KOMMENTARER

Råd fra mystiske QCIC holder ikke

Regjeringens IT-hull krever kraftigere lut, mener sikkerhetsrådgiver Stein Møllerhaug.

Stein Møllerhaug, seniorrådgiver i Steria.
24. jan. 2011 - 13:29

Denne kommentaren gir uttrykk for skribentens meninger.

Et lukket nederlandsk sikkerhetsmiljø vet hvordan Regjeringen skal løse sitt sikkerhetsmareritt. Det ville ha vært litt av en nyhet dersom det hadde vært riktig. Hva er så galt i utsagnet?

Gruppen påberoper seg kunnskap om sikker bygging av applikasjonssystemer. Det kan de godt ha, men realiteten for regjeringen og de fleste offentlige og private virksomheter i dag er at de allerede har applikasjoner, i store mengder, mange skrevet for opp til flere tiår siden.

Problemet ligger ikke i applikasjoner og systemer som skal utvikles og settes opp på nytt fra bunnen. Utfordringen ligger snarere i den betydelige porteføljen av gamle applikasjoner, samt samspillet mellom disse.

Ideelt sett bør alle gamle applikasjoner hvor sikkerhet er lagt til som en ettertanke, byttes ut med nye og moderne applikasjoner hvor sikkerhet er en del av arkitektur, design, implementering og testing. I vår virkelige verden vil dette ikke skje over natten. Det vil rett og slett koste for mye å gjøre alt dette på en gang. I stedet prioriterer man ut fra økonomiske forutsetninger, og forsøker å bytte ut de minst økonomiske eller mest usikre applikasjonene først. Dette innebærer at usikrede applikasjoner forblir i produksjon mens man venter på penger til nye og sikrere løsninger. Det er ingen ideell situasjon, men det er slik virkeligheten er.

Det fremsettes påstander om at regjeringen ikke vet hva de skal gjøre for å sikre systemene og at den nødvendige kompetansen mangler. Som sannhetsvitne for dette, viser de til at de har funnet hull og sårbarheter. Dernest tilbyr nederlenderne “generøst” å dele denne kompetansen med regjeringen.

Men vet denne mystiske sikkerhetsgruppen hvilke applikasjoner regjeringen prioriterer? Vet den hvilke som er satt opp for utskifting? Vet den hvilke oppdateringer som kan gjøres uten at systemene slutter å fungere? Har de en oversikt over hvilke applikasjoner som håndterer hvilke data og med hvilke avhengigheter? Hvis ikke, så har de heller ingen løsning.

Enhver sikkerhetstest av systemer avdekker sårbarheter. Noen er enkle å fikse, noen krever utbytting av hele applikasjonssystemer eller andre omfattende tiltak. Det er derfor man tester. Men det er også lov å akseptere risiko og prioritere hva man gjør først. Dessuten er det ikke nok å bare endre i systemer. Man må ofte gjøre organisasjonsendringer og opplæring av mennesker også.

Den nederlandske ekspertgruppen fremstiller IT-medarbeidere og konsulenthus som amatørmessige og dumme. Samtidig fremstiller de seg selv som intelligente problemløsere. Det er en forutsetning at man forstår et problem før man kan løse det. Det er noe alle med en viss intelligens bør vite.

Få prosesser er perfekte, men med klare føringer fra den politiske ledelsen om viktigheten av informasjonssikkerhet, vil sikkerhetsnivået gradvis heves – også uten hjelp fra Nederland. Man må over fra en hendelsesbasert sikkerhetsstyring til en sikkerhetsstyring basert på risikovurderinger. Først da vil man få til en markant forbedring av sikkerhetsnivået.

Hovedårsaken til problemene ligger ikke i manglende kompetanse og kunnskap, men i arven av gamle applikasjoner og mange års manglende bevilgninger til utbedring. Dette er et ledelsesproblem og må løses som et sådant. Dette er noe alle som har jobbet seriøst med IKT-sikkerhet vet.

Har du noe på hjertet?

Skriv et innlegg (husk bilde!) og send til redaksjon@digi.no. Se digi.no åpner debattspalte.

    Les også:

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.