Dansk IT: Hvem har ansvaret for softwaresårbarheder?

DEBAT: I Danmark er det meget uklart, hvem der har ansvaret for at udbedre sårbarheder i cybersikkerheden. Det er et alvorligt problem, som bør løses fra politisk side, skriver Thomas Kristmar fra Dansk IT.

Thomas Kristmar, Dansk IT, mener ikke, man kan forlade sig på frivillige ordninger, når det kommer til at sikre borgernes cybersikkerhed. — Thomas Kristmar, Dansk IT, mener ikke, man kan forlade sig på frivillige ordninger, når det kommer til at sikre borgernes cybersikkerhed. Foto: Pressefoto

Jenny Emilie Bendix Becker

Redaktionsassistent

GDPRDeleted

Vis mere

Dette indlæg er alene udtryk for skribentens egen holdning. Alle indlæg hos Altinget skal overholde de presseetiske regler.

Af Thomas Kristmar
Fagrådet for informationssikkerhed i Dansk IT

Dansk IT har en forudsigelse for 2019: Der vil blive tilsluttet flere enheder til tingenes internet (internet of things) i Danmark – og enhederne vil ikke være tilstrækkeligt sikre. Faktisk var det også situationen i 2018, 2017, 2016 og endnu flere år tilbage.

Hvad er problemstillingen med denne udvikling? Det er, at vi i Danmark – et af verdens mest digitaliserede lande – ikke effektivt har adresseret produktansvar, når det drejer sig om cybersikkerhed i produkter.

Intet fælles regelsæt for sikkerhed
Prøv denne lille test: Du har en mobiltelefon med en oplader. Telefon og oplader er CE-mærkede. En CE-mærkning er en ordning for el-produkter, som viser, at producenten overholder lovgivningen, og produktet derfor kan sælges i hele EU.

Fakta

Dette indlæg er alene udtryk for skribentens egen holdning.
Alle indlæg hos Altinget skal overholde de presseetiske regler.
Du kan kommentere indlægget i bunden. Vi opfordrer til en konstruktiv og ordentlig tone i debatten.
Debatindlæg kan sendes til: [email protected]

Der er altså et fælles sæt af krav til, om el-sikkerheden er “god nok”. Hvis der alligevel er fejl, som forårsager risiko for stød eller brandfare, bliver produktet tilbagekaldt af producenten eller importøren – om nødvendigt som et pålæg fra Sikkerhedsstyrelsen. På Sikkerhedsstyrelsens hjemmeside kan man altid se en liste over farlige produkter.

Men hvad, hvis der er en softwaresårbarhed på din telefon, som gør, at en angriber kan læse dine mails på telefonen? Så er det bare ærgerligt. Producenten vil som regel udgive en rettelse inden for en tidsramme, producenten selv bestemmer. Det kan tage en uge, 14 dage, en måned, tre måneder eller mere.

Men hvad, hvis der er en softwaresårbarhed på din telefon, som gør, at en angriber kan læse dine mails på telefonen? Så er det bare ærgerligt.
Thomas Kristmar
Dansk IT

Center for Cybersikkerhed kan advare om sårbarheden, men der er ingen myndighed (gentager: ingen myndighed), som kan beordre en producent til at tilbagekalde et produkt på grund af ringe cybersikkerhed. Der er nemlig intet fælles, forpligtende regelsæt for, hvad god cybersikkerhed i produkter er.

Behov for politisk handling
Heller ikke inde for medicoteknisk udstyr er der regelsæt, der beskriver, hvad god cybersikkerhed egentlig er. Det er situationen, på trods af at der er talrige eksempler på ringe cybersikkerhed i medicoteknisk udstyr såsom en pacemaker eller en insulinpumpe.

Det europæiske it-sikkerhedsagentur Enisa har udarbejdet en vejledning med sikkerhedsanbefalinger til IoT-enheder, som er af frivillig karakter, og et frivilligt certificeringsrammeværk i EU.

Med smart cities bliver borgernes data imidlertid i stigende grad opsamlet, behandlet og analyseret, og IoT-teknologi findes både på plejehjem, i termostater, el-pærer og i støvsugere, uden at der er krav til cybersikkerhed i de IoT-produkter, som er i berøring med os alle. Der er ganske enkelt behov for, at politikerne får gjort noget ved det alvorlige problem, så det kan passende være et digitalt valgtema her i 2019.

Digitale risici
Danmark er blandt verdens mest digitaliserede lande. Såvel myndigheder som private virksomheder ønsker at høste gevinsterne ved den fortsatte digitalisering. Men på samme måde, som lovgiverne for år siden erkendte, at man med elektriske produkter risikerer sundhedsfarer i form af stød og brand, er tiden så ikke inde til at konstatere, at der med usikre IoT-enheder medfølger en digital sundhedsfare?

Dansk IT støtter helhjertet brugen af IoT og den fortsatte digitalisering, men vi beder om, at det sker med omtanke. Det er utilstrækkeligt, at der ikke er hjemmel til at kræve produkter tilbagekaldt på grund af ringe cybersikkerhed eller sårbarheder udbedret inden for en rimelig tidsramme, når man i årevis har kunnet kræve produkter tilbagekaldt på grund af eksempelvis brandfare.

Borgerne skal advares
Der er naturligvis behov for en pragmatisk lovgivning: Mange borgere vil nok være kede af at skulle aflevere deres mobiltelefoner hver gang, der er en ny sårbarhed i iOS eller Android, men vi skal sikre, at der hurtigst muligt udsendes en patch eller update, som fikser problemet. En sådan bør pushes ud af leverandøren, så borgerne på deres mobiltelefoner, webcams eller lignende får en advarsel om, at en opdatering skal installeres.

På grund af sektoransvarsprincippet i Danmark vil der være en betydelig koordinationsudfordring med at:

Etablere et fælles regelsæt for god cybersikkerhed med de nødvendige sektorspecifikke tilpasninger
Oparbejde sektorspecikke kompetencer for at kunne teste og vurdere cybersikkerheden i produkterne
Implementere hjemmel for tilbagekaldelse af usikre produkter inden for hver sektor.

Vi kan ikke vente på EU
Jeg indrømmer, at der ligger et betydeligt stykke arbejde forude, både hos lovgiverne, hos producenterne og hos alle, der arbejder professionelt med it. Men udfordringen bliver ikke mindre, hvis vi venter, og behovet forsvinder ikke.

EU har valgt at gå frivillighedens vej, og om nogle år kan det vurderes, om frivillige ordninger har flyttet markedet til at levere bedre og mere sikre produkter. Kan Danmark vente på det?

Politik har aldrig været vigtigere