Her i starten af 2014 bør alle statslige virksomheder være i fuld gang med at risikovurdere deres it-sikkerhed og privatlivsbeskyttelse. Rigsrevisionens rapport fra oktober 2013 viste, at en række centrale statslige virksomheder og myndigheder ikke levede op til nogle af de helt grundlæggende krav for god it-sikkerhed.
Rigsrevisionen havde på eget initiativ igangsat en undersøgelse af it-sikkerheden hos Statens It, Digitaliseringsstyrelsen, Klima-, Energi- og Byggeministeriets departement og Energistyrelsen.
Beretningen fra Rigsrevisionen viste, at alle de undersøgte statslige virksomheder og myndigheder havde en unødig stor risiko for både hackerangreb og misbrug af it-systemer og fortrolige data. Vi taler i nogle tilfælde om mangel på sikkerhed i en grad, som en it-sikkerhedschef i en større dansk virksomhed ikke ville kunne stå på mål for.
Rigsrevisionen havde selv udvalgt, hvilke statslige virksomheder og myndigheder, der skulle undersøges og nøjedes altså med fem organisationer. Skal vi gætte på at billedet ikke ser så forfærdelig anderledes ud i landets mange øvrige statslige virksomheder og myndigheder?
Center for Cybersikkerheds risikovurdering for 2013 viser, at truslen mod vores it-systemer kommer både udefra og indefra. Truslen indefra skyldes især medarbejdere, der bevidst eller ubevidst bryder sikkerheden. Mangel på viden og træning kan for eksempel betyde, at en medarbejder åbner en fil eller klikker på et link, som bringer skadelig software ind i it-systemet.
Rigsrevisionen undersøgte både Statens It og Digitaliseringsstyrelsen. Det er centrale aktører, når det gælder opbygningen af den offentlige digitale infrastruktur, og der burde her være særlige forudsætninger for at forstå det generelle risikobillede. I det perspektiv er resultaterne foruroligende, og vi har med stor sandsynlighed kun set toppen af isbjerget.
Forbedringer i vente
Regeringen har truffet en beslutning, som kan skabe basis for forbedring. Fremover skal statslige virksomheder følge den internationale standard for informationssikkerhed, ISO 27001, som i slutningen af 2013 lå klar i en dansk version. Sammenlignet med den tidligere danske standard på området, DS 484, er ledelsens ansvar blevet skærpet. Nu er risikovurderinger og konkrete sikringstiltag blevet en integreret del af ledelsens opgaver.
Den nye standard handler om informationssikkerhed. Det omfatter både it-sikkerhed, altså konkret beskyttelse af data, og også privatlivsbeskyttelse, og vurderingerne skal baseres på interessenternes perspektiv – altså de danske borgere og virksomheder. Indførelsen af ISO 27001 er endnu en grund til, at alle statslige virksomheder og myndigheder lige nu bør være oppe på tæerne og i fuld gang med at afdække risikoen for, at de kompromitterer deres egne og borgernes data. Opgaven omfatter beskrivelse af de it-baserede processer og systemer og dertil en solid eksekvering, som kan højne sikkerhedsniveauet i praksis.
Praktisk og økonomisk krav
Hvorfor er det så afgørende nødvendigt, at vi får øget fokus på it-sikkerhed og privatlivsbeskyttelse?
En lavpraktisk begrundelse er, at statslige virksomheder har brug for data til at opfylde daglige forpligtelser i forhold til borgere og myndigheder. Det stiller krav om korrekte data, stabilitet i driften og kontrol med hvem, der har adgang til data samt driftsrutiner. Kun på den måde kan opgaverne løftes med høj kvalitet og økonomisk ansvarligt.
Forebyggelse af kriminalitet og spionage er to andre vigtige begrundelser. Kriminelle går målrettet efter usikre it-systemer, primært med henblik på økonomisk berigelse. De offentlige danske it-løsninger er yderst attraktive angrebsmål, fordi de er velstrukturerede og meget omfattende. Med hensyn til spionage så sker det i stort omfang via en omfattende masseovervågning af trafik og indhold på nettet via formodede bagdøre og fordøre i sikkerhedsteknologierne. Vi har set, at fremmede efterretningstjenester, også fra allierede lande, går længere og har større kapacitet, end de fleste forestillede sig for et år siden. Når sikkerhedssystemer er blevet kompromitteret af efterretningstjenester og statsstøttede grupper, kan og vil de svage punkter også blive fundet og udnyttet af kriminelle.
Den vigtigste grund, til at it-sikkerheden og privatlivsbeskyttelsen skal være effektiv, er principiel, og den er knyttet til tillid. Når staten opbevarer data, har vi både som borgere og virksomheder en naturlig og berettiget forventning om, at det sker på forsvarlig vis, og at vores data kun anvendes til det formål, vi har afgivet dem til.
Ser vi tilbage på 2013, har der været alt for mange sager, hvor det er åbenbart, at informationssikkerheden ikke har været tilstrækkelig. Vi har for eksempel set meget store lækager af CPR-numre og persondata fra offentlige myndigheder og deres private leverandører. Den slags sager er med til at reducere befolkningens og virksomhedernes tillid til det offentlige system. Hvis vi skal videreføre den gode og lange tradition, vi i Danmark har for stor tillid mellem offentlige myndigheder og borgerne, er der kun en løsning: Sikkerhedsniveauet hos statslige, regionale og kommunale myndigheder skal forbedres afgørende. Det skal være helt i top, og det sker først, når ansvaret bliver forankret i topledelserne.
Et demokratisk krav
Vi befinder os i en brydningstid, hvor demokratiske principper er i spil. Digitaliseringen er især drevet af mål om effektivisering og besparelser. Mange i den offentlige sektor glemmer i deres målopfyldelse, at det er borgerne i et demokratisk samfund, som giver legitimitet til staten. Det gælder både politiske og administrative beslutningstagere og de, som implementerer beslutningerne. Staten er til for borgerne, ikke omvendt.
Et højt niveau af it-sikkerhed og privatlivsbeskyttelse er med til at give de statslige virksomheder og myndigheder den license to operate, som de fleste i Danmark hidtil har taget for givet. Det er nøglen til at skabe den tryghed, vi som borgere og virksomheder må kræve i et demokratisk samfund. Det gælder både i forhold til bekæmpelse og forebyggelse af kriminalitet og i forhold til den daglige håndtering og anvendelse af vores data.
EU-traktaten fastsætter en række demokratiske grundrettigheder. En af dem er, at både almindelige og fortrolige oplysninger om borgere og virksomheder skal beskyttes. Udover den brede privatlivsbeskyttelse, der blandt andet omfatter retten til respekt for korrespondance, indeholder EU-traktaten specifikke bestemmelser om beskyttelse af persondata. EU har i disse år en ledende rolle i forhold til skabe et mere holdbart fundament for hele digitaliseringsprocessen. En af meget vigtige ændringer bliver den forventede vedtagelse af den nye EU-forordning om persondatabeskyttelse, som EU kommissionen forventer at få vedtaget i år. Når EU vedtager disse regler som en forordning får de direkte retsvirkning i alle medlemslandene.
Den nye EU-forordning vil øge beskyttelsesniveauet i alle medlemsstaterne, blandt andet fordi der vil blive indført krav om at udføre privacy impact assessments af alle systemer og løsninger, der håndterer persondata. Før et nyt it-system etableres, skal dets effekter i forhold til privatlivsbeskyttelse vurderes og beskrives. Det vil give en tiltrængt forbedring i Danmark, hvor denne form for forudgående vurdering desværre ikke hidtil har været normen.
Vækst og innovation
Indtil nu har jeg fokuseret på de offentlige aktørers egen informationssikkerhed. De offentlige aktører kan ved at skærpe deres fokus også være med til at skabe grobund for en styrket udvikling den danske it-branche og dermed for erhvervsudviklingen og etablering af nye vidensintensive arbejdspladser. Eftersom den danske offentlige sektor er en af verdens mest avancerede, når det gælder anvendelse af it-systemer, bærer de øgede krav til sikkerhed kimen til vækst. Danske udviklere og producenter af it-sikkerhedssoftware og services vil kunne levere nogle af verdens bedste løsninger. Wall Street Journal kunne allerede for et par år siden fortælle, hvordan privatlivsbeskyttelse i fremtiden vil være en efterspurgt vare, og nu ser vi at NSA-sagen har gjort det meget nemmere at sælge løsninger som skaber it-sikkerhed på højt niveau. Der er udsigt til gode business cases om for eksempel stærk kryptering til tele og data i de kommende år. Det offentlige bør være en oplagt kunde.
Rådet for Digital Sikkerhed blev sat i verden for at medvirke til at skabe tryg digitalisering og en innovativ udnyttelse af it-teknologiens muligheder. Rådet blev oprettet i efteråret 2012 på initiativ af DI ITEK, Dansk IT, IT Branchen, Forbrugerrådet og det tidligere Rådet for Større IT Sikkerhed. I dag har vi en bred kreds af medlemmer, som tæller både statslige aktører, regioner, kommuner, store og små virksomheder, branche- og interesseorganisationer samt universiteter og forskere.
Rådet for Digital Sikkerhed har en robust platform af viden og erfaringer, som vi gerne vil stille til rådighed for relevante aktører. Vi tror, at der skal flere spillere til for at løfte den store opgave, Danmark står over for i dag.
Der bliver i disse år truffet afgørende beslutninger med meget vidtrækkende konsekvenser om udvikling og drift af den samfundsmæssige digitale infrastruktur, som vi alle sammen er afhængige af. Det kræver dialog, debat og samarbejde at få it-sikkerhed og privatlivsbeskyttelse ind i de daglige rutiner, i it-designprocesser og -løsninger og i de politiske og administrative beslutninger.
Denne dialog og debat – som er forudsætningen for at vi kan skabe bredt samarbejde og fælles retning – vil Rådet for Digital Sikkerhed gerne være med til at skabe. Den offentlige sektor kan med fordel åbne op for en sådan dialog og inddrage alternative forslag til nye sikkerhedsmodeller, der integrerer sikkerhed og privatlivsbeskyttelse i udviklingen af offentlige it-systemer og løsninger.
Næste deltager
For at give få en leverandør med praktisk erfaring og indsigt i de offentlige it-systemer på banen, sender jeg stafetten videre til Rasmus Theede, it-sikkerhedschef i KMD, med spørgsmålet:
Hvordan fungerer ISO 27001 i praksis? Er den en egnet ramme for analyser, beslutninger, implementering og kontrol?
