Debat

Ekspert i cybersikkerhed: Statsministerens pressemøde var en gyserforestilling i skødesløs omgang med it-sikkerhed

I sagen om statsministerens sms’er handler det ikke om sletning, men om sms’er, der slet ikke skulle være skrevet i første omgang, hvis man – som Mette Frederiksen siger – er nervøse for, at de skal havne i forkerte hænder, skriver Rasmus Lau Petersen.

<span>Spørgsmålet
er, om sådanne beskeder overhovedet skulle have været skrevet i første omgang,
hvis altså man vurderer, at det vil være forbundet med en betydelig risiko,
såfremt de ender i de forkerte hænder, skriver&nbsp;<b></b></span>Rasmus Lau Petersen.
Spørgsmålet er, om sådanne beskeder overhovedet skulle have været skrevet i første omgang, hvis altså man vurderer, at det vil være forbundet med en betydelig risiko, såfremt de ender i de forkerte hænder, skriver Rasmus Lau Petersen.Foto: Mads Claus Rasmussen/Ritzau Scanpix
Dette indlæg er alene udtryk for skribentens egen holdning. Alle indlæg hos Altinget skal overholde de presseetiske regler.

Statsministerens pressemøde sidste uge gav et omfattende indblik i, hvordan man på en arbejdsplads, hvor sikkerheden nok burde være i højsædet, forholder sig til den, når det gælder telefoner. Og det blev i sandhed lidt af en gyserforestilling.

Tilbage står indtrykket – minksag eller ej – af et i bedste fald sporadisk niveau på visse områder, og at sikkerheden inden for disse er overladt til den enkelte medarbejder, uden styring fra centralt hold.

Hvorfor slette?

Sms-kommunikation er notorisk kendt for at bygge på gammeldags protokoller med svag eller ingen sikkerhed. Individer eller grupper med ”onde hensigter” har således fine muligheder for at skaffe sig adgang til enten at følge med i informationsstrømme eller sågar fabrikere falske sms’er eller telefonopkald.

God praksis er, at man vurderer og kategoriserer al information og har styr på, hvor og hvordan den opbevares og behandles. 

Rasmus Lau Petersen
Ekspert i cybersikkerhed for Ingeniørforeningen IDA


Det reelle spørgsmål som it-sikkerhedsekspert er altså ikke, om det er en god idé at slette sine gamle beskeder, men om sådanne beskeder overhovedet skulle have været skrevet i første omgang, hvis altså man vurderer, at det vil være forbundet med en betydelig risiko, såfremt de ender i de forkerte hænder.

Sletning kan i bedste fald betyde, at en smule mindre information falder i de forkerte hænder, men det vil være et slags last resort, efter adskillige helt elementære sikkerhedsforanstaltninger er fejlet. Og i værste fald rammer automatisk sletning naturligvis data, der burde have været gemt.

Sund it-sikkerhedshygiejne foreskriver kryptering af telefonens datalager, så information ikke kan udlæses af en tyv med de rette værktøjer, remote wipe af hele telefonen fra centralt hold, så information ikke kommer i tyvens eller hackerens besiddelse og sikker adgangskode, så tyven ikke kan låse den op.

Til allersidst kan man overveje at slette informationen løbende på telefonen, men hvorfor det, hvis man bare kan slette hele telefonen, hvis den bliver stjålet?

Almindelig praksis

På pressemødet bliver det dog mere end antydet, at elementær praksis for god it-sikkerhed på mobiltelefoner ikke er til stede i Statsministeriet.

Lad os derfor dykke ned i, hvad en professionel organisation gør for at imødekomme disse risici og på den måde også demonstrere, hvad Statsministeriet ville have været i stand til med et højere sikkerhedsniveau omkring medarbejdernes telefoner.

God praksis er, at man vurderer og kategoriserer al information og har styr på, hvor og hvordan den opbevares og behandles.

Alt efter hvor kritisk informationen er, fastsætter man forskellige niveauer af sikkerhedsforanstaltninger for alle de lokationer. Selv en organisation med et medium niveau af it-sikkerhed (og man havde jo nok håbet, at Statsministeriets ville være højere) vil have defineret et regelsæt, som er lettilgængeligt, nogenlunde kendt af alle og stramt styret af eksempelvis it-afdelingen.

I det konkrete scenarie fra minksagen ville en organisation med et medium sikkerhedsniveau, og dermed et regelsæt for sikker brug af mobiltelefoner, hurtigt have kunnet forklare, hvordan telefonerne generelt er sikret, herunder om der er en sikkerhedsforanstaltning som automatisk sletning af sms’er efter X antal dage på dem.

Statsministeriet burde være et fyrtårn for den offentlige forvaltning og som en selvfølgelighed have helt styr på dette.

Rasmus Lau Petersen
Ekspert i cybersikkerhed for Ingeniørforeningen IDA

Man ville også hurtigt have kunnet forklare, hvorfor der er behov for denne sikkerhedsforanstaltning, fordi det er en forudsætning for at implementere den, at man har tænkt over, hvilken risiko den nedbringer.  

Det havde også været let at oplyse, hvem der har haft hvilke telefoner hvornår. Og hvordan information fjernes fra mobiltelefonerne igen (eller forhindres i at blive fjernet, hvis det er information, man gerne vil bevare).

Hvis organisationen anvender sms'er til fortrolig information, burde man ikke høre en tidligere medarbejder fortælle, at vedkommende stadig opbevarer ti år gamle sms’er. Og medarbejdere ville formentlig ikke få lov til selv at styre indstillinger for opbevaring af organisationens data.

Orden i eget hus

Endelig bør man faktisk slet ikke anvende sms’er til behandling af fortrolig information, men en krypteret kommunikationsplatform, helst styret af organisationen. Afhængigt af informationens klassificering kunne det være tjenester som Signal og Telegram eller indenfor økosystemer som Microsoft Teams eller Google Chat.

Fra et it-sikkerhedsmæssigt perspektiv håber jeg, at Statsministeriet får orden i eget hus efter denne meta-afsløring i minksagen af et umiddelbart ganske skødesløst forhold til sikkerheden omkring telefoner.

Statsministeriet burde være et fyrtårn for den offentlige forvaltning og som en selvfølgelighed have helt styr på dette.

Og med de mange gode publikationer, der udgår fra blandt andre Digitaliseringsstyrelsen og Center for Cybersikkerhed, skorter det ikke på tilgængelighed af rådgivning, som for længst kunne have løst Statsministeriets udfordring på dette område.

Politik har aldrig været vigtigere

Få GRATIS nyheder fra Danmarks største politiske redaktion

Omtalte personer

Mette Frederiksen

Statsminister, MF, partiformand (S)
master i afrikastudier (Københavns Uni. 2009), ba.scient.adm. i samfundsfag (Aalborg Uni. 2007)









0:000:00