Borgere og mindre virksomheder står uden offentlige it-varslingstjenester

October 7, 2014 by admin · Leave a comment

Der er ikke meget hjælp at hente fra det offentlige, hvis man som borger eller mindre virksomhed har brug for varslinger og rådgivning om alvorlige it-sårbarheder, som eksempelvis Shellshock, der blev offentligt kendt i slutningen af september.

Læs også: Shellshock: Linux- og Mac-systemer ramt af omfattende og alvorlig sårbarhed

Statens varslingstjeneste for internettrusler, GovCert, har kun til opgave at varsle myndigheder og virksomheder, der driver kritisk it-infrastruktur. Det efterlader et hul over for resten af samfundet.

»Vores fokus er på den kritiske infrastruktur. Borgere og små- og mellemstore virksomheder er ikke inden for vores arbejdsområde,« har chefen for GovCert og Netsikkerhedsafdelingen i Center for Cybersikkerhed, Thomas Kristmar, tidligere sagt til Version2.

Læs også: GovCert: Derfor ventede vi en dag med at informere om Shellshock

Ingen varslinger efter 2013

Det er relativt nyt, at borgere og små og mellemstore virksomheder (SMV’er) står uden en offentlig it-varslingstjeneste.

Netsikkerhedstjenesten DKCert fungerede i en årrække indtil slutningen af 2012 som den myndighed, hvor borgere og SMV’er kunne få både varslinger og rådgivning om de seneste internettrusler. Men af årsager, som Version2 endnu ikke har kunnet opklare, udløb DKCerts kontrakt med staten fra januar 2013, og siden er der ikke nogen myndigheder, der har overtaget tjenestens arbejde.

DKCert har nu kun til opgave at varsle og rådgive universiteter og andre forskningsinstitutioner. Alligevel får tjenesten stadig mange henvendelser fra borgere og SMV’er.

»Vi prøver at hjælpe dem. Problemet er bare, at vi ikke har midlerne til det. Jeg vil aldrig være i stand til at kunne reagere på mange henvendelser fra virksomheder, som hver især kræver længere tid at besvare,« siger chefen for DKCert, Shehzad Ahmad.

Hverken Erhvervsstyrelsen eller Digitaliseringsstyrelsen har kunnet forklare over for Version2, hvem der har overtaget ansvaret for at varsle og rådgive borgere og SMV’er om kritiske it-sårbarheder og trusler efter, at DKCerts arbejde formelt ophørte.

Digitaliseringsstyrelsen: Ikke vores opgave

Digitaliseringsstyrelsen kan rådgive borgere om generel it-sikkerhed, men når det kommer til varsling og rådgivning af konkrete trusler, melder den pas:

»Det er ikke sådan, at vi har til opgave at gå ind og vurdere konkrete tekniske sårbarheder som fx Shellshock,« siger kontorchef i Digitaliseringsstyrelsen Cecile Christensen.

»Det kræver et helt andet teknisk udstyr og indsigt at kunne gøre det, så det er ikke en opgave, som ligger naturligt hos os,« siger hun.

DKCert får stadig tilmeldinger fra borgere og SMV’er på de ugentlige nyhedsbreve om sikkerhedstrusler.

Men når det kommer til akutte varslinger og telefonrådgivning, er det ikke noget, tjenesten formelt har til opgave at tage sig af længere.

»Vores kunder (universiteterne) får stadig direkte besked med det samme om kritiske sårbarheder som Shellshock, men selvom vi gerne vil, kan vi ikke længere på samme måde informere virksomheder og borgere,« siger Shehzad Ahmad og fortsætter:

»Der er ingen tvivl om, at der er et kæmpe behov for at levere information og viden til især små og mellemstore virksomheder.«

GovCert lang tid om at komme ud til offentligheden

GovCert har tidligere mødt kritik af en række it-sikkerhedseksperter for ikke at varsle om it-sårbarheder som fx Shellshock i tide.

Læs også: Center for Cybersikkerhed efter sen Shellshock-advarsel: »Ikke vores opgave at informere bredt om nye sårbarheder«

Tjenesten advarer først sine kunder (offentlige myndigheder og de største virksomheder) i det øjeblik, nogen forsøger at udnytte eller scanne efter systemer, der er ramt af sårbarheden.

Men når det kommer til at informere resten af offentligheden, går der ofte endnu længere tid.

Nyheden om Shellshock kom først ud på GovCerts hjemmeside to dage efter, at sårbarheden blev kendt i offentligheden, og en dag efter, at dens kunder blev informeret. Og det tog yderligere fire dage, fra den alvorlige Heartbleed-sårbarhed blev kendt tidligere i år, til nyheden kom ud på GovCerts hjemmeside.

»Det er ikke nok, at varslingerne og vidensdelingen kun når ud til en snæver kreds af myndigheder,« siger chefkonsulent i IT-Branchen Bjørn Borre og fortsætter:

»Det skal bredt ud, for at folk får gavn af den viden.«

IT-Branchen: Behov for center for vidensdeling

IT-Branchen efterlyser derfor et fælles center for vidensdeling om it-trusler, der også kan komme borgere og mindre virksomheder til gavn.

»Der mangler et mere bredt fokus på erhvervslivet. Det er ikke kun de store virksomheder, der bliver ramt,« siger Bjørn Borre, der anbefaler virksomhederne til selv at abonnere på de private varslingstjenester, der er på markedet.

»Særligt for små virksomheder kan det være svært at navigere rundt i it-sikkerhed,« siger han.

Er der et hul i forhold til borgeres it-sikkerhed?

»Ja, der kunne man sagtens forestille sig et behov for en særlig indsats, som hjalp og rådgav borgerne i it-sikkerhedsspørgsmål. Det kan være varslinger, vidensdeling og almindelige gode sikkerhedsråd,« siger Bjørn Borre.

Digitaliseringsstyrelsen og Center for Cybersikkerhed er i øjeblikket ved at udforme en national strategi for cyber- og informationssikkerhed, der skal lanceres inden årets udgang.

»I den sammenhæng er det naturligt at se på myndighedernes indbyrdes rollefordeling,« siger Cecile Christensen fra Digitaliseringsstyrelsen.

Posted in computer.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>