Forslag om IT sikkerhed

Danmark skal være førende inden for IT-sikkerhed

Forslag stillet af bestyrelsesmedlem, civ.ing. Erik Andersen med opbakning fra bestyrelsen for Furesø Vælgerforening. Forslaget til behandling på Landsråd

I dagspressen har vi i den seneste tid hyppigt kunne læse om Danmarks sårbarhed overfor hacker-angreb på vores infrastruktur.

Hvis en kritisk infrastruktur, så som el-nettet, et hospital eller NemID bliver lagt ned af et hackerangreb på grund af produkter med manglende sikkerhed, hvem står så med smerten og regningen?

Lad os tage et eksempel: En leverandør arbejder aktivt indenfor IT sikkerhedsstandardisering og har gennem sit engagement opnået stor indflydelse indenfor IT sikkerhedsstandarder. Leverandøren er hovedudvikler af en IT sikkerhedstandard, som indgår i mange internationale standarder og dermed i produkter. Hvad nu hvis denne standard tillader brug af en eller flere kryptografiske algoritmer, som for længst er dømt usikre? Leverandøren er som nævnt særdeles aktiv indenfor sikkerhedsstandarder, og er lykkedes med ved dygtig argumentation at fastholde tilladelsen til at bruge disse usikre algoritmer. Dermed leverer standarderne og leverandørens produkter ikke den optimale sikkerhed til det danske og internationale samfund. Leverandøren kan sælge sine produkter og fortsat henholde sig til, at man overholder de sidste nye sikkerhedsstandarder i sine produkter, selv om produkterne er usikre. Så det er ikke leverandøren, som står med smerten.

Dette er et virkeligt eksempel! Man har sat ræven til at vogte gæs.

Det er en samfundsopgave at sikre bedst mulige IT sikkerhedsstandarder, og Danmark har talenterne, og det koster ikke noget særligt. Det risikerer tværtimod at koste os dyrt ikke at sikre, at IT-sikkerhedsstandarderne er i orden.

Dansk Standard, som har ansvaret inden for International Standards Organization, hører under Erhvervsstyrelsen. International Telecommunications Unit (ITU) hører under energistyrelsen. ITU og ISO arbejder sammen om adskillige standarder, men ikke i Danmark. Her er ingen koordination, men der er jo heller ikke noget at koordinere.

Dansk Standard, som har ansvaret inden for International Standards Organization, hører under Erhvervsstyrelsen. International Telecommunications Unit (ITU) hører under energistyrelsen. ITU og ISO arbejder sammen om adskillige standarder, men ikke i Danmark. Her er ingen koordination, men der er jo heller ikke noget at koordinere.

Hvem har mest gavn af, at IT-produkter, som indgår i en kritisk infrastruktur lever op til strengeste sikkerhedskrav? Er det leverandøren af IT-produkterne, er det brugerne af produkterne eller er det samfundet?

Vi anbefaler derfor, at vor folketingsgruppe arbejder for en øget offentlig deltagelse i og øget offentlig kontrol med IT-sikkerhedsstandardiseringerne og at sikkerhedsstandardiseringen bliver bedre koordineret mellem de forskellige instanser.


Comments are closed.