Blog: Danmark er ikke noget IT foregangsland

October 24, 2014 by admin · Leave a comment

Når Rigspolitiet ikke har styr på IT sikkerheden tager man sig uvilkårligt til hovedet.

Men er det egentlig så svært at forstå hvorfor ?

Her er Rigspolitichefens officielle hjemmeside

Nu ved jeg godt han er nogenlunde ny i jobbet, men kig på hans mini-CV og spørg så dig selv om du med den baggrund ville være i stand til at omsætte de meget generelle, men bestemt ikke helt ubrugelige, krav i lovgivningen til organisatoriske tiltag ?

Selvfølgelig ikke.

Men vi kommer ikke uden om at det er hans job at gøre det, med eller uden Rigsrevisionen kritiske kommentarer, er det hans job at sikre at politiet overholder landets lov.

Omvendt, hvis han havde en solid IT sikkerhedsmæssig baggrund, ville han sikkert kigge på MF’ernes iPads og sukke “Nå, mere vigtigt end som så er det altså heller ikke ?”

I netop tilfældet Rigspolitiet er sagen utroligt speget, for vi kommer ikke udenom POLSAG, der skulle løse alle politiets IT problemer.

Men i min optik understreger det blot min pointe: At indføre regler om (person)datasikkerhed, uden at sikre at der var de nødvendige resourcer og penge til rådighed var bare luftkartofler og vindfrikadeller.

Det tror jeg godt Folketinget vidste, for ingen af de relevante love indeholder sanktioner der kommer i nærheden af hvad man kan risikere ved at køre for hurtigt på landets landeveje.

Frustrationen hos de myndigheder der skal holde øje med datasikkerheden, primært Datatilsynet, men kun i svagt mindre grad Rigsrevisionen, Digitaliseringsstyrelsen og Center for Cybersikkerhed var til at tage og føle på til høringen i forgårs.

I mange år har skiftende politikere peget på antallet af overbetalte ADSL linier og PC-kørekort og kaldt Danmark et IT foregangsland mens IT folket vantro har rystet på hovedet af flosklerne.

Hvor er uddannelsen der producerer systemadministratorer til driften af kritiske IT systemer ?

Hvor er uddannelsen der proucerer IT arkitekter ?

Hvor kom IT-principper, IT sikkerhed og persondatasikkerhed ind i Cand Polit. studiet ?

Hvor er den ansvarsgivende autorisationsordning for persondataansvarlige ?

Inden længe kommer EUs persondatadirektiv. Det var der ikke megen entusiame for fra statsadministrationen i forgårs og ifølge mine kontakter i kommissionen har Danmark modarbejdet enhver form for bid eller konsekvens i direktivet fra start til slut.

Jeg ved ikke om det er frygt for at alle skelletterne skal vælte ud af skabene, hvilket de utvivlsomt vil gøre hvis direktivets krav om indberetning bliver til noget, eller om det er bekymring for hvad det kommer til at koste faktisk at implementere datasikkerhed, frem for bare at pege på de love ingen, selv ikke statens egne organisationer, overholder og lade som om vi har løst problemet for længst.

Men tiden er langt over inde til at tage emnet seriøst og det vil primært sige at give lovene og tilsynsmyndighederne det nødvendige bid.

Men sekundært betyder det også at Folketinget skal holde op med at behandle IT som et mirakelmiddel der kan skære 12% af ethvert budget, bare man skriver “IT-rationaliseringer” i finanslovens noter.

IT er en samfundstransformativ teknologi på niveau med ild, elektricitet og automobiler og den skal behandles med samme seriøse tilgang.

Vi har funktionelle brandkrav, brandindspektører, brandslukningsudstyr, brandvæsner og brandforsikringer.

Vi har elektricitetslov, autorisationskrav, kortslutningssikringer, fejlstrømsafbrydere, netansvarlige, CE mærker og sikkerhedsstyrelsen.

Vi har færdselsloven, færdselspolitiet, skolepatruljer, cykelstier, gangbroer, motorveje, kørekort, typegodkendelser, forureningskrav og obligatoriske syn.

Men på IT området har vi reelt intet, bortset fra Datatilsynet der er bemyndiget til bestemt at henstille at solstolene skal stilles tilbage i stativet på Titanics dæk.

De love vi har kan omkostningsfrit ignoreres, problemerne uanset størrelsen kan frit begraves i baghaven, ingen er nogensinde ansvarlige og der er intet produktansvar overhovedet.

Men vi nærmer os en kant, den kant hvor computerne er årsag til så meget ragnarok at politikerne bliver tvunget til at reagere.

Forskellige overlæger jeg har talt med, anslår at de forskellige EPJ systemer allerede har slået ca. 400 danskere ihjel før de ellers ville være døde. (Præcis hvor mange dage, måneder eller år det i det enkelte tilfælde drejer sig om er de ikke meget for at skyde på.)

Inden længe vil vi se de første folkepensionister der dør fordi de ikke kan finde ud af kommunens IT selvbetjening, eller fordi der sker “en computerfejl” — det er udelukkende et spørgsmål om tid, alle dominobrikkerne er linet op og står klar til at vælte.

Det ville klæde vores MF’er at de for en gangs skyld handlede uden at gøre det i panik over at Ekstrabladet har pisket en stemning når “det er også alt for galt”.

Her er nogle forslag:

  1. Produktansvar for software. (Mere konkret forslag her)

  2. Strafansvar og erstatningsansvar ved læk af persondata. (Som et absolut minimum på linie med miljølovgivningen.)

  3. IT Havarikommission, så vi alle kan lære af vores fejltagelser.

  4. Autorisationsordning for IT sikkerhedsansvarlige. (lige som for elinstallatører, VVS osv.)

  5. Tilsyns og kontrolmyndigheder med magt og bid.

  6. IT uddannelser der kan klæde folk på til at leve op til lovens bogstav.

Hvis vi gjorde noget i den stil ville Danmark faktisk blive et IT foregangsland og ikke bare det land der først havnede i IT-grøften.

phk

Posted in computer.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>