Fordelingen af den kommunale 20 MW-pulje har fået sindene i kog i mange kommuner. Flere kommuner står nu med anlæg, der er i fare for at skulle pilles ned, fordi de ikke er med i puljen. Det var afgørende for, om økonomien i investeringerne hang sammen.

Silkeborg er én af de kommuner, der har satset stort på solcelleanlæg og har afsat 25 millioner til projekter, som blev igangsat i kølvandet på det politiske mål for grøn omstilling i energiforliget fra 2012.

Her er man så uforstående over for forløbet omkring fordelingen af solceller, at byens borgmester har sendt et brev til Klima-, energi- og bygningsminister Rasmus Helveg Petersen, hvori ministeren opfordres til at ændre de nuværende regler, hvis ikke skatteydernes penge skal gå til spilde.

»De manglende dispensationer betyder i yderste konsekvens, at vi nu kan demontere disse anlæg, hvilket er i modstrid med regeringens klimapolitik og spild af borgernes penge,« skriver borgmester i Silkeborg Kommune Steen Vindum (V) i et brev til klimaministeren.

»Endvidere betyder den tilfældighed, hvormed dispensationerne til kommunerne er uddelt, at vi har fået godkendt anlæg på nogle skoler, mens anlæg på andre skoler ikke er blevet godkendt. Ligeledes er der eksempler på, at planlagte anlæg har opnået godkendelse, mens allerede opsatte anlæg ikke er blevet godkendt. Det giver ingen mening,« skriver borgmesteren videre.

Puljen var så populær, at kommunerne efter syv timer havde fyldt den med ansøgninger, og fordelingen skulle derfor ske ved lodtrækning. Efter lodtrækningen mellem ansøgningerne står Silkeborg nu med 12 etablerede anlæg på samlet 0,67 MW, som ikke er kommet med under puljen.

Samme situation findes i Varde og Frederiksberg Kommune, hvor man har henholdsvis tre og fire eksisterende anlæg uden for puljen, som blot er de eksempler, der indtil videre er Ingeniøren bekendt.

Samlet søgte 71 kommuner om dispensation for 786 anlæg, men kun 438 af dem kom under puljen. Tilsagnene er givet til et specifikt anlæg, og kommunen må ikke konvertere et tilsagn fra et planlagt anlæg til et eksisterende.

Kommunerne er oprørte over, at myndigheder i regioner og stat ikke er underlagt det samme krav om selskabsmæssig udskillelse samt et krav om modregning i bloktilskuddet, som er det, der i øjeblikket bremser den kommunale udbygning af solceller.

KL har på vegne af sine medlemmer også rettet kritik mod klima-, energi- og bygningsminister Rasmus Helveg Petersen (RV) og opfordrer ministeren til at ændre reglerne, så kommunerne har samme vilkår som den øvrige offentlige sektor.

Ingen hjælp at hente på Christiansborg

Forligskredsen bag solcelleaftalen har aftalt at mødes og drøfte, hvad der videre skal ske med de kommunale solceller. Mødet, der skulle have været afholdt i sidste uge, blev dog udskudt, og datoen for et nyt møde er endnu ikke fastlagt.

Socialdemokratiets energiordfører Jens Joel vil hverken afvise eller bekræfte, at de trængte kommuner vil blive kommet i møde under de kommende forhandlinger, men påpeger, at kommunerne har været klar over, hvordan puljen skulle fordeles.

»Vi var nødt til at gå ind og lave en justering i solcelleaftalen for at sikre, at vi fik en udbygning af solceller, uden at det løb løbsk. De spilleregler, der har været, er langt fra optimale, men de har været klare fra starten, og det har kommunerne haft mulighed for at tage bestik af,« siger Jens Joel (S).

»Vi vil jo gerne have tilbagemeldingerne fra kommunerne, men det er en debat, som vi tager med kommunerne og ikke en debat, vi tager i pressen. I første omgang er situationen, som den er, og så kigger vi på, om der er praktiske problemer, som kan løses endnu bedre, end de er nu,« fortsætter han.

Enhedslisten er ikke enig i, at spillereglerne har været rimelige for kommunerne. Energiordfører Per Clausen så gerne, at man udskrev en ny pulje eller helt droppede at regulere området ved hjælp af puljer. I det mindste bør man komme de kommuner i møde, der nu har anlæg i klemme, mener han.

»Det mindste, man kunne gøre, var at sige, at når kommunerne har fået godkendelse i en eller anden størrelsesorden, så kan de selv få lov til at bestemme, hvordan det skal fordeles på projekterne internt,« siger Enhedslistens energiordfører Per Clausen og fortsætter:

»Den frihed burde man kunne give kommunerne. Det kan man i hvert fald gøre fra statens side, uden det har nogen som helst omkostninger på nogen som helst måde.«

Ingeniøren har forsøgt at få en kommentar fra klima-, energi- og bygningsminister Rasmus Helveg Petersen, men ministeren mener ikke, det er relevant at udtale sig om sagen på nuværende tidspunkt.

»Der er ikke på nuværende tidspunkt planer om at øge kommunernes muligheder og incitamenter for etablering af solcelleanlæg,« skriver han dog som svar på et §20-spørgsmål.

Med en amerikansk fri-elektron-laser har en international forskergruppe med dansk deltagelse lavet de første optagelser af, hvordan elektroner springer mellem forskellige energiniveauer i et jernkompleks.

»Den nye teknik, vi har udviklet, vil blandt andet være nyttig til at forstå og forbedre virkemåden af solceller,« siger Tim Brandt van Driel fra DTU Fysik. Han har netop lagt sidste hånd et ph.d.-projekt, der har relation til det nye eksperiment.

Sammen med postdoc Kasper Skov Kjær og professor Martin Meedom Nielsen er han medforfatter til en artikel i Nature. Forskere fra Kelly Gaffneys forskningsgruppe ved SLAC National Accelerator Facility ved Stanford University i Californien er også blandt artiklens forfattere.

I artiklen beskriver forskerne, hvordan det med verdens kraftigste fri-elektron laser er muligt at studere spindynamikken i jernkomplekser med en tidsopløsning, der skal måles i femtosekunder. Det er henved 1.000 gange bedre end det, som tidligere har været muligt.

Teknikken har gjort det muligt præcist at se, hvordan elektroner henfalder i et jernkompleks, som bringes i en eksiteret tilstand. Det er en relevant problematik, da forskerne drømmer om at kunne udnytte jernkomplekser i farvestofsolceller, der er et alternativ til siliciumsolceller.

Farvestofsolceller har et potentiale til at kunne fremstilles billigt, men de mest effektive af disse solceller, som også kaldes Grätzel-solceller efter den schweiziske forsker Michael Grätzel, har den ulempe, at de kræver brug af ruthenium, som er meget dyrt.

Det har været forsøgt at bruge jernkomplekser i stedet for ruthenium, men uden større held. I den nye artikel redegør forskerne nu præcist for, hvorfor jernkomplekser fungerer dårligere end ruthenium.

Med den kraftige fri-elektron laser, som udsender pulser med en varighed omkring 100 femtosekunder, har forskerne kunnet fastlægge, hvordan elektroner henfalder mellem forskellige energiniveauerne, når jernkomplekset ved belysning bringes i en eksiteret tilstand med højere energi.

De har kunnet påvise, at dette henfald sker i flere spring, og de har bestemt, hvor længe en elektron befinder sig i det mellemliggende energiniveau. Det er af betydning, når strømmen skal trækkes ud af en solcelle.

»Man har tidligere haft en formodning om, hvad der sker, men det har ikke været forstået i alle detaljer,« fortæller Tim Brandt van Driel.

Hovedresultatet af det aktuelle forskningsprojekt er, at der nu foreligger en generel anvendelig metode, som kan bruges til at undersøge og forstå andre jernkomplekser og lignende forbindelser.

»Det er en af forudsætningerne for, at vi muligvis kan erstatte ruthenium med billigere materialer i Grätzel-solceller,« siger Tim Brandt van Driel.

Det er nemlig ikke udelukket, at der kan findes andre jernkomplekser, hvor elektrondynamikken er bedre velegnet til solceller.

På det mere generelle niveau viser den nye artikel, at det med fri-elektron laser er muligt at fremstille molekylære film af kemiske reaktioner. Det er interessant i mange andre sammenhænge end solceller.

Om et par år står en europæisk fri-elektron laser, som vil overgå den amerikanske udgave, klar i Hamborg. Det betyder, at DTU-forskere snart kan fortsætte deres forskning meget tættere på hjemmebasen.

Siden 2012 er tre danskere døde af infektioner med den multiresistente stafylokok-bakterie MRSA CC398 – en bakterie, der er udbredt blandt danske slagtesvin. Det kunne professor og overlæge ved Odense Universitetshospital Hans Jørn Kolmos i går afsløre under en vidneafhøring.

Den information kom som noget af en overraskelse for flere af landets resistenseksperter og ikke mindst for svinebranchen selv, der heller ikke var blevet orienteret om, at den hastigt spredende svine-bakterie havde kostet tre danskere livet.

»Det er en bekymrende nyhed for os. Indtil i går var vi kun bekendt med, at bakterien kunne give blodforgiftninger, men ikke at det også har ført til dødsfald i Danmark,« siger dyrlæge og chef for Veterinær Forskning i Videncenter for Svineproduktion Poul Bækbo.

Heller ikke professor og forskningsleder ved DTU’s afdeling for Epidemiologi og Genomisk Mikrobiologi Frank Aarestrup var bekendt med dødsfaldene. Han er blandt andet med til at rådgive Fødevarestyrelsen i spørgsmål om resistensudvikling og risiko for spredning af sundhedsfarlige bakterier.

»Jeg er rystet over, at myndighederne ikke øjeblikkeligt orienterede om det, allerede ved det første dødsfald. At vi skal finde ud af det på denne måde, må betyde, at det bevidst er blevet holdt skjult,« siger Frank Aarestrup.

Da overlæge Hans Jørn Kolmos rapporterede til Statens Serum Institut om et dødsfald som følge af MRSA CC398 fra sit eget hospital, troede han, at det var det første i Danmark. Men da han spurgte, fik han besked om, at der var registreret to andre tilfælde siden 2012.

Indsatsgrupper mod MRSA-spredning blev ikke orienteret

Selv lederen af MRSA Videncenter på Hvidovre Hospital, professor og overlæge Henrik Westh, måtte høre om dødsfaldene gennem kollegaen fra Odense Universitetshospital, da han heller ikke blev orienteret om det fra myndighederne. Han er bekymret for, at dødsfaldene vidner om, at mange flere kan være smittede, end der klinisk registreres, da der ellers er langt imellem de alvorlige infektioner.

»Når vi ikke hører om det, forhindrer det en oplyst debat. For eksempel har vi hørt fra landbruget i flere år, at MRSA fra svin slet ikke er så farligt,« siger professor Henrik Westh.

Poul Bækbo fra Videncenter for Svineproduktion under Landbrug & Fødevarer oplyser også til Ingeniøren, at dødsfaldene betyder, at de nu vil tage problemet endnu mere alvorligt. Videnscentret samarbejder med regeringens særlige arbejdsgruppe om projekter, der skal føre til bedre rådgivning af landmænd om, hvordan man kan hindre spredningen af MRSA fra svin.

Professor Frank Aarestrup er helt uforstående overfor, at medlemmerne af denne arbejdsgruppe ikke er blevet orienteret om, at infektioner med svine-MRSA har fået fatale konsekvenser. Det fik de først at vide, da Hans Jørn Kolmos informerede dem, og da havde gruppen for længst afleveret deres anbefalinger til handling på området.

Gruppen består af en række eksperter, men har også repræsentanter fra Serum Instituttet og Fødevarestyrelsen og fra Sundhedsstyrelsen, som formodentlig er de eneste, som har kendt til dødsfaldene.

»Hvordan skal de, som laver risikovurderinger for regeringen, kunne rådgive i, hvor farligt og betydningsfuldt denne stigende forekomst og spredning af MRSA CC398 er, når man undlader at fortælle så dybt relevante oplysninger,« spørger professor Frank Aarestrup.

Heller ikke det nationale antibiotikaråd, der blev nedsat for at sikre antibiotikabehandling mod infektioner, og som Frank Aarestrup er medlem af, er blevet orienteret. De tre dødsfald er heller ikke registreret i den årlige Danmap-rapport fra Statens Serum Institut, der overvåger omfanget af antibiotikaresistente bakterier i dyr og mennesker.

Mens smartphones næsten er blevet hvermandseje i den rige del af verdens befolkning, har hardwarekravene til at køre for eksempel Android gjort, at en ægte smartphone har været uden for rækkevidde for den mindre velstillede del af klodens indbyggere.

Men udviklingen går hurtigt, og inden længe vil vi se den første reelle smartphone, som kan produceres for 20 dollars, altså cirka 110 kroner. Sådan lyder vurderingen fra chipfirmaet ARM, ifølge Anandtech.com, der har rapporteret fra ARM’s konference Tech Day.

En så billig smartphone vil kunne produceres med en enkeltkernet Cortex A5 processor på 2,5 gigahertz, der i dag bliver brugt i Firefox’ bud på en smartphone, som allerede i sig selv er uhyre billig, med en pris på ned til 25 dollar.

At køre Android på sådan en processor vil ikke være et fartmonster, men kan lade sig gøre, og fordi telefoner i dag produceres i enorme mængder, vil stordriftsfordelene kunne trække priserne ned på sådan en telefon til 20 dollars i løbet af ’få måneder’, ifølge ARM.

Cortex A5-processoren er stadig hurtigere end den ARM11, som de første iPhones blev solgt med i 2007, pointerer Anandtech.

Et kig på ARM’s forventninger til hele markedet for smartphones viste, at salget af dyre smartphones til over 400 dollars vil være ret konstant de næste fire år. Til gengæld vil salget af telefoner i mellemklassen (150-400 dollars) og billige telefoner (under 150 dollars) vokse kraftigt. I 2018 vil der således blive solgt dobbelt så mange billige smartphones som i dag, altså over en milliard billige telefoner i 2018.

ARM står bag grunddesignet af de processorer, der sidder i stort set alle smartphones, men overlader videre udvikling og produktionen til andre. Den forretningsmodel fremhævede ARM selv som en vigtig del af den hurtige innovation, som har fået prisen på processorer til smartphones til at falde.

66 borgere og organisationer har indsendt kommentarer til Frederikshavn Kommunes VVM-redegørelse i forbindelse med olieselskabet Totals og Nordsøfondens planer om en efterforskningsboring efter skifergas i kommunen. Høringsfristen udløb mandag.

Landinspektør Lene Morthensen fra Frederikshavn Kommune betegner 66 indsigelser som mange – ikke mindst fordi VVM-redegørelsen kun omfatter Totals tilladelse til at bore et fire kilometer dybt hul og udtage en kerneprøve.

Kun hvis boringen viser, at der er de rette skiferlag i dybet, vil Total gå videre med at teste indholdet af gas ved hjælp af hydraulisk frakturering. Men så skal der en ny VVM-rapport og godkendelse til, forklarer hun:

»Vores oplevelse fra borgermøder er, at folk er bekymrede for miljøpåvirkningen fra fraktureringsprocessen. Men det er altså ikke det, der er på tale nu,« siger hun.

Hun tilføjer, at også en del af indsigelserne mod VVM-redegørelsen og lokalplanen ser ud til at omhandle modstand mod hydraulisk frakturering i stedet for konsekvenserne af en efterforskningsboring.

Flere miljøorganisationer, som nu har offentliggjort deres indsigelser, angriber netop kommunen for at se for isoleret på sagen, når VVM’en kun beskæftiger sig med konsekvenserne af en efterforskningsboring.

De opfordrer i stedet kommunen til at lade sagen gå om og inddrage hele indvindingsprocessen, inklusive den omdiskuterede fracking-metode, hvor skiferlagene sprækkes op ved hjælp af vand med forskellige kemikalier i.

Danmarks Naturfredningsforening (DN) kalder for eksempel faseopdelingen for ’kunstig’:

’Det vil ikke give nogen mening at udføre prøveboringen, hvis der ikke kan gives tilladelse til hydraulisk frakturering efterfølgende, og derfor betragter DN kun fase 1 som et ‘halvt projekt’,’ skriver organisationen i sit høringssvar.

DN har netop skrevet et brev (pdf) til Folketingets Miljøudvalg, hvor de opfordrer politikerne til at tage stilling til, hvorvidt skifergas skal være en del af Danmarks energiforsyning, inden man starter en efterforskningsboring i Nordjylland.

VVM-redegørelsen kan læses her (pdf).

Afsløringerne af systematisk overvågning af kendte og kongelige via en medarbejder hos IBM, der havde adgang alle transaktionsdata hos Nets, har fået sat nyt fokus på datasikkerhed.

Sikkerheden og databeskyttelsen af de mange fyldige databaser med oplysninger om Danmarks befolkning har måske ikke været så god, som mange gik og troede – når for eksempel kundeservicemedarbejdere hos Nets kunne slå betalingsdata om alle mulige op, blot ud fra navn. Men er din egen organisation beskyttet godt nok? Version2 har spurgt to eksperter, der til dagligt rådgiver om bedre databeskyttelse.

Første trin er helt klassisk, nemlig at få et overblik over alle data, man gemmer rundt omkring, og dele dem ind efter følsomhed. Dernæst skal man afgøre, hvem der overhovedet må få adgang til følsomme og super-følsomme oplysninger.

»Det gør det muligt at tildele adgangsrettigheder og beføjelser på et tilstrækkeligt sikkerhedsniveau. Men hvis man ikke har stærke procedurer til at vedligeholde de adgangsrettigheder, så er der risiko for, at medarbejdere får adgang, de ikke skulle have, til meget fortrolig information. Det klassiske eksempel er en elev, som bliver sendt på rundtur til mange forskellige afdelinger, og som ikke får slettet sine beføjelser løbende,« siger Jørgen Sørensen, partner og leder af cyber security-afdelingen i Deloitte, til Version2.

Bruger man dette need-to-know-princip, kan man begrænse mest muligt, hvem i firmaet som får adgang til det mest fortrolige. Men er det nødvendigt, at mange får adgang, for eksempel i en kundeservice, kan man også begrænse værdien af de data, der er adgang til.

»I stedet for, at der står fuldt navn og adresse sammen med de personlige oplysninger, kan man udelade noget af det, så der for eksempel kun står kundenummer eller cpr-nummer, men ikke navn. Så kan man ikke umiddelbart identificere en kendt eller andre interessante personer,« siger Brian Christiansen, leder af Risk Assurance-rådgivning hos PwC, til Version2.

Hold de betroede medarbejdere i ørene med log-kontrol

Måske er det nødvendigt at give nogle særligt betroede medarbejdere adgang til hele pakken, og så må man i udgangspunktet stole på deres loyalitet. Men der er også mange muligheder for at holde dem i ørene, så de ikke falder for fristelsen til at lure på og lække de fortrolige data.

»Der er masser af muligheder. Du kan have en 100 procents logning af, hvad folk har været inde at røre ved og se på. Det gør man for eksempel med tradere i banken, som får alle deres telefonsamtaler båndet. Og så kan man holde øje med, om der er noget mistænkeligt,« siger Brian Christiansen.

Man kan for eksempel holde øje med ansatte, der har alt for mange opslag, eller som søger på data, der ligger uden for den normale arbejdsopgave. I en kundeservice kunne det for eksempel ske ved at sammenholde de opkald, der kommer ind, med medarbejdernes opslag i kundedatabaserne.

Har man lavet regler, så for eksempel betalinger på over 10.000 kroner skal godkendes af andre, kan man bruge logning og firmaets bogføring til at holde øje med alle pengetransaktioner, som ligger lige under grænsen, eller hvis det er samme beløb flere gange i træk, der bliver sendt afsted.

»På den måde virker logning præventivt, når man har noget efterfølgende stikprøvekontrol. Og det virker ekstremt godt, hvis det er uforudsigeligt. Så kunne man én måned kigge efter bankkonti, der ikke passer med leverandørkartoteket. Næste måned ser man, hvem der har tanket benzin, men kører i en firmabil på diesel. Og næste måned er det alle leverancer, der ikke er leveret på firmaadressen,« siger Brian Christiansen.

Danmark er bagud i data loss prevention

I forhold til at forhindre følsomme oplysninger i at slippe ud af firmaet, er der også tekniske hjælpemidler, man kan tage i brug. De går under begrebet data loss prevention detection, som ikke er så udbredt i Danmark endnu.

»Skal man være best in class, bliver man nødt til at have skrappere kontrol, som forhindrer at man for eksempel ved en fejl sender fortrolige data ud af huset i en e-mail, eller kan downloade dem på en USB-stik. Der findes i dag løsninger, som søger efter bestemte nøgleord eller CPR-numre. Her er Danmark ikke på niveau med andre lande – mig bekendt er der ikke nogen virksomheder i Danmark, der har etableret et egentligt data loss prevention-system. I England er det almindeligt hos virksomheder med kritiske data,« siger Jørgen Sørensen.

Det store problem med ekstra sikkerhedssystemer og procedurer – for eksempel at der skal to personer til at godkende adgang til særlige følsomme data – er om det påvirker arbejdsgangen og medarbejdernes arbejdsglæde negativt. Disse ulemper skal man veje op mod risikoen for, at der sker alvorlige læk af data.

»Man skal huske, når man taler om øget sikkerhed omkring for eksempel forretningskritiske data, at det normalt har en effekt på eksisterende forretningsgange og brugervenlighed. Og mange har haft svært ved at retfærdiggøre de ekstraomkostninger der er ved øget sikkerhed. Kunsten er at finde den rette balance,« siger Jørgen Sørensen.

For mange regler dræber ansvarsfølelsen

Samme pointe har Brian Christiansen, som peger på, at man nogle steder i udlandet er blevet nødt til at gå den anden vej og fjerne noget kontrol.

»I USA kommer der typisk flere regler og mere kontrol, hver gang noget er gået galt. Men så bliver man aldrig færdig, og så dræber man initiativ og ansvarsfølelse. Mange steder er det blevet for administrativt tungt at gennemføre det daglige arbejde, så man må sige, at det ikke er vejen frem med mere kontrol. Så må man kigge på virksomhedens kultur, så medarbejderne intuitivt gør det rigtige,« siger Brian Christiansen.

Det handler om at få datasikkerhed med i de mål, som medarbejderne evalueres på, og om ikke at sætte for eksempel urealistiske salgsmål.

»Bliver man belønnet godt for et nyt salg, og kulturen er, at man bare vil have det hjem, selvom man så ser igennem fingrene med regler og compliance, så breder den kultur sig. Ingen forretning må være så vigtig, at man går på kompromis med spillereglerne, og den kultur skal man have sikret, især hos medarbejdere, som håndterer store ordrer, der har stor betydning for virksomheden,« siger han.

Det skal også være muligt at gå videre med oplysninger om kolleger eller chefer, der bryder reglerne, for eksempel gennem en whistleblower-ordning. Og allerbedst er det, hvis man har en intern revisionsafdeling, der refererer direkte til bestyrelsen og kan bringe problemer på banen, uden om direktionen, lyder vurderingen.

Generelt har danske virksomheder dog et udmærket sikkerhedsniveau, mener Jørgen Sørensen, men der har i mange år ikke været så stort fokus på eller effekt af misbrug af personfølsomme oplysninger. Det hænger også sammen med, at sanktionerne er begrænsede, med 25.000 kroner i bøde som den mest alvorlige straf.

»Nu kan vi i dag se på diskussionen, at det ikke kun handler om en bøde, men også om mistet tillid og mistede kunder. Så måske er det nemmere nu at komme igennem med de nødvendige sikkerhedstiltag,« siger han.

Det er jo altid rart at kunne pege fingre ad andre, men mon ikke den seneste tids offentlige opmærksomhed omkring de aktuelle alvorlige sikkerhedshændelser i Danmark (CSC, NSA, Nets/IBM, RKI/Experian osv.), bør udmunde i en grundig omgang introspektion rundt omkring i de danske organisationer?

Er du blandt dem, som stille sidder og tænker: »godt det ikke var os, der ufrivilligt fik løftet på dynen«? Du er med garanti ikke alene. Så lad os se, om vi kan vende det hele til noget positivt.

Man har vel lov til at håbe?

Der kunne måske kaldes til en tiltrængt timeout i de danske organisationer, som passende kan anvendes til en indgående analyse af interne politikker, procedurer, risikovurderinger, system- og dataklassificeringer, prioriteringer og kompetencer, samt en vurdering af den reelle effektivitet af de implementerede og planlagte sikkerhedsmekanismer og -systemer?

Betragt det som en anbefaling. Der er en hvis sandsynlighed for, at der er plads til forbedring.

Men kalder den øverste ledelse mon selv til en sådan timeout? Og understøtter de processen omkring et fornyet fokus på IT-sikkerhed i deres organisation? Måske er det allerede på dagsordenen? Det er under alle omstændigheder en absolut nødvendighed – og man har jo lov at håbe, at de nu har lugtet lunten (og set hvor meget det kan koste at blive ramt).

En væsentlig grund til, at Microsofts Trustworthy Computing initiativ var så forholdsvis effektivt, kan tilskrives, at beslutningen og initiativet kom helt fra toppen. Og det var ikke bare varm luft og tomme løfter. Der fulgte penge med – direkte fra Bill Gates kontor. Det var næppe billigt at lægge strategien om og kode centrale komponenter op fra bunden etc., men man må i ny og næ bide i det sure æble og tage konsekvensen af fortidens forsømmelser.

Jeg er overbevist om, at det var en god investering, som for længst har tjent sig hjem.

Kan man bare tørre aben af på IT?

IT-sikkerhed er langt fra blot en opgave for IT-afdelingen. Eftersom kæden ikke er stærkere end det svageste led, så hjælper det heller ikke meget, at en enkelt afdeling kæmper for at implementere et givent sikkerhedsniveau, mens de øvrige afdelinger negligerer og nedprioriterer opgaven. Somme tider ønsker de måske ligefrem at bekæmpe et øget sikkerhedsniveau, idet det kan have betydning for eksempelvis budget og brugervenlighed.

Sikkerhed er et bredt og fælles initiativ – ellers er projektet på forhånd dømt til at fejle bravt. Det er en kultur, der skal opdyrkes og gennemsyre hele organisationen. Sikkerhed skal helst gå hen og blive naturlig praksis; ikke noget man bare forsøger at “hælde på” til sidst.

Man må forvente at de, som i sidste ende sidder med det øverste ansvar, for alvor begynder at tage IT-sikkerhed alvorligt, og give organisationen tid og ressourcer til at se sig selv efter i sømmene – og måske oven i købet få eksterne specialister til at give en uafhængig og objektiv vurdering. Det er, har jeg ladet mig fortælle, ikke altid, at vi er bedst til at se vores egne fejl og mangler.

Sikkerhed kræver i langt de fleste tilfælde ekstra tid og ressourcer samt et højt kompetenceniveau. Prioriteringen af disse elementer er selvsagt en fin balancegang, der også må holdes op imod organisationens øvrige risici og økonomi, men langsomt er IT blevet et uundværligt værktøj i hverdagen og det er som om, at vi undervejs har forsømt at opjustere kravene til sikkerheden i og omkring løsningen – og det tilhørende budget. Desto mere værdi vi hælder ind i et IT-system, desto større krav må vi stille til dets beskyttelse.

Der er løbende stillet nye og uddybende krav til funktionalitet, men sjældent “detaljer” omkring sikkerhed. Jo, »det skal i øvrigt også være sikkert«, indskydes det måske undervejs, men hvad betyder det egentlig for den givne organisation? Det finder man eksempelvis sjældent “detaljer” om i kravspecifikationer og udbud. Og hvordan ser vores outsourcing- og leverandørkontrakter ud i den forbindelse? Og hvad stiller vi af konkrete sikkerhedskrav til diverse hosting- og cloud-tjenester?

Vi er nogen, der ser gevaldigt frem til den dag, hvor det bliver almindelig praksis som minimum at ligestille “funktionalitet” og “sikkerhed”, også helt fra øverste ledelsesniveau.

Det er ledelsens opgave at skabe tid og rum for den nødvendige fordybelse i hverdagen, således at IT-sikkerhed kan få tilstrækkeligt fokus og rodfæste i hele organisationen. Der skal skabes grobund for en sund sikkerhedskultur.

Hvem står for skud?

Mange virksomheder og offentlige institutioner synes fortsat at dyrke en noget uheldig tradition, hvor det er relativt konsekvensfrit for den øverste ledelse, når organisationen ikke har udvist rettidig omhu omkring implementeringen af IT-sikkerhed.

Man har traditionelt prikket en IT-medarbejder, og hvis bølgerne gik højt måske også en IT-chef, på skulderen, når sikkerheden har været kompromitteret, men er det nu også dem, som nødvendigvis bør stå for skud?

I øvrigt sker der oftest kun noget i den dur, hvis en alvorlig sikkerhedsbrist bliver offentligt kendt – og så er en fyring mest af alt et signal udadtil. Jo, vi kan skam være handlekraftige, men følger budgettet så også med til den der tager over og skal sikre en gennemgribende forbedring? Tog man fat om roden eller fjernede man kun et symptom på en mere alvorlig sygdom i organisationen?

En ny tendens er måske ved at se dagens lys. Ser man på udviklingen i Target sagen fra USA, så har også CEO’en nu måttet tage skraldet, efter at CIO’en var røget nogle måneder forinden.

Nu kan vi kun gisne om de faktiske omstændigheder, men spørgsmålet er, om der fra den øverste ledelse har været udvist rettidig omhu omkring fokus på IT-sikkerheden og opfølgning på sikkerhedshændelser. Noget tyder på, at det ikke har været tilfældet. Én ting var den ringe håndtering af sagen i forhold til offentligheden, en anden hvorvidt man har levet op til sit ansvar.

Har man eksempelvis taget det alvorligt, når CIO’en bankede på direktionens dør og bad om penge til et nødvendigt sikkerhedstiltag? Røg whistleblowernes insisterende og pligtopfyldende fløjten bare ind ad det ene øre og ud af det andet? Har man for mange gange afvist forslag til forbedringer af sikkerheden, så medarbejderne var demotiverede og ikke længere gad ulejlige hverken sig selv eller ledelsen med ellers relevante sikkerhedsmæssige problemstillinger? Eller blev der faktisk sat de forventelige tiltag i værk – og i rette tid?

Udvises der rettidig omhu?

Man må nogle gange se tingene udefra og spørge sig selv, om det kan påstås, at virksomhedens generelle praksis vidner om rettidig omhu i forhold til prioriteringen af IT-sikkerhed og udøvelsen af »god IT skik«.

A.P. Møllers berømte motto om »rettidig omhu«, der i sin fulde ordlyd hedder »Intet tab skal os ramme, som ved rettidig omhu kunne afværges«, er særdeles relevant i denne sammenhæng. Indenfor IT-sikkerhed handler det i særdeleshed om at gøre sit ypperste – alt hvad der står i ens magt – for at forebygge tab.

Og hvilke tab er det så, vi kan forvente at blive udsat for, i større eller mindre grad, når det kommer til IT-sikkerhed?

Nedenstående er næppe en komplet liste, men skulle give en idé om, hvad der er på spil.

• Tab af tillid – blandt investorer, kunder, samarbejdspartnere og medarbejdere
• Tab af penge – fald i aktiekurser eller direkte tyveri
• Tab af kritisk viden – kritiske data kan blive kopieret og misbrugt
• Tab af ansigt – dårlig omtale i medier og blandt kunder
• Tab af tilgængelighed – et angreb kan lukke for systemer i lang tid
• Tab af retssager – juridiske konsekvenser i form af sagsanlæg
• Tab af udstyr – udstyr der falder i “fjendens” hænder
• Tab af tid – genetablering af systemer og data
• Tab af medarbejdere – dygtige og pligtopfyldende folk, der ikke bare vil se til

Så hvilke af disse ting kan din organisation tåle at miste – og i hvilken grad?

Tornen i eget øje

Lad os se lidt på os selv. Har vi nu garderet os tilstrækkeligt imod relevante risici, så vi minimerer sandsynligheden for at lide nævnte tab?
Hvordan står det egentlig til i din egen virksomhed eller organisation? Lad os prøve med nogle basale spørgsmål:

• Bliver alle systemer og applikationer opdateret, så snart det er relevant for sikkerheden?
• Har brugerne (herunder dig selv) kun rettigheder til et absolut minimum af systemer og data, herunder personfølsomme oplysninger?
• Logges alle relevante hændelser (herunder administratorernes systemhandlinger) og efterses disse?
• Er der implementeret en stram og velfungerende change management proces?
• Er alle data og systemer korrekt klassificeret og prioriteret?
• Hvordan ser beredskabsplanen ud og har man gennemført øvelser i denne?
• Hvordan er brugernes generelle “awareness-level” i forhold til IT-sikkerhed?
• Er din infrastruktur og dens systemer tilstrækkeligt segmenteret?
• Foretages der jævnlige penetration tests – både eksternt og internt i infrastrukturen?
• Har man implementeret 2-delt administration, når det kommer til essentielle systemer og relaterede administrative opgaver?
• Hvornår sendte man sidst de relevante medarbejdere på et kompetencefremmende kursus eller en konference, der omhandlede IT-sikkerhed?
• Er din virksomheds vigtigste dokumenter og e-mail kommunikation beskyttet af kryptering?

Nu når du ved, at det måske nok halter på visse områder, har du så meddelt det til de rette personer i virksomheden, så de har haft mulighed for at reagere?

Og hvis det nu er dit ansvar, ville du så kunne forsvare dig overfor offentligheden (eller i en eventuel retssag for den sags skyld) og med god samvittighed påstå, at du har udvist rettidig omhu, såfremt det en dag måtte komme for dagens lys, at din organisation har væsentlige huller i sikkerheden?

En afsluttende bemærkning

Nærværende indlæg skal bestemt ikke læses som et forsvar for de firmaer, hvis brister nu er udsat for offentlighedens kritik, eller en underkendelse af det signifikante i disse hændelser, men alene som en opfordring til, at vi alle lærer af det, som andre nu er udsat for og lider under.

Godt det ikke var os!

66 borgere og organisationer har indsendt kommentarer til Frederikshavn Kommunes VVM-redegørelse i forbindelse med olieselskabet Totals og Nordsøfondens planer om en efterforskningsboring efter skifergas i kommunen. Høringsfristen udløb mandag.

Landindspektør Lene Morthensen fra Frederikshavn Kommune betegner 66 indsigelser som mange – ikke mindst fordi VVM-redegørelsen kun omfatter Totals tilladelse til at bore et fire kilometer dybt hul og udtage en kerneprøve.

Kun hvis boringen viser, at der er de rette skiferlag i dybet, vil Total gå videre med at teste indholdet af gas ved hjælp af hydraulisk frakturering. Men så skal der en ny VVM-rapport og godkendelse til, forklarer hun:

»Vores oplevelse fra borgermøder er, at folk er bekymrede for miljøpåvirkningen fra frakturerings-processen. Men det er altså ikke det, der er på tale nu,« siger hun.

Hun tilføjer, at også en del af indsigelserne mod VVM-redegørelsen og lokalplanen ser ud til at omhandle modstand mod hydraulisk frakturering i stedet for konsekvenserne af en efterforskningsboring.

Flere miljøorganisationer, som nu har offentliggjort deres indsigelser, angriber netop kommunen for at se for isoleret på sagen, når VVM’en kun beskæftiger sig med konsekvenserne af en efterforskningsboring.

De opfordrer i stedet kommunen til at lade sagen gå om og inddrage hele indvindingsprocessen, inklusive den omdiskuterede fracking-metode, hvor skiferlagene sprækkes op ved hjælp af vand med forskellige kemikalier i.

Danmarks Naturfredningsforening (DN) kalder for eksempel faseopdelingen for ’kunstig’:

’Det vil ikke give nogen mening at udføre prøveboringen, hvis der ikke kan gives tilladelse til hydraulisk frakturering efterfølgende, og derfor betragter DN kun fase 1 som et “halvt projekt,”’ skriver organisationen i sit høringssvar.

DN har netop skrevet et brev (pdf) til Folketingets Miljøudvalg, hvor de opfordrer politikerne til at tage stilling til, hvorvidt skifergas skal være en del af Danmarks energiforsyning, inden man starter en efterforskningsboring i Nordjylland.

VVM-redegørelsen kan læses her (pdf).

Med det nye Statoil-brændstof kaldet ‘Miles’ kan du køre længere på literen. Det tør det norske selskab godt love med testresultater fra brugere og et internationalt anerkendt testlaboratorium i ryggen.

Indtil nu har det kun været Shell, som direkte har turdet proklamere en forbedring ved at bruge benzin tilsat en række additiver, og her er det overordnede budskab bare, at man kører ‘lidt længere på literen’.

Statoil vover hele pelsen og lover, at bilister kan opleve op til 2,7 procent længere på literen for benzin og op til 1 procent længere på literen for diesel. Vel egentlig ikke en kæmpe besparelse, men alligevel noget, der for benzins vedkommende svarer til 30 øre pr. liter.

De flere kilometer på især benzin er fremkommet ved at tilsætte brændstoffet en hemmelig sammensætning af additiver. Det er der en række store virksomheder i verden, der har specialiseret sig i, og det var dem, Statoil kontaktede for at få udviklet en formel, som lige præcis lever op til de krav, Statoil sætter.

Tre virksomheder fik mulighed for at komme med et forslag, og af dem valgte Statoil at arbejde videre med amerikanske Lubrizol. Det forklarer seniorspecialist Bob Seymour fra Statoil i Danmark. Men da Lubrizol også arbejder for andre brændstofproducenter, betyder det, at Statoil ikke får alt at vide:

»Vi kender selvfølgelig hovedgruppen af de additiver, Lubrizol har sammensat. Men den nøjagtige formel kender kun de,« siger han.

Ren motor giver flere kilometer
Opgaven med at få en motor til at levere flere kilometer pr. liter brændstof er forskellig for en benzinmotor og en dieselmotor.

»I dieselmotoren er den størst årsag til tab, når dyserne i den direkte indsprøjtning kokser til. For benzin har friktionen mellem stempel og cylindervæg størst betydning,« forklarer Bob Seymour.

Faktisk mener Statoil, at de med deres nye brændstof kan rengøre dyserne i ældre dieselbiler så godt, at den begynder at køre længere på literen. Men effekten kommer først, når man har brugt 2-3 tankfulde af den nye diesel, og det kræver, at man tanker Statoil hver gang.

Når det gælder benzin, så kan additiverne opbygge et friktionsreducerende lag på indersiden af cylinderne. Efterhånden som laget ‘skrabes’ af af stemplets bevægelser op og ned, vil additiverne falde ned i motorolien, og på den måde bliver de transporteret rundt til andre dele af motoren, hvor de også kan give ekstra smøring. Bob Seymour pointerer dog, at man stadig skal huske at skifte motorolie med rette intervaller.

Testet i Polen, Sverige og hos Arla
Skeptiske forbrugere vil naturligvis altid stille spørgsmålstegn ved udsigten til sådan en besparelse, og derfor har Statoil både fået lavet en laboratorietest hos det polske testinstitut Bosmal og hos virkelige forbrugere. Blandt de sidste er danske Arla, som uden chaufførernes kendskab har testet dieselversionen. Der blev kørt 11,2 mio. km, og her fandt man en forbedring på 2,3 procent.

For benzins vedkommende fandt forbrugertesten sted hos en svensk køreskole, og her fandt man, at bilerne (BMW 330i) kørte 2,43 procent længere på en liter benzin

Additivet tilsættes, samtidig med at brændstoffet overføres til en tankbil. Det skyldes, at alle de danske benzinstationer henter brændstof fra de samme lagre. Grundbrændstoffet er altså det samme. Forskellen opstår, når hvert enkelt benzinselskab tilsætter deres eget additiv. Der går mellem en halv og en hel liter additiv til 1.000 liter brændstof.

Salget af Statoils Miles-brændstof starter torsdag 8. maj til samme pris som den nuværende benzin. Der er altså ingen ekstrapris for at køre længere på literen. Ifølge Peter Rasmussen, der er Statoils dansk direktør for brændstof, håber Statoil på at kunne tage markedsandele som modvægt til det mindre salg, en besparelse nødvendigvis vil give.

I Sverige har det nye brændstof været til salg i et års tid, og her lader det til, at det er muligt at øge markedsandelen. Statoil regner med, at Miles skal ud på alle selskabets 2.300 servicestationer i de otte lande, hvor selskabet er repræsenteret.