Otte råd til chefen om sikkerhed

Det skal kunne betale sig for internetudbyderne at hjælpe deres kunder med sikkerhedsproblemer. Det kan det ikke i dag, skriver Shehzad Ahmad i denne klumme fra Computerworld Online.

Af chefkonsulent Shehzad Ahmad, UNI•C, leder af DK•CERT – Shehzad.Ahmad@uni-c.dk

47 sider om it-sikkerheden i Danmark i 2008. Det blev resultatet af vores arbejde i DK•CERT med at skrive Trendrapport 2008. Du kan hente den på vores websted.

Som det fremgår, er der masser af læsestof. Jeg vil imidlertid trække et enkelt emne ud.

Sidst i rapporten kommer DK-CERT med tre sæt anbefalinger, der skal øge it-sikkerheden: Et sæt til borgere, et til it-ansvarlige og et til beslutningstagere.

Anbefalingerne til beslutningstagere består af otte råd.

For det første ser vi det som et problem, at det i dag dårligt kan betale sig for internetudbydere, teleselskaber og hostingfirmaer at gøre en indsats for at forbedre deres kunders it-sikkerhed.

Fordi de er så tæt på kundernes data og trafik, er de ellers i den bedste position til at opdage og standse problemer. En internetudbyder kan således let se, om en kundes pc begynder at scanne vildt på nettet.

Men hvis udbyderen skal bruge tid og kræfter på at kontakte kunden og hjælpe med at finde årsagen, koster det penge. Og udbyderen får ikke nogen direkte gevinst.

Problemet er velkendt i økonomisk teori. Man taler om eksternaliteter.

En eksternalitet er en udgift, der betales af en anden end den, der er årsag til den.

Udgiften til at rydde op efter hackeren betales af offeret og den udbyder, der hjælper med at løse problemet. Hackeren får ikke regningen.

Savner incitament

Derfor foreslår vi i rapporten, at der tilbydes et incitament til, at organisationerne hjælper deres kunder med at sikre data og systemer.

Hvordan det incitament skal se ud, må afgøres af beslutningstagerne: Lovgiverne i samarbejde med branchen. Nogle muligheder er en smiley-ordning, midlertidig lukning af domæner eller strafferetslige sanktioner.

Personlig vil jeg ikke anbefale det ene frem for det andet, valget er op til beslutningstagerne.

Åbenhed om tab af data
Råd nummer to har også adresse til lovgiverne: De bør gøre det lovpligtigt at oplyse om det, når en organisation har tabt personfølsomme data som følge af et angreb.

Det giver større åbenhed om it-sikkerhedshændelser. Samtidig letter det borgernes muligheder for at opdage, at deres data risikerer at blive misbrugt.

Som det tredje råd anbefaler vi, at enhver organisation skal have en sikkerhedspolitik. Men det er ikke nok.

Der skal også være krav om, at en ekstern revisor med jævne mellemrum reviderer it-sikkerhedspolitikken hos kunder og samarbejdspartnere, som man deler data med.

Samarbejde om varsling
Vores fjerde råd går ud på, at internetudbyderne skal forpligtes til at samarbejde. Det gælder både opgaven med at opdage, varsle, afværge og rapportere om it-kriminalitet.

Vi mener nemlig, at der er brug for en fælles national indsats, hvis vi for alvor skal beskytte borgere og organisationer mod følgerne af it-kriminalitet.

Det var de første fire råd. Hvis du har lyst til at læse mere, vil jeg henvise til rapporten. Du finder rådene på side 33-38.

God fornøjelse med læsningen!

Oprindelig bragt på Computerworld Online den 27. februar 2009

 

LINKS

Trendrapport 2008 (PDF-format)

Keywords: