Dorte Toft
Medforfatter af "Bedrag" om Stein Bagger-sagen, hvor Bizzen-bloggen spiller en væsentlig rolle. Har modtaget eJour-prisen, IT-prisen, FUJ-prisen og Publicistprisen for sin journalistik. Desuden nomineret til Cavling-prisen i 2009.
Lykkelig i nørdland. Hvem bygger fremtiden? Gyldendal, 256 s., kr. 249,95.
Læs mere hos Boghuset eller download bogen gratis her.
Det er hundesvært at belyse konsekvenser af manglen på et dansk nationalt it-beredskab, men alligevel var det emnet på her til morgen i programmet hos Go’ Morgen Danmark produceret af Nordisk Film for TV2. Hatten af for studieværten Morten Resen, der turde, hvor de lidt tungere tv-programmer ikke gør.
Jeg var i studiet på grund af min mandagsklumme “Utroligt old-beredskab” i Berlingske Business og det tilhørende blogindlæg. Aftalen blev indgået i går, men blev på sin vis særlig aktuel af forsiden på Politiken i dag og en tilhørende baggrundsartikel.
Jordmoder offer for netbanktyv
Politiken har talt med et af de 8.000 mennesker, der for nylig fik lukket adgangen til netbanken uden varsel. Det er en jordmoder, hvis konto forinden var blevet lænset for 64.800 kroner, som banken godt nok kompenserer for, men der er andre konsekvenser for kvinden (netudgaven af artiklen lidt tynd – køb avisen).
Jeg blev ringet op lige, efter jeg var kommet hjem fra tv-studiet. Det var en person, der gerne ville fortælle mig om det beredskab, som internetudbyderne er gået sammen om.
Det er et godt initiativ, som jeg kender til, men igen blot en af mange nødvendige brikker, hvis der skal sikres et professionelt forsvar mod angreb, et højt informationsniveau over for borgerne, den nødvendige varsling mod angreb og trusler og et effektivt “svar” på det hændte.
Sådan kan det gøres
Hvad jeg efterlyser er noget i lighed med norske statslige NorCert og det svenske SITIC.
Den internetudbyder, der ringede mig op, var i øvrigt helt enig i, at det overordnede nationale beredskab mangler. Og han havde – som jeg – ikke megen respekt for den informationsindsats, som Finansråd og banker har ydet i forbindelse med lukningen af netbanker.
Dit ansvar?
Vi hører gang på gang – også i Politiken i dag - at bare brugerne tager ansvar for egen pc, for sikkerheden derpå, så er der ingen fare (groft sagt). Det er en bekvem argumentation, der skubber ansvaret og dermed skylden over på menige mennesker, men argumentationen misbruges.
Det er almindelig viden, at for mange, mange mennesker er det svært at vide, hvad der skal gøres, og selv for erfarne pc-brugere kan det knibe med overblikket.
Viden om sikkerhed
Hvor mange almindelige mennesker ved for eksempel, hvilke versioner af Windows, der er ganske robuste mod angreb, og hvilke der ikke er det?
Hvem ved, hvilken antivirus-pakke, der fungerer mod den aktuelle netbanktyv, og hvilken ikke?
Hvem ved, at antivirusproducenten Symantec har frigivet et værktøj, der kan fjerne “tyven”, men tilsyneladende kun, hvis du kører Windows XP eller Vista, og hvis du har den tilhørende CD?
Når Finansråd, IT & Telestyrelsen og alle de andre løfter fingrene over for borgerne, så glemmer de typisk også at tilføje, at hackerne konstant forsøger med nye angrebsformer, som sikkerhedssoftware måske slet ikke kan tage hånd om endnu.
Det er sjældent, at sådanne angreb lykkes, hvis software (styresystem, antivirus, applikationer etc.) er opdateret, men alligevel.
“Netsikker nu”-dagen
Den dag om året, hvor Ministeriet for Videnskab, Teknologi og Udvikling sammen med Microsoft m.fl. laver sin “Netsikker nu”-kampagne, forslår som en skrædder i helvedet på informationsfronten, ligeledes indsatsen på IT- og Telestyrelsens websted, i de store elektroniske medier etc. etc.
Indslaget i Go’ Morgen Danmark kan ses her på TV’s Sputnik-kanal. Det er det næstsidste, onsdag den 11.2.09, og bærer overskriften: “Danmark har brug for bedre it-sikkerhed”. Jeg har et par småfejl, i hvad jeg siger i skyndingen, såsom at DK-Cert hører under et universitet, i stedet for universiteternes it-center, men sådan er det, når man på 5 minutter skal fortælle om noget, der burde berettige en times debat.
11. februar 2009 kl. 13:21
Ikke et eneste sted står der, at man (når man bruger Windows) skal benytte en konto med begræsede rettigheder til det daglige.
Men der er jo heller ikke penge i det råd:
http://tinyurl.com/bp8lb8
(link til en artikel på Version2.dk)
11. februar 2009 kl. 13:58
Og mht Vista, så befinder de virkelige skurke sig her:
Microsoft Locks Down Security. . . and Roils Security Vendors
-artikel fra PC Magazine, 20. december 2006
http://www.pcmag.com/article2/0,2817,2074615,00.asp
11. februar 2009 kl. 16:56
Men Dorte; er Norcert ikke blot Norges svar på CERT ligesom at DK•CERT er det. Og er det du efterlyser så en udbygning af den funktion. I følge DK•CERT selv, så
håndterer de årligt ca. 100.000 it-sikkerhedshændelser og de er statslige, da de henhører under UNI•C, som er en landsdækkende virksomhed under Undervisningsministeriet.
Blandt deres opgaver (fra http://www.cert.dk/kontakt):
“DK•CERT analyserer anmeldelser fra personer, der har været udsat for en sikkerhedshændelse, giver forslag til løsning af problemerne og advarer andre, der kunne risikere at blive udsat for en tilsvarende hændelse. Dette sker under hensyntagen til de berørte parters ønske om anonymitet og fortrolighed.
DK•CERT koordinerer informationen mellem de berørte parter og andre organisationer, som for eksempel udenlandske response teams og politiet. DK•CERT har en rådgivende rolle og har ikke myndighed til at pålægge andre at foretage bestemte handlinger.”
11. februar 2009 kl. 18:39
@ Claus Hjorting. DK Cert har langt færre beføjelser, langt færre ressourcer. DK Cert er pænt lang nede i den offenlige hakkeorden, og det går ikke. DK Cert synes også leve en skyggetilværelse i forhold til det private erhvervsliv
Prøv at se DK Certs omtale af de 8.000 pc’er, der er ramt af “spionsoftware”:
https://www.cert.dk/nyheder/nyheder.shtml?09-01-27-14-52-00
Det ser i hvert fald udefra ud til, at CSIS, et dansk sikkerhedsfirma, har haft en langt mere central rolle.
Nogen, der ved, hvorledes DK Cert-bemandingen er?
11. februar 2009 kl. 19:09
Det er computerejerens egen ansvar, helt ligesom det er bilejerens ansvar at bilen er i forsvarlig stand og husejerens ansvar at elinstallationen i huset er i forsvarlig stand.
Folk har bare at tage sikkerhedsproblemet på PC-erne seriøst ligesom de tager skiftet til vinterdæk på bilen seriøst eller udskiftningen af HPFI relæet i hjemmet seriøst.
Jeg kan ikke se hvorfor man ikke kan forvente det samme af en PC-ejer som man kan af en bilist eller husejer.
11. februar 2009 kl. 20:05
Problemet er, at et it-beredskab som det, man taler om her – altså et, der virkelig batter noget – kræver ekstremt mange ressourcer. Dels i penge, dels i politisk viljeskraft.
Det er jo ikke gjort med at have et sagkyndigt teknologisk institut, der kan vælge projekter til eller fra alt efter hvilke interesseområder deres nøglepersoner eller kunder interesserer sig for, eller et IT-sikkerheds-CEPOS, der forsøger at kvalificere politiske synspunkter med sagkyndig baggrundsviden.
Skal et sådan beredskab virkelig fungere, må de interessenter, der deltager, forpligte sig til at reagere, hvis der kommer en anbefaling af fra centeret. Ellers forvandler det sig til et nyt it-sikkerhedsråd, som er meget rart at have, men som ingen gider høre på, hvis ikke det siger det, man i forvejen havde besluttet sig for.
Når vi f.eks. taler netbankløsninger (som i indslaget i dag) kunne en adækvat reaktion i the best of all words og ud fra en snæver sikkerhedsmæssig løsning være, at man helt blokerer for brug af netbank i den periode, der går fra et hul er opdaget, og til det er dækket igen. Det ville den jordemorder, som indslaget handlede om, sikkert have været glad for, men de hundrede og tusinder af personer, der i denne periode ikke kunne betale deres regninger, ville tilsvarende være kede af det.
Med udsigten til et sådant scenarie er det helt sikkert, at bankerne ikke vil committe sig til at efterleve de henstillinger, der udgår fra beredskabet.
Og en tilsvarende holdning vil mange af de myndigheder have, der skulle træffe tilsvarende beslutninger – f.eks. i relation til trusler om fortroligheden af elektroniske patientdata.
Derfor vil udgangspunktet for mange mulige interessenter (og investorer) i et sådant beredskab være, at man da gerne vil være med, og sikkert også gerne vil yde penge til det. Men at man ikke kan leve med it-sikkerhedsmæssige diktater.
Tilsvarende er det nærliggende, at de interessenter, der måske ville være parate til at finansiere et sådant center, vil trække følehornene til sig, hvis centeret begyndte at interessere sig for sikkerhedsmæssige temaer, der måske gik “for tæt” på følsomme spørgsmål.
Derfor – dette er en meget vanskelig sag.
Tilføjelse fra Dorte Toft: Jeg har lagt dette på efter accept fra professor, dr. jur. Mads Bryde Andersen. Indholdet fik jeg i en mail skrevet som svar på en forespørgsel om, hvorvidt han ville kommentere på sagen.
12. februar 2009 kl. 14:56
Det er rigtigt at få rippet op i hele denne misere – for det er, hvad det er.
Det er da helt fint, at man f.eks. der også på Danske Bank’s hjemmeside henvises til en hjemmeisde, hvor man kan opdatere sin pc’er. Og jeg gik via denne hjemmeside, og fik installeret secunia – og fint nok.
Men efterfølgende ville jeg så gå videre og få en onlinescanning af min pc’er. Dette gjorde jeg så via F-secure – programmet blev installeret på min pc’er, men så skete der ikke mere – og jeg har prøvet det et par gange; men fortsat ingen scanning – der skete intet.
Så hvad er det værd altsammen, og med en hjemmeside, som også Danske Bank henviser til, jeg spørger bare.
Så, derfor støtter jeg også, at der i offentligt regi – og med økonomisk støtte fra de danske pengeinstitutter og andre, som nyeder godt af nettet.
At det skal være i offentligt regi er mere for at sikre en uafhængighed fra private interesser.
Jeg har Bullgard, vers. 8, som sikkerhedspakke, og jeg har nu spurgt, om de har installeret funktionalitet til at fjerne eventuel skadelig software, jf. de østeuropæiske hackere som skulle være på spil netop nu; svaret udestår dog endnu.
12. februar 2009 kl. 22:08
Vi havde engang et Rådet for IT-Sikkerhed, men det blev lukket af Helge Sander. Planen var vist nok, at it-sikkerhed skulle varetages af Teknologirådet og/eller Videnskabsministeriet.
http://www.computerworld.dk/art/30840
Efter lukningen af Rådet for IT-Sikkerhed, startede Dansk IT sit eget sikkerhedsråd, da Dansk IT var bange for at IT-sikkerhed ville blive nedprioriteret.
http://www.computerworld.dk/art/33905
Det hedder nu Råd for IT-Sikkerhed og persondata
http://www.it-sikkerhedsraadet.dk/mxcms.aspx
Desværre har hverken Teknologiråd/Videnskabsministerie-eller-hvem-der-nu-har-ansvaret eller Råd for IT-Sikkerhed og persondata ikke rigtigt formået at trænge igennem til den almindelige dansker.
Mon der stadig er lidt kold luft mellem det offentlige og det private initiativ til it-sikkerhed?
Det kunne være dejligt hvis det offentlige og det private kunne forene de mange kræfter.
16. februar 2009 kl. 09:56
[...] Vågent Go’ Morgen-tv ser på it-sårbarhed og minus-beredskab [...]
20. februar 2009 kl. 14:48
[...] Vågent Go’ Morgen-tv ser på it-sårbarhed og minus-beredskab [...]
25. februar 2009 kl. 09:13
Er der ikke lige lovligt mange vidtløftigheder her?
Ideen med et fælles GOV-CERT er at tilføre flere ressourcer for at få en udvidet statslig varslingstjeneste, så man i den tidslomme, der eksisterer mellem et angreb (elektronisk krigsførelse) sættes ind, til der kan ageres på det, udnyttes optimalt.
Sagen er vigtig for vore efterretningstjenester, som skal kunne orienteres og sidde til bords, når der skal ageres. På den anden side hører den ikke hjemme i efterretningsregi.
DK-CERT under UNI-C har i dag ikke ressourcerne til at indfri det ambitionsniveau, som et GOV-CERT skulle kunne dække. Derfor snakken om yderligere bevillinger.
Spørgsmålet om funktionalitet handler derfor om penge.
De politiske aktører kan deles op i første omgang i dem, der ønsker et privat CERT, og dem der ønsker et offentligt. Her ser det ud til, at spørgsmålet om clearing og nærheden til tjenesterne afgør den sag til den statslige model.
Tilbage står der så spørgsmålet om, hvor GOV-CERT skal ligge, og hvordan man finansierer. Videnskabsministeriet og Undervisningsministeriet er interessenter her, men det er Statens IT (Skat) også.
Da bevillingen sådan set mangler, risikerer vi menige at blive nyttige idioter i et rent Slotsholmsslutspil.
Vi ser her kræfter fra Rådet for Større IT-sikkerhed agere, som om det handler om en bevilling til deres aktivitet. Hvad skulle de så yde til gengæld? Støtte til en bestemt løsning? Og hvis de får det, kan vi andre så anse dem for uafhængige?