anlægget under bygning og drift eller hos leverandører til anlægget. De kan meddele pålæg, som er fornødne til at sikre overholdelsen af opstillede vilkår og betingelser, eller som i øvrigt skønnes nødvendige af sikkerhedsmæssige grunde, ligesom de i påtrængende tilfælde af sikkerhedsmæssige grunde kan forlange brugen af anlægget standset, indtil der er taget stilling til, om og i bekræftende fald hvornår brugen af anlægget kan genoptages.
Erstat “Miljøstyrelsen” med “Datatilsynet” og “sundhedsstyrelsen” med “GovCert” og vi er meget tæt på de magtbeføjelser der er brug for indenfor IT-sikkerhed.
Indtil Folketinget fatter at IT sikkerhed kræver noget i samme kaliber, fortsætter nedsmeltningerne i den offentlige IT.
phk
Leave a Reply