Uoplyste myter styrer den danske IT sikkerhedspolitik

Næsten alle offentlige IT systemer kræver en høj grad af sikkerhed. Dog er det sjældent så åbenbart som med den offentlige fælles login Nem-ID.

Alligevel er der åbenbart ikke fra statens side stillet robuste krav til kvaliteten og den faglige vurdering af den sikkerhed, der designes ind i systemet.

Det afsløres blandt andet ved at man forsøger sig med ‘hjemmestrikkede’ ‘security by obscurity’ (sikkerhed via hemmeligholdelse) tiltag så som at gemme en stor blok kode som en billedfil, som så blev ‘opdaget’ af antivirus programmer.

Fagfolk er forholdsvis enige om at lukketheden og hemmeligholdelsen ikke fører til en pålidelig sikkerhedsløsning. Det gør derimod en fuldstændig åben løsning, hvor alle inviteres til at reviewe og ‘angribe’ koden, og hvor den løbende udvikles i takt med at eventuelle sårbarheder opdages.

Vi ser at sådanne åbne løsninger, for eksempel kryptering med PGP, er nogle af de ganske få sikkerhedstiltag, som NSA ser ud til ikke at have knækket endnu.

Der er brug for at offentlig håndtering af IT sikkerhedsproblematikker baseres på anbefalinger fra uafhængige fagfolk for eksempel fra universiteterne.

Ja det er da ganske underligt at ting som digital post og NemID ikke rent er baseret på åbne standarder.

De uafhængige fagfolk finder du nu mange andre steder end i Universitetsmiljøet hvor de jo også går op i bevillinger, jeg tænker på folk som f.eks. Christian Panton https://christian.panton.org/ og hans “Bitbureauet” https://bitbureauet.dk/.

Jeg er helt enig med dig i, at alt burde gøres open-source. Det ville også fjerne monopolet fra virksomheder som csc og samtidig tvinge dem til at lave ordentlig kode fra starten af. At det ikke bliver stillet som et krav af kommunerne eller staten er mig en gåde.