September 2005 Archives
Rigsrevisionen har i dag offentliggjort beretning om Finanstilsynets virksomhed ud fra hvilket det må erkendes at it-sikkerhed stadig ikke får den fornødne opmærksomhed.
Finanstilsynet fører tilsyn med, om de finansielle virksomheder overholder lovgivningen. Hovedaktiviteterne omfatter bl.a. løbende overvågning, inspektioner og generelle tilsynssager.
Rigsrevisionen har undersøgt, om Finanstilsynet har udmøntet sine formål i konkrete aktiviteter, og om dækningsgraden på inspektionsområdet samt kvaliteten af Finanstilsynets sagsbehandling på inspektionsområdet er tilfredsstillende.
Resultatet af revisionen var bl.a. at Finanstilsynet ikke i stor grad inddrager it-sikkerhed i dens evaluering som det ellers er påkrævet.
73. På pengeinstitutområdet blev det først fra 2004 kontrolleret, om virksomheden har en it-sikkerhedspolitik og en it-beredskabsplan. Rigsrevisionens gennemgang af inspektionerne viste, at flere finansielle virksomheder ikke levede op til lovgivningens krav på it-området. Der er ikke i fagkontorets gennemgang eksempler på, at Finanstilsynet har vurderet hensigtsmæssigheden af virksomhedernes it-politikker eller it-beredskabsplaner.
Før 2004 indgik it-området ikke i de ordinære inspektioner.
Med banker som en gruppe der går forrest når det gælder anvendelsen af IT kan meldingen virke meget overraskende. Måske har Danmark virkelig brug for en VISA-skandale før der rigtig sker noget!
Måske ville en offentliggørelse og rangering af finansielle institutters niveau af it-sikkerhed - i stil med den man har lavet for skoler - hjælpe på motivationen...
rapporten kan hentes her http://www.rigsrevisionen.dk/media(93,0)/Beretning_om_Finanstilsynets_virksomhed.pdf
Finanstilsynet fører tilsyn med, om de finansielle virksomheder overholder lovgivningen. Hovedaktiviteterne omfatter bl.a. løbende overvågning, inspektioner og generelle tilsynssager.
Rigsrevisionen har undersøgt, om Finanstilsynet har udmøntet sine formål i konkrete aktiviteter, og om dækningsgraden på inspektionsområdet samt kvaliteten af Finanstilsynets sagsbehandling på inspektionsområdet er tilfredsstillende.
Resultatet af revisionen var bl.a. at Finanstilsynet ikke i stor grad inddrager it-sikkerhed i dens evaluering som det ellers er påkrævet.
73. På pengeinstitutområdet blev det først fra 2004 kontrolleret, om virksomheden har en it-sikkerhedspolitik og en it-beredskabsplan. Rigsrevisionens gennemgang af inspektionerne viste, at flere finansielle virksomheder ikke levede op til lovgivningens krav på it-området. Der er ikke i fagkontorets gennemgang eksempler på, at Finanstilsynet har vurderet hensigtsmæssigheden af virksomhedernes it-politikker eller it-beredskabsplaner.
Før 2004 indgik it-området ikke i de ordinære inspektioner.
Med banker som en gruppe der går forrest når det gælder anvendelsen af IT kan meldingen virke meget overraskende. Måske har Danmark virkelig brug for en VISA-skandale før der rigtig sker noget!
Måske ville en offentliggørelse og rangering af finansielle institutters niveau af it-sikkerhed - i stil med den man har lavet for skoler - hjælpe på motivationen...
rapporten kan hentes her http://www.rigsrevisionen.dk/media(93,0)/Beretning_om_Finanstilsynets_virksomhed.pdf
Toget kører igen..
Arbejder disse dage intensivt på at beskrive hvorledes kompleksitet hænger sammen med SOA - og hvilken påvirkning det har på it-sikkerhed.
Arbejder disse dage intensivt på at beskrive hvorledes kompleksitet hænger sammen med SOA - og hvilken påvirkning det har på it-sikkerhed.
Jeg har efterhånden været til en hel del forskellige arrangementer omhandlende sikkerhed og serviceorienteret arkitektur. I dag var jeg så til en mere.
Det var "Rådet for it-sikkerhed" der arrangerede sit årlige dialogforum og it-sikkerhed og fremtiden. Hvis du sidder og tænker - hvad er "rådet for it-sikkerhed"? så er du sikkert ikke alene fordi jeg har selv haft svært ved at få øje på dem og det var der også mange i salen der havde. Men hvis jeg siger "NetSikker Nu!" kan det godt være at du er hjulpet lidt på vej!
Fremmødet var dog imponerende og illustreret en kraftig interesse omkring emnet. Det var dog mest it-professionelle der havde fundet vej men iblandt dem var der også en stor spredning fra IBM over IT-Brancheforeningen til den it-ansvarlige for Katrineskolen i Kbh.
6 oplægsholdere var blevet inviteret:
Kurt Westh Nielsen, Journalist ved Ingeniøren og ivrig blogger var blevet inviteret på baggrund af hans artikel i Ingeniøren kaldet Luk Rådet for it-sikkerhed (kræver registrering). Kurts indlæg var særdeles interessant og slog på mange måder hovedet på sømmet under anmærkningen at et råd med et så slapt kommissorium; utilstrækkelige ressourcer; og manglende ministeriel uafhængighed i bedste fald er spild af tid og penge. Beviset var da også tydeligt i det som Rådet har produceret indtil videre hvilket Kurt benævnte "Pjecer tilsat strøm". Kurt efterspurgte mere kant; mindre ærefrygt og et større miks af kompetencer i rådet (som vist hovedsageligt tæller jurister)
Anne Baastrup, Politiker for SF var den næste på podiet. Indlægget var en blandet fornøjelse og var lige så meget en skudsalve imod regeringens it-politik som det var et it-politisk indlæg. Anne havde dog nogle vigtige pointer med bl.a. virksomheders etik i sikkerhed - er det etisk forsvarligt at sælge WIFI routere uden at have sikret dem fra butikken. Indlægget blev udgangspunkt i en senere debat om man igennem lovgivning kan fastsætte at kræve at virksomheder skal prioritere højere men det faldt nu hurtigt til jorden.
Per B. Hansen, sikkerhedschef for Microworld havde det sidste indlæg før pausen og holdte i bedste konsulent-stil (med lidt for stort jakkesæt) et ok indlæg hvor han dog et par gange fik sig rodet ud i lidt for tekniske beskrivelser. Beskeden i indlægget var at det er gået hurtigt - siden 1995 hvor kun få havde internet - er afhængigheden af internettet nu vokset til at være næsten fuldstændig for mange virksomheder. Men spørgsmålet er, om sikkerhedsfundamentet har fulgt med i den samme periode? I en allerede velbenyttet analogi med et husbyggeri spurgte Per om det underliggende fundament nu også kunne holde til at vi blev ved med at bygge ovenpå. Et meget relevant spørgsmål!
Efter Pers indlæg blev det tid til debatten og der var mange fine indlæg fra den brogede gruppe. Generel var der stor tilslutning til Kurts besked om større indflydelse - både til Rådet, men også til Datatilsynet som Anne Baastrup også synes var underprioriteret. Anne Baatrup måtte som den eneste politikker også svare på flere spørgsmål til den absurde terrorpakke som hun nu også selv tog afstand fra.
Så var der kaffe og kage og jeg tog en interessant snak med deltager fra Kommunernes Rigsrevision som kunne fortælle mig endnu et par skrækhistorier fra føljetonen om Kommunernes forhold til it-sikkerhed.
Jane Eis Larsen, vicedirektør i IT-branceforeningen fortsatte diskussionen om Rådets rolle i et meget interessant indlæg. I et svar på hvordan rådet skal se ud, pegede hun til Rådet for større færdselssikkerhed opbygning, rolle og position i samfundet og debatten. Hun delte også meget klogt målgruppen op i tre grupper hvortil der kræves forskellige tilgange.
* indenfor den offentlige sektor er lovgivning på mange måder vejen frem. Mest fordi man kan - og det virker.
* overfor borgerne er det undervisning og information som bør træde frem - lovgivning vil ikke have nogen god effekt.
* overfor private virksomheder behøver man ikke at gøre noget. De kan klare det selv. Dette kommer jeg også frem til i mit speciale hvor jeg argumenterer at det bliver nødvendig for virksomheder at "gøre sig lækre" rent it-sikkerhedsmæssigt overfor konkurrenter fordi det i højere grad bliver et salgsargument.
Per Helge Sørensen, forfatter og bestyrelsesmedlem i Digital Rights havde rollen som den unge provocateur som stillede de frække spørgsmål uden noget svar og havde måske ikke så meget relevans i forhold til Rådets virke. Per har allerede skrevet et par opsigtsvækkende bøger som Mailstorm og SPIN og selv om hans oplæg ikke handlede om sikkerhed og SOA fik han det dog lige nævnt og det er jo altid rart at få bekræftet at man er på rette vej.
Pers oplæg var meget rettet imod identitetsstyring og nogle af nøglebudskaberne var at identitetsstyring er fremtiden indenfor it-sikkerhed, men denne sætter nogle begrænsninger på f.eks. ytringsfrihed og forsamlingsfrihed. Han brugte eksemplet med incestramte der nok sætter pris på deres anonymitet og sikkert ikke ville ytre sig på samme måde hvis de skulle identificere sig selv. Der er mange andre situationer og det er ikke uvæsentlige spørgsmål at bringe på banen fordi om vi vil det eller ej så bygger noget af internettets popularitet også på anonymiteten.
Dialogen sluttede af med endnu en paneldiskussion hvor alle 6 oplægsholdere tog plads og diskuterede om et væld af emner herunder omkring regulering af it-sikkerhed og borgertiltag som pc-kørekorts effekt på it-sikkerhed.
Til sidst kunne Rådets formand Allan Fischer-Madsen konkludere på dagen som vist havde været gavnligt for Rådets snarlige "kommission-forhandlinger". Personligt havde jeg også en givtig eftermiddag som bød på mange praktiske overvejelser på hvordan it-sikkerhed egentlig skal takles.
Det var "Rådet for it-sikkerhed" der arrangerede sit årlige dialogforum og it-sikkerhed og fremtiden. Hvis du sidder og tænker - hvad er "rådet for it-sikkerhed"? så er du sikkert ikke alene fordi jeg har selv haft svært ved at få øje på dem og det var der også mange i salen der havde. Men hvis jeg siger "NetSikker Nu!" kan det godt være at du er hjulpet lidt på vej!
Fremmødet var dog imponerende og illustreret en kraftig interesse omkring emnet. Det var dog mest it-professionelle der havde fundet vej men iblandt dem var der også en stor spredning fra IBM over IT-Brancheforeningen til den it-ansvarlige for Katrineskolen i Kbh.
6 oplægsholdere var blevet inviteret:
Kurt Westh Nielsen, Journalist ved Ingeniøren og ivrig blogger var blevet inviteret på baggrund af hans artikel i Ingeniøren kaldet Luk Rådet for it-sikkerhed (kræver registrering). Kurts indlæg var særdeles interessant og slog på mange måder hovedet på sømmet under anmærkningen at et råd med et så slapt kommissorium; utilstrækkelige ressourcer; og manglende ministeriel uafhængighed i bedste fald er spild af tid og penge. Beviset var da også tydeligt i det som Rådet har produceret indtil videre hvilket Kurt benævnte "Pjecer tilsat strøm". Kurt efterspurgte mere kant; mindre ærefrygt og et større miks af kompetencer i rådet (som vist hovedsageligt tæller jurister)
Anne Baastrup, Politiker for SF var den næste på podiet. Indlægget var en blandet fornøjelse og var lige så meget en skudsalve imod regeringens it-politik som det var et it-politisk indlæg. Anne havde dog nogle vigtige pointer med bl.a. virksomheders etik i sikkerhed - er det etisk forsvarligt at sælge WIFI routere uden at have sikret dem fra butikken. Indlægget blev udgangspunkt i en senere debat om man igennem lovgivning kan fastsætte at kræve at virksomheder skal prioritere højere men det faldt nu hurtigt til jorden.
Per B. Hansen, sikkerhedschef for Microworld havde det sidste indlæg før pausen og holdte i bedste konsulent-stil (med lidt for stort jakkesæt) et ok indlæg hvor han dog et par gange fik sig rodet ud i lidt for tekniske beskrivelser. Beskeden i indlægget var at det er gået hurtigt - siden 1995 hvor kun få havde internet - er afhængigheden af internettet nu vokset til at være næsten fuldstændig for mange virksomheder. Men spørgsmålet er, om sikkerhedsfundamentet har fulgt med i den samme periode? I en allerede velbenyttet analogi med et husbyggeri spurgte Per om det underliggende fundament nu også kunne holde til at vi blev ved med at bygge ovenpå. Et meget relevant spørgsmål!
Efter Pers indlæg blev det tid til debatten og der var mange fine indlæg fra den brogede gruppe. Generel var der stor tilslutning til Kurts besked om større indflydelse - både til Rådet, men også til Datatilsynet som Anne Baastrup også synes var underprioriteret. Anne Baatrup måtte som den eneste politikker også svare på flere spørgsmål til den absurde terrorpakke som hun nu også selv tog afstand fra.
Så var der kaffe og kage og jeg tog en interessant snak med deltager fra Kommunernes Rigsrevision som kunne fortælle mig endnu et par skrækhistorier fra føljetonen om Kommunernes forhold til it-sikkerhed.
Jane Eis Larsen, vicedirektør i IT-branceforeningen fortsatte diskussionen om Rådets rolle i et meget interessant indlæg. I et svar på hvordan rådet skal se ud, pegede hun til Rådet for større færdselssikkerhed opbygning, rolle og position i samfundet og debatten. Hun delte også meget klogt målgruppen op i tre grupper hvortil der kræves forskellige tilgange.
* indenfor den offentlige sektor er lovgivning på mange måder vejen frem. Mest fordi man kan - og det virker.
* overfor borgerne er det undervisning og information som bør træde frem - lovgivning vil ikke have nogen god effekt.
* overfor private virksomheder behøver man ikke at gøre noget. De kan klare det selv. Dette kommer jeg også frem til i mit speciale hvor jeg argumenterer at det bliver nødvendig for virksomheder at "gøre sig lækre" rent it-sikkerhedsmæssigt overfor konkurrenter fordi det i højere grad bliver et salgsargument.
Per Helge Sørensen, forfatter og bestyrelsesmedlem i Digital Rights havde rollen som den unge provocateur som stillede de frække spørgsmål uden noget svar og havde måske ikke så meget relevans i forhold til Rådets virke. Per har allerede skrevet et par opsigtsvækkende bøger som Mailstorm og SPIN og selv om hans oplæg ikke handlede om sikkerhed og SOA fik han det dog lige nævnt og det er jo altid rart at få bekræftet at man er på rette vej.
Pers oplæg var meget rettet imod identitetsstyring og nogle af nøglebudskaberne var at identitetsstyring er fremtiden indenfor it-sikkerhed, men denne sætter nogle begrænsninger på f.eks. ytringsfrihed og forsamlingsfrihed. Han brugte eksemplet med incestramte der nok sætter pris på deres anonymitet og sikkert ikke ville ytre sig på samme måde hvis de skulle identificere sig selv. Der er mange andre situationer og det er ikke uvæsentlige spørgsmål at bringe på banen fordi om vi vil det eller ej så bygger noget af internettets popularitet også på anonymiteten.
Dialogen sluttede af med endnu en paneldiskussion hvor alle 6 oplægsholdere tog plads og diskuterede om et væld af emner herunder omkring regulering af it-sikkerhed og borgertiltag som pc-kørekorts effekt på it-sikkerhed.
Til sidst kunne Rådets formand Allan Fischer-Madsen konkludere på dagen som vist havde været gavnligt for Rådets snarlige "kommission-forhandlinger". Personligt havde jeg også en givtig eftermiddag som bød på mange praktiske overvejelser på hvordan it-sikkerhed egentlig skal takles.
