Monthly Archives: October 2014

I syv år har Tom Lisborg, der ejer virksomheden Divine Software Solutions, forgæves kæmpet for at få ret i, hvad der begyndte som en sag om softwaretyveri mod hans virksomhed.

I går besluttede et enigt folketing at nedsætte en undersøgelse, der skal granske, om myndighederne har handlet uvildigt i sagen der begyndte, da Tom Lisborg anmeldte to selskaber under VKR Holding – bedst kendt for sine Velux-vinduer – for softwaretyveri for et tocifret millionbeløb.

Ifølge Enhedslistens Frank Aaen, der sammen med sin partifælle Pernille Skipper har skubbet på sagen, bliver der ikke tale om en kommission, men ‘at der er enighed om en advokatundersøgelse eller noget tilsvarende,’ oplyser han til Ritzau.

Tom Lisborg oplyser til Version2, at hvis undersøgelsen falder ud til hans fordel, nærer han håb om, at alle straffesagerne kan genåbne, og at der kan indledes straffesager mod de implicerede embedsmænd, som har været ansvarlige for at efterforskningen har været præget af fejl, forsinkelser og direkte forkerte oplysninger, som tilsammen ifølge Tom Lisborg har svækket sagen.

Starter i 2007

Udgangspunktet i sagen er en politianmeldelse fra 2007 mod Divine Business Solutions tidligere tekniske direktør og chefprogrammør Jesper Mo Hansen.

Ifølge Tom Lisborg, der er stifter og direktør i Divine Business Solutions, har Jesper Mo Hansen brudt sin konkurrenceklausul ved først at opsige sin stilling og derefter arbejde i det skjulte for virksomhedens største kunder. Her har han ifølge Lisborg anvendt den knowhow og de data og programmer, han har arbejdet med og haft ansvaret for som teknisk direktør ved Divine Business Solutions.

Softwaren, der var en videreudvikling af Microsoft Navisions økonomistyringssystem, var beregnet til de to virksomheder General Solar Systems samt SolarCap, der begge er en del af VKR Holding. Koncernen havde i 2007 en omsætning på mere end 17 milliarder kroner og er bedst kendt for også at eje Velux.

I et interview med Version2 i 2010 oplyser Tom Lisborg, at SolarCap og General Solar Systems bruger de programmer, som Divine Business Solutions skulle udvikle. SolarCap og General Solar Systems har betalt for en del af programmerne, men ikke det hele, hvilket også betyder, at de kun har brugsretten til den betalte del. Ejendomsretten tilhører Divine Business Solutions, oplyser Tom Lisborg.

Læs resume af sagen her:

Efter Tom Lisborg politianmeldte sin tidligere kollega Jesper Mo Hansen og firmaet Munk IT til politiet er det kommet frem, at der skete en hel del fejl hos politiet i efterforskningen af den anmeldte Jesper Mo Hansen.

Politiet reagerer først på anmeldelserne efter 400 dage, så dokumentation når at blive slettet, og en politikommissær afgiver falske oplysninger om årsagen hertil. Politiet planlagde også at ransage syv lokaliteter den 11. juni 2008. Men der kunne ikke skaffes en dommerkendelse, fordi det endnu ikke var afgjort, hvilken politikreds sagen skulle høre under. Den juridiske detalje ender med, at ransagningerne blev droppet og aldrig genoptaget.

Tom Lisborg klager til Statsadvokaten for Midt-, Vest og Sydøstjylland, som uden yderligere undersøgelser og afhøringer siger god for politiets arbejde. Sagen ender hos Rigsadvokaten, der i 2012 afgør, at vinduesproducenten VKR Holding ikke kan retsforfølges i en årelang sag om tyveri af software fra det lille it-firma.

Tom Lisborg anmoder i 2012 derefter Folketinget om at nedsætte en undersøgelseskommission til at gennemføre en uvildig undersøgelse af sagen. Det skete så i mandags.

Interessen i Folketinget er især holdt fast af over 100 spørgsmål fra retsudvalget til justitsminsiteren. I nogle af de svar, der har været fortrolige for offentligheden, fremgår det blandt andet, at der har været kontakt mellem de politianmeldte og politidirektør i Sønderjyllands politi Lone Sehested.

I et andet svar fra Justitsministeriet kommer det frem, at direktør i VKR Holding Leif Jensen under efterforskningen direkte har kontaktet politidirektør Johan Reimann fra Nordsjællands Politi. Justitsministeriet oplyser også, at politidirektøren ikke gjorde notat om samtalen, ‘da der ikke blev meddelt politidirektøren oplysninger af betydning for sagen.’
Leif Jensen har en fortid som embedsmand i Statsministeriet

Tom Lisborg mener omvendt, at den magtfulde VKR Holdning har haft held til at påvirke efterforskningen.

Endnu en brik styrker Tom Lisborg i sin antagelse af, at han har været udsat for en større uretfærdighed, der rækker højere op i systemet. Den er antydet i en artikel i Berlingske Tidende fra marts 2010. Både avisen og DRs daværende søndagsmagasin “21”, var blevet kontaktet af en kilde, der havde overhørt en telefonsamtale med en departmentchef, hvor sagen blev omtalt. Vidnet skulle have hørt, at ‘en stor del af forsinkelsen skyldes politisk pres fordi sagen skal forplumres og glemmes.’

Det er nu det som Folketingets undersøgelse skal forsøge at afklare.

På hjemmesiden Parlamentet.dk har Tom Lisborg skrevet hvilke ministerier, myndigheder og personer, der bliver omfattet af undersøgelsen:

Følgende ministerier myndigheder er omfattet af undersøgelsen:

• Justitsministeriet (primær periode 2008-2014)
• Rigsadvokaten (primær periode 2008-2014)
• Statsadvokaten for Særlig Økonomisk og International Kriminalitet (primær periode 2008-2014)
• Statsadvokaten for Midt-, Vest- og Sydøstjylland (primær periode 2008-2013)
• Sydøstjyllands politi (2007-2009)
• Nordsjællands politi (2008-2009)
• Københavns Vestegns politi (2007)
• Civilstyrelsen under Justitsministeriet (2011-2014)
• Procesbevillingsnævnet (2012-2013)
• Skifteretten i Kolding vedr. behandling af Done IT under konkurs (2010-2011)
• Sø- og Handelsretten (februar 2014 – april 2014)
• SKAT (primær periode 2009-2014)
• Akter fra Statsministeriet

Primære tjenestemænd som er omfattet af undersøgelsen

Justitsministeriet:

• Departementschef Anne Kristine Axelsson.

• Tidligere Departementschef Michael Lunn.

Rigsadvokaten:

• Rigsadvokat Ole Hasselgaard.

• Tidligere Rigsadvokat Jørgen Steen Sørensen.

• Statsadvokat Mohammad Ahsan.

• Statsadvokat Lennart Hem Lindblom.

• Vicestatsadvokat Hans Fogtdal.

Statsadvokaten for Særlig Økonomisk og International Kriminalitet:

• Tidligere statsadvokat Jens Madsen.

• Vicestatsadvokat Henrik Helmer Steen.

Statsadvokaten for Midt- Vest- og Sydøstjylland:

• Statsadvokat Peter Brøndt Jørgensen.

• Vicestatsadvokat Anne-Mette Wiese.

Politiet:

• Tidligere Politidirektør Johan Reimann, Nordsjællands Politi.

• Tidligere Politidirektør Lone Sehested, Sydøstjyllands Politi.

• Vicepolitidirektør Lene Volke Roesen, Sydøstjyllands Politi

Mulig implicering af to departementschefer:

Det fremgår af en avisartikel i Berlingske Tidende den 9. marts 2010, at Berlingske Tidende og DR 21 Søndag i februar 2009 blev kontaktet af et vidne. Vidnet havde overhørt en telefonsamtale med en departementschef, hvor sagen blev omtalt jf. REU Alm. Del. bilag 407 (Samling 2012-2013).

Vidnet skulle have hørt, at »en stor del af forsinkelsen skyldes politisk pres for at sagen skal forplumres og glemmes«. Ifølge det oplyste skulle denne departementschef have talt med en anden departementschef jf. REU Alm. Del. bilag 194 (Samling 2010-2011 (1.samling)).

Virksomheden Billy’s Billing stod over for en udfordring: Dens cloud-baserede regnskabsprogram gemte på adskillige virksomheders fortrolige oplysninger, men udviklerne var i tvivl om, hvor sikre oplysningerne var over for eventuelle hackerangreb.

Den første indskydelse, som blev diskuteret i virksomheden, var at ansætte en sikkerhedsekspert, men den tanke blev hurtigt skubbet væk:

»Det virkede ikke så let at gå i gang med. Det var noget af en showstopper at skulle hyre et team af sikkerhedseksperter. Du betaler måske 100.000 kr., og så er du ikke sikker på at få noget ud af det,« siger teknologichef og medstifter af Billy’s Billing, Sebastian Seilund til Version2.

Han valgte i stedet en alternativ løsning, der endte med at koste firmaet lige omkring 4.000 kr. i alt, og som hjalp Billy’s Billing med at lokalisere og lukke omkring 10 sikkerhedshuller.

Løsningen bestod i at lade en hær af white hat-hackere fra hele verden gå til angreb på virksomhedens platform i forsøget på at finde sikkerhedsbrister. Hver gang en hacker rapporterede et hul tilbage til virksomheden, fik vedkommende en dusør alt efter, hvor alvorlig bristen var.

Trend blandt mindre virksomheder

Fænomenet med at crowdsource it-sikkerheden og benytte sig af dusørprogrammer er som sådan ikke nyt – store virksomheder som Google og Facebook har begge officielle programmer – men nu er også de mindre virksomheder ved at komme med på vognen.

»Det er en meget tydelig trend,« siger professor i it-sikkerhed ved DTU, Lars Ramkilde Knudsen og uddyber:

»Det er en god måde for virksomheder at demonstrere, at deres service er sikker.«

Det har virksomheden CrowdCurity forstået at udnytte. Bag firmaet står fire danske fyre, der har bygget deres eget netværk op af mere end 1500 hackere, som de nu tilbyder andre virksomheder, som for eksempel Billy’s Billing, at benytte sig af.

»Når man ikke er Google eller Facebook, er det urealistisk at kunne sætte programmer op med dygtige testere selv. Så uden CrowdCurity var det nok ikke noget, vi havde forfulgt,« siger Sebastian Seilund.

Hackere har mere kreativitet og fantasi

CrowdCurity’s hackere, eller sikkerhedstestere om man vil, kommer fra hele verden, og flere af dem er blevet rekrutteret direkte fra de større virksomheders dusørprogrammer.

Hackerne benytter sig af alverdens metoder lige fra cross-site scripting (XSS) til brute force-angreb, når de forsøger at lirke sig ind i virksomhederne. Og der er en klar fordel ved at vælge hackere frem for dyre sikkerhedskonsulenter ifølge Lars Ramkilde Knudsen:

»Den her metode er mere hands-on og real-life. Hackerne er altid en smule foran anti-hackerne – de har kreativiteten og fantasien til at prøve noget nyt,« siger han.

Og hvis virksomhederne er nervøse for at invitere en flok hackere inden for, så kan man i det mindste berolige sig med, at der ikke bliver videregivet fortrolige oplysninger, som kan misbruges ifølge CrowdCurity.

»Det er jo klart, at man inviterer folk til at se på ens virksomhed, men hvis man var en ondsindet hacker, ville det være en dårlig idé at gå igennem vores platform,« siger CrowdCurity’s adm. direktør og medstifter, Jacob Hansen.

Han pointerer desuden, at hvis en sikkerhedstester skulle opdage et sikkerhedshul og vælge at fortie det med skumle hensigter, så risikerer vedkommende, at de andre testere kommer ham i forkøbet og napper dusøren for næsen af ham

Før sikkerhedstesterne kan få deres dusør udbetalt, skal de desuden igennem et baggrundstjek af både navn og adresse. Og man kan som virksomhed også vurdere hackernes kvalitet ud fra anmeldelser af deres tidligere arbejde.

»Det er lidt det samme som AirBnB. I starten spurgte folk også, hvorfor jeg skal have en fremmed hjem i sofaen, men nu rater man hinanden, og så siger folk, at det er fint nok,« siger Jacob Hansen.

Bitcoin-virksomheder populært mål

Virksomheden med de danske grundlæggere har haft meget efterspørgsel fra især Bitcoin-tjenester, der i sagens natur er oplagte mål for ondsindede hackere.

Da bitcoinbørsen Mt. Gox lukkede i starten af 2014, skyldtes det blandt andet et påstået hackerangreb, hvor det lykkedes at stjæle bitcoins for en værdi af omkring 2,7 mia. kr. Og efter en anden børs Poloniex også blev hacket tidligere i år og mistede bitcoins til en værdi af knap 300.000 kr., valgte ejeren at henvende sig til CrowdCurity for at lade hackercrowden gennemteste platformen.

»Vi er selvfølgelig kede af det, når virksomheder bliver hacket, men det er med til at skabe opmærksomhed omkring nødvendigheden for bedre IT sikkerhed – og for at bruge løsninger som vores for at undgå at blive hacket,« siger Jacob Hansen og fortsætter:

»Pengene er måske sikre i bitcoin-protokollen, men vi bruger stadig gamle web-teknologier til at holde bitcoins, og de er stadig usikre så at sige,« siger Jacob Hansen.

Dette er særligt vigtigt for blandt andet bitcoin-wallets, og af samme årsag har verdens største af slagsen, Blockchain, også valgt at bruge CrowdCurity’s hackerskare til at sikkerhedsteste dens brugeres digitale pengepunge.

CrowdCurity har senest tiltrukket investeringer på knap 6 mio. kr. fra en række bitcoin-investorer sidst i juli. Virksomheden tjener penge ved at tage 20 pct. af den dusør, som sikkerhedstesterne får udbetalt.

Capture the Coin

Da sikkerhedstesterne gik løs på Billy’s Billing, fandt de blandt andet frem til en række mindre brister ved hjælp af cross-site scripting. Derudover opdagede de også et par huller i mellemklassen, blandt andet af typen open url-redirection, click-jacking, og at det var muligt at lave et brute force-angreb på loginformularen.

Hver fejl udløste en dusør til hackeren, og nu har Billy’s Billing valgt at sætte præmierne i vejret, så hackerne stadig er motiverede til at finde nye huller. En lille bug giver således en dusør på ca. 300 kr., en i mellemklassen giver ca. 1700 kr., mens en stor bug kaster næsten 6.000 kr. af sig.

Se Billy’s Billings bounty-program.

»Vi har ikke lært af hackerne, hvordan vi overordnet skal opbygge vores sikkerhed. Men en god rapport indeholder også en anbefalet løsning på det problem, som hackeren finder,« siger Sebastian Seilund.

Nogle gange arrangerer CrowdCurity også små konkurrencer for dens sikkerhedstestere, der med det Capture the Flag-inspirerede navn Capture the Coin går ud på, at der er en række private bitcoin-nøgler, som er skjult på virksomhedens hjemmeside. Det er så hackernes opgave, at forsøge at finde huller i sikkerheden, der leder ind til nøglerne. Den første, der kommer igennem, får så mulighed for at overføre bitcoinen til sig selv.

»Vores testere bliver både motiveret af pengene, men også af den anerkendelse, de får. Og så er det sjovt at få lov til at hacke virksomhederne. Nogle gør det endda gratis,« siger Jacob Hansen.

Luise Høj, der er forsvarsadvokat for Gottfrid Svartholm Warg, er i dag blevet nægtet at dokumentere en artikel over for retten. Artiklen stammer fra Version2.

Sammen med danske JT er Warg tiltalt for at have hacket CSC’s mainframe og på den måde tiltvunget sig adgang til tusinder af personlige dataset.

Version2 kunne i sidste uge berette, at en IP-adresse, der knyttes til den kendte svenske hacker MG, ikke blev efterforsket i hackersagen. MG blev sammen med Warg dømt for hacking af svenske Logica. I år er MG igen blevet sigtet for hacking i en ny sag i Sverige.

Det er tilsyneladende den artikel, der nu ikke må dokumenteres i retten. Dommertrioen gav ikke yderligere forklaring på beslutningen over for retten og tilhørerne.

Anklager Anders Riisager har dog i dag fremhævet, at MG var frihedsberøvet i en stor del af den periode, hvor filer blev kopieret ud af CSC’s mainframe, og at han i den periode ikke har haft adgang til en computer. Anklageren understregede også, at MG modtog en behandlingsdom for hacking af Logica.

Luise Høj fik dog lov at dokumentere, at MG var i den nye sag var sigtet for hacking af svensk politis navne- og personregister.

Anklagermyndigheden havde forklaret Luise Høj, at såfremt hun ville bruge artiklen, ville anklageren dokumentere en artikel fra et cambodjansk medie. Luise Høj forklarede, at hun ikke kunne se relevansen af en artikel fra det, hun betegner som et sladderblad.

Version2-artikel med i chat

Det er ikke første gang, at Version2 er blevet drøftet i Retten på Frederiksberg.

I chatten mellem den danske tiltalte JT og en person, der benævnes My Evil Twin, deler JT en artikel fra Version2 om politiets it-systemer. Et ekspertvidne fra forsvaret har dog i dag argumenteret for, at de oplysninger, JT deler, ikke teknisk hænger sammen med det egentlige hackerangreb.

Bevisførelsen i Danmarkshistoriens største hackersag er nu afsluttet, og sagen fortsætter i dag med procedure fra anklageren.

Version2 er til stede i retten.

Hvis du oplever problemer med at anvende de såkaldte check-ind ekstra-kortlæsere, designet til at checke flere personer ind på et rejsekort, så kan det hænge sammen med den store opdatering af systemet fra version 4 til version 5, der fandt sted i uge 40. Efterfølgende har nogle kortlæsere vist sig at skulle genstartes flere gange, før den nye opdatering fungerer ordentligt på dem.

»Nogle af dem skal genstartes en 3-4 gange, og derfor kan man på nogle stationer komme ud for, at check-ind ekstra-kortlæseren ikke virker, før den har været genstartet en 3-4 gange,« siger adm. dir. i Rejsekort A/S Bjørn Wahlsten.

Han påpeger, at det er muligt at anvende rejsekortautomater, de såkaldte RVM’er, på stationerne til at checke flere ind i stedet.

Bjørn Wahlsten forventer, at alle ekstra-kortlæsere er oppe at køre igen ret hurtigt, og at der på nuværende tidspunkt kun er få tilbage, der ikke fungerer.

En sikkerhedsefterforsker mener, at han har afsløret et botnet, som er ved at blive bygget op af Rumænske hackere, som udnytter det såkaldte ”Shellshock” sikkerhedshul. Det skriver Ars Technica.

Rumænerne udnytter ”Shellshock” mod kendte sider som Yahoo og WinZip, hvis servere de udnytter i opbyggelsen af deres netværk.

Jonathan Hall, præsident og senioringeniør hos teknologikonsulentfirmaet, Future South Technologies har beskrevet, hvordan han har fundet frem til botnettet, og at han har kommunikeret med Yahoo, som har erkendt, at de har fundet spor af botnettet i to af deres servere.

Hall fandt botnettet ved at spore kilden fra den anmodning, som undersøgte hans servere for sårbare CGI-serverscripts, som kan udnyttes via Shellstock-svagheden.

Hall sporede kilden tilbage til Winzip.com-server, hvor han brugte sin egen exploit af buggen til at undersøge de processer, der kørte på Winzip-serveren, hvor han identificerede en Perl.script, som hed ha.pl.

Ved at kigge nærmere på scriptet fandt han ud af, at der var tale om en Internet-Ralay-Chat-bot (IRC) lig dem, der bruges til DDOS-angreb, ved nærmere undersøgelser viste det sig, at chatten reporterede tilbage til en anden IRC-kanal, hvor koden blev kommenteret voldsomt på rumænsk.

Hall siger, at han har notificeret både FBI og Winzip.

I Sverige skifter de i øjeblikket regering, og når der kommer nye folk i magtens korridorer kommer der også nyt udstyr. Det skriver dn.se.

Det er dog ikke det nye udstyr artiklen fokuserer på, men derimod det gamle. For af sikkerhedsmæssige hensyn bliver telefoner, tablets og computere samlet ind i fra den gamle regering, hvorefter de bliver destrueret.

Det sker ifølge artiklen for nationalsikkerhedsmæssige årsager.

»Der er så mange følsomme data, som ikke kan slettes på nogen anden måde,« siger en kilde til DN.se.

Udstyret består af en mobiltelefon, tablet og en computer per medarbejder. 196 personer, herunder statsministeren og resten af regeringen, får simpelthen frataget deres udstyr.

Kilder siger til DN at det foregår under stort hemmelighedskræmmeri og sikkerhedsovervågning.

»De går fra rum til rum med forskellige vogne; en til de ting, som bare kan kasseres, og en vogn til de ting, som skal destrueres,« siger en kilde.

Vognen med IT-udstyr bliver derefter kørt til destruktion i et pansret køretøj med politieskorte. Repræsentanter fra hvert parti er taget med, for at sikre, at destruktionen foregår på en sikker måde.

Jens Storberget, der er sektionschef på afdelingen for IT-sikkerhed, udtaler, at det er af sikkerhedsmæssige årsager, man gør det. Men han fortæller samtidig, at han ikke ved, hvordan destruktionen foregår, men at hans job kun går ud på, at sikre at de nye rød-grønne statsansatte har en arbejdscomputer, når de møder op på arbejde.

Både Jens Storberget og enhedschef for IT-drift i Parlamentets administration fortæller, at de oftest tømmer it-udstyr for information og genanvender, men i specielle sikkerhedsmæssige tilfælde destruerer dem.

Der er ikke meget hjælp at hente fra det offentlige, hvis man som borger eller mindre virksomhed har brug for varslinger og rådgivning om alvorlige it-sårbarheder, som eksempelvis Shellshock, der blev offentligt kendt i slutningen af september.

Statens varslingstjeneste for internettrusler, GovCert, har kun til opgave at varsle myndigheder og virksomheder, der driver kritisk it-infrastruktur. Det efterlader et hul over for resten af samfundet.

»Vores fokus er på den kritiske infrastruktur. Borgere og små- og mellemstore virksomheder er ikke inden for vores arbejdsområde,« har chefen for GovCert og Netsikkerhedsafdelingen i Center for Cybersikkerhed, Thomas Kristmar, tidligere sagt til Version2.

Ingen varslinger efter 2013

Det er relativt nyt, at borgere og små og mellemstore virksomheder (SMV’er) står uden en offentlig it-varslingstjeneste.

Netsikkerhedstjenesten DKCert fungerede i en årrække indtil slutningen af 2012 som den myndighed, hvor borgere og SMV’er kunne få både varslinger og rådgivning om de seneste internettrusler. Men af årsager, som Version2 endnu ikke har kunnet opklare, udløb DKCerts kontrakt med staten fra januar 2013, og siden er der ikke nogen myndigheder, der har overtaget tjenestens arbejde.

DKCert har nu kun til opgave at varsle og rådgive universiteter og andre forskningsinstitutioner. Alligevel får tjenesten stadig mange henvendelser fra borgere og SMV’er.

»Vi prøver at hjælpe dem. Problemet er bare, at vi ikke har midlerne til det. Jeg vil aldrig være i stand til at kunne reagere på mange henvendelser fra virksomheder, som hver især kræver længere tid at besvare,« siger chefen for DKCert, Shehzad Ahmad.

Hverken Erhvervsstyrelsen eller Digitaliseringsstyrelsen har kunnet forklare over for Version2, hvem der har overtaget ansvaret for at varsle og rådgive borgere og SMV’er om kritiske it-sårbarheder og trusler efter, at DKCerts arbejde formelt ophørte.

Digitaliseringsstyrelsen: Ikke vores opgave

Digitaliseringsstyrelsen kan rådgive borgere om generel it-sikkerhed, men når det kommer til varsling og rådgivning af konkrete trusler, melder den pas:

»Det er ikke sådan, at vi har til opgave at gå ind og vurdere konkrete tekniske sårbarheder som fx Shellshock,« siger kontorchef i Digitaliseringsstyrelsen Cecile Christensen.

»Det kræver et helt andet teknisk udstyr og indsigt at kunne gøre det, så det er ikke en opgave, som ligger naturligt hos os,« siger hun.

DKCert får stadig tilmeldinger fra borgere og SMV’er på de ugentlige nyhedsbreve om sikkerhedstrusler.

Men når det kommer til akutte varslinger og telefonrådgivning, er det ikke noget, tjenesten formelt har til opgave at tage sig af længere.

»Vores kunder (universiteterne) får stadig direkte besked med det samme om kritiske sårbarheder som Shellshock, men selvom vi gerne vil, kan vi ikke længere på samme måde informere virksomheder og borgere,« siger Shehzad Ahmad og fortsætter:

»Der er ingen tvivl om, at der er et kæmpe behov for at levere information og viden til især små og mellemstore virksomheder.«

GovCert lang tid om at komme ud til offentligheden

GovCert har tidligere mødt kritik af en række it-sikkerhedseksperter for ikke at varsle om it-sårbarheder som fx Shellshock i tide.

Tjenesten advarer først sine kunder (offentlige myndigheder og de største virksomheder) i det øjeblik, nogen forsøger at udnytte eller scanne efter systemer, der er ramt af sårbarheden.

Men når det kommer til at informere resten af offentligheden, går der ofte endnu længere tid.

Nyheden om Shellshock kom først ud på GovCerts hjemmeside to dage efter, at sårbarheden blev kendt i offentligheden, og en dag efter, at dens kunder blev informeret. Og det tog yderligere fire dage, fra den alvorlige Heartbleed-sårbarhed blev kendt tidligere i år, til nyheden kom ud på GovCerts hjemmeside.

»Det er ikke nok, at varslingerne og vidensdelingen kun når ud til en snæver kreds af myndigheder,« siger chefkonsulent i IT-Branchen Bjørn Borre og fortsætter:

»Det skal bredt ud, for at folk får gavn af den viden.«

IT-Branchen: Behov for center for vidensdeling

IT-Branchen efterlyser derfor et fælles center for vidensdeling om it-trusler, der også kan komme borgere og mindre virksomheder til gavn.

»Der mangler et mere bredt fokus på erhvervslivet. Det er ikke kun de store virksomheder, der bliver ramt,« siger Bjørn Borre, der anbefaler virksomhederne til selv at abonnere på de private varslingstjenester, der er på markedet.

»Særligt for små virksomheder kan det være svært at navigere rundt i it-sikkerhed,« siger han.

Er der et hul i forhold til borgeres it-sikkerhed?

»Ja, der kunne man sagtens forestille sig et behov for en særlig indsats, som hjalp og rådgav borgerne i it-sikkerhedsspørgsmål. Det kan være varslinger, vidensdeling og almindelige gode sikkerhedsråd,« siger Bjørn Borre.

Digitaliseringsstyrelsen og Center for Cybersikkerhed er i øjeblikket ved at udforme en national strategi for cyber- og informationssikkerhed, der skal lanceres inden årets udgang.

»I den sammenhæng er det naturligt at se på myndighedernes indbyrdes rollefordeling,« siger Cecile Christensen fra Digitaliseringsstyrelsen.