IT-infrastrukturens sårbarhed Rapport og anbefalinger fra en

arbejdsgruppe under Teknologirådet

Teknologirådets rapporter 2004/4

IT-infrastrukturens sårbarhed

Rapport og anbefalinger fra en arbejdsgruppe under Teknologirådet Projektledelse i Teknologirådets sekretariat: Gy Larsen Projektmedarbejder: Anders Jacobi Projektsekretærer: Jette Christensen Ulla Spangsberg Ipsen Omslag: Bysted HQ Tryk: Vesterkopi ISBN: 87-90221-89-3 ISSN: 1395-7392 Rapporten bestilles hos: Teknologirådet Antonigade 4 1106 København K Telefon 33 32 05 03 Fax 33 91 05 90 tekno@tekno.dk Rapporten findes også på Teknologirådets hjemmeside www.tekno.dk Teknologirådets rapporter 2004/4

Indholdsfortegnelse

Indholdsfortegnelse................................................................................................................................................. 1

Forord ......................................................................................................................................................................... 2

1. Indledning............................................................................................................................................................. 3

1.1. Rapporten ......................................................................................................................................................................................... 3 1.2. Projektets baggrund og problemstilling ................................................................................................................................ 3 1.3. Resume .............................................................................................................................................................................................. 4

2. Arbejdsgruppens opgaver og projektforløbet.................................................................................................. 7

3. Workshoppen........................................................................................................................................................ 8

3.1. Metode og forløb ............................................................................................................................................................................ 8 3.2. Forslag fra workshoppen ............................................................................................................................................................ 8

4. Oplæg til deltagerne på workshoppen ........................................................................................................... 10

5. Arbejdsgruppens konklusioner og anbefalinger .......................................................................................... 11

5.1. Konklusioner .................................................................................................................................................................................11 5.2. Anbefalinger..................................................................................................................................................................................12

6. Erfaringer fra Holland ....................................................................................................................................... 13

6.1. Figur 1 ..............................................................................................................................................................................................14 6.2 Figur 2 ...............................................................................................................................................................................................16

7. Baggrundsnotat om IT infrastrukturens sårbarhed ..................................................................................... 17

7.1.Indledning.......................................................................................................................................................................................17 7.2. Truslen fra cyberspace – baggrund og konsekvenser .....................................................................................................18 7.3. IT sikkerhed på udvalgte samfundsområder.....................................................................................................................24 7.4. Flere holdninger og initiativer på IT sikkerhedsområdet..............................................................................................32 7.5. Kilder til notatet...........................................................................................................................................................................37

1

Forord

Danmark er i dag afhængig af en velfungerende IT infrastruktur. I takt med at denne afhængighed øges, vokser erkendelsen af IT infrastrukturens sårbarheder. Samtidig er konsekvenserne af systemnedbrud store og komplekse. Fejl, mangler og skadelige angreb er ikke kun begrænset til en enkelt virksomhed eller institution, det er også et samfundsmæssigt problem. Det er denne problemstilling, som danner grundlag for Teknologirådets projekt om IT infrastrukturens sårbarhed. Til projektet har der gennem hele projektperioden været tilknyttet en arbejdsgruppe:

• Preben Andersen, DK-CERT • Peter Christensen, Catpipe Systems • Sten Christophersen, Hovedstadens Sygehusfællesskab • Freddie Drewsen, Forsvarets Forskningstjeneste • Knud Mose, TDC Erhverv

Arbejdsgruppen har bistået Teknologirådet med faglig viden, strukturering af projektet, planlægning af projektets workshop samt udarbejdelse af denne rapport, som danner afslutning på projektet. Som led i projektet blev der afholdt en workshop i oktober 2003 i samarbejde med Forsvarets Forsknings-tjeneste på Svanemøllens kaserne. På workshoppen deltog en række IT sikkerhedsansvarlige fra institu-tioner og virksomheder – offentlige såvel som private – som bidrog med viden om sårbarhed, trusler og indbyrdes afhængighed af IT. Som oplæg til workshoppen blev der produceret et notat om IT infrastrukturens sårbarhed. Notatet er baseret på en række interviews med IT sikkerhedspersoner fra udvalgte sektorer og er skrevet af journa-list Jakob Vedelsby. Notatet er en del af denne rapport. Projektansvarlige i Teknologirådet er projektleder Gy Larsen og projektmedarbejder Anders Jacobi. Lise Damkjær, Learning 4life, var proceskonsulent på workshoppen. Rapporten findes på Teknologirådets hjemmeside www.tekno.dk Teknologirådet maj 2004 Gy Larsen projektleder

2

1. Indledning

1.1. Rapporten

Denne rapport sammenfatter hovedtemaerne og resultaterne fra Teknologirådets projekt om IT infra-strukturens sårbarhed. Emnet er blevet behandlet af en arbejdsgruppe nedsat af Teknologirådet, og ar-bejdsgruppen har endvidere assisteret Teknologirådet i planlægningen af en workshop om IT infrastrukturens sårbarhed. Formålet med workshoppen var at få repræsentanter fra private og offentli-ge institutioner og virksomheder med kendskab til IT infrastrukturen til at indgå i en erfaringsudveks-ling. Rapporten indeholder en beskrivelse af metode og projektforløb. Konklusioner og anbefalinger fra hen-holdsvis workshoppen og projektets arbejdsgruppe er beskrevet. Derudover indeholder rapporten en skitsering af hollandske erfaringer med at kortlægge den samfundsmæssige infrastrukturs sårbarheder og trusler mod denne. Som optakt til projektets workshop blev der udarbejdet et baggrundsnotat som inspiration til deltagerne. Dette materiale bygger på en række interviews med IT sikkerhedsansvarlige fra det offentlige og private område. Desuden har projektets arbejdsgruppe bidraget til materialets udformning. Baggrundsnotatet er en del af denne rapport. Formålet med rapporten er at formidle projektets resultater om den komplekse problemstilling om IT infrastrukturen, samfundsmæssige sårbarheder og behovet for øget IT sikkerhed. Rapporten henvender sig til politikere og institutioner, som er en del af den kritiske IT infrastruktur, herunder offentlige og private virksomheder. Det er håbet, at rapporten kan bidrage til at belyse et område, hvor der er stor usikkerhed omkring den reelle sårbarhed og lægge op til den vigtige brede samfundsmæssige debat om emnet.

1.2. Projektets baggrund og problemstilling

IT spiller en stadig større rolle overalt i samfundet. Dermed bliver IT også et vigtigt element i forhold til samfundets kritiske infrastruktur – det vil sige de områder, som er afgørende for, at nationen kan fungere på alle niveauer. Samfundets kritiske infrastruktur omfatter mange forskellige områder fra energi- og vandforsyning og kommunikation til sygehusvæsen, finanssektoren og centraladministrationen. IT in-frastrukturen indgår i samfundets kritiske infrastruktur. Den udgør en voksende del af teleområdet, net-værk (fra det åbne Internet til mere lukkede netværk) og tilhørende IT systemer. IT infrastrukturen går på tværs af de traditionelle sektorer. Internettet og andre IT baserede redskaber har mange anvendelsesmuligheder, rationaliserings- og effek-tiviseringspotentialer og har store fordele, men disse teknologiers udbredelse gør også samfundet mere sårbart og stiller nye sikkerhedskrav til planlægning, opbygning og administration af IT infrastrukturen. Samtidig er vi koblet sammen – interconnected – globalt i langt højere grad end nogensinde før. Dette har uvurderlige fordele, men det gør os også mere sårbare. Der er i dag mere end 600 millioner Internet bru-gere, som har direkte adgang til Danmark via Internettet. Det danske samfund mangler overblik over den samfundsmæssige sårbarhed for at kunne stille krav til den sikkerhed, som kan mindske sårbarheden. Det manglende overblik indebærer en for ringe erkendelse

3

af problemstillingens kompleksitet, den voksende indbyrdes afhængighed mellem virksomheder og in-stitutioner og trusselsbillederne. I de seneste 4-5 år er der registeret fortsat vækst i antallet af anmeldelser af hacking. Risikoen stiger, og nye trusler opstår i takt med realiseringen af visionen om Det Digitale Danmark, hvor information og viden kan flyde frit. Den offentlige sektor vil servicere borgerne elektronisk, Internet banker vinder frem, kommunikationssøgning, nyhedsformidling og kontakt mellem mennesker sker i stigende grad via In-ternettet, men samtidig kan man bekymres ved mulighederne for øget uautoriseret indtrængen af vira, orme eller hackere til personfølsomme og andre kritiske data. Projektet har på et overordnet plan forsøgt at vurdere den danske IT infrastrukturs sårbarhed nu og i nær fremtid for på den baggrund at komme med nogle anbefalinger i forhold til, hvilken indsats, der er nød-vendig for at sikre den danske IT infrastruktur. Dette er i sig selv en umulig opgave. Dels findes der ingen samlet opfattelse af, hvor meget den danske IT infrastruktur omfatter, og dels er området dynamisk, komplekst og interconnected. Dertil kommer at en sårbarhedsanalyse inden for IT i forvejen er vanskelig. Alligevel har arbejdsgruppen på baggrund af projektets workshop og det øvrige projektforløb ønsket at give en række anbefalinger i forhold til et videre arbejde med denne afdækning.

1.3. Resume

I dag findes der intet samlet overblik over Danmarks IT relaterede sårbarhed. Medierne fokuserer hyppigt på hackere og virusangreb. Stort set alle har hørt om de såkaldte ”orme” – senest bl.a. ”Slammer” og ”Blaster”, men truslen mod IT infrastrukturen er ikke begrænset til disse me-diehistorier. Der er en lang række mere eller mindre kendte trusler : Hvordan forholder det sig med cyber-terrorister - findes de? Kan telefontrafikken lammes? Kan den offentlige sektor eller finanssektoren blive lammet af et angreb via Internettet? Inden for det seneste år har IT nedbrud i blandt andet den finansielle sektor herhjemme aktualiseret en problemstilling, der både koster samfundet dyrt og på anden vis skabe problemer for borgerne – for ek-sempel hvis nedbrud sker i hospitalsvæsenet. På Teknologirådets workshop om IT infrastrukturens sårbarhed berettede Eric Luiijf fra det hollandske TNO, som blandt andet arbejder med anvendelse af forskning, om initiativer på området. Første trin i det hollandske projekt var at identificere vitale samfundsområder og afdække deres kritiske processer og afhængigheder – for eksempel at nedbrud af strømforsyningen vil have konsekvenser på en lang række andre samfundsområder. Hollænderne har fundet i alt 11 kritiske sektorer, herunder energi, drikkevand, den finansielle sektor, sygehusvæsenet og transport. Hvert område er derudover opdelt i underområder – for eksempel er ”transport” opdelt i transport på henholdsvis vej, jernbane, luft og vand samt transport i rørlinier. Også Internettet defineres som en vital og kritisk infrastruktur – og afhængighederne på IT området vurderes at være særdeles komplekse og involvere mange aktører. Andet og tredje trin i det hollandske projekt, som endnu ikke er afsluttet, går ud på at stimulere til et samarbejde mellem den offentlige sektor og private virksomheder om at forbedre infrastrukturens sik-kerhed. I trin tre gennemføres en trussels- og sårbarhedsanalyse, som skal afdække manglende sikker-hedsforanstaltninger. I en foreløbig konklusion hedder det blandt andet, at truslerne mod infrastrukturen hele tiden ændrer sig. Et samfund skal kunne reagere hurtigt på nye trusler, der skal fo-rebygges via et tæt samarbejde mellem offentlige og private aktører, vurderer TNO i Holland.

4

På Teknologirådets workshop i oktober 2003 på Svanemøllen kaserne diskuterede IT sikkerhedsansvarli-ge fra en række offentlige og private institutioner og virksomheder forskellige aspekter af problemstillin-gen om IT infrastrukturens sårbarhed . Afslutningsvis fremkom deltagerne med individuelle forslag til initiativer, som de mente ville kunne mindske sårbarhederne. Nogle deltagere foreslog, at enhver virk-somhed bør indføre løbende overvågning med og egenkontrol af sårbarheder og sikkerhedsniveau. Andre fokuserede på, at der bør indføres nødprocedurer og et lokalt beredskab i tilfælde af strømsvigt. For at sikre, at alle virus- og hackerangreb bliver indberettet, skal man kunne gøre dette anonymt, lød et tredje forslag på workshoppen. Flere af deltagerne mente, at samfundet overordnet set bør vedtage fælles IT standarder, fælles IT terminologi og en fælles praksis for IT sikkerhedsregnskaber. Andre fremførte, at der bør vedtages en lovgivning, som fastsætter minimumskrav til IT sikkerhed i offentlige og private virk-somheder. Overordnet set demonstrerede workshoppen en fælles erkendelse af, at kompleksiteten i IT infrastruktu-ren hele tiden bliver øget. Det giver problemer med teknisk gennemskuelighed og placering af ansvar i virksomhederne. Den indbyrdes afhængighed på tværs af offentlige og private sektorer vokser – og der-med øges sårbarheden over for uønskede hændelser. IT-kontrolmulighederne svækkes af outsourcing, globalisering og hurtig udvikling af digital forvaltning. Der var stor enighed om, at der er behov for flere lignende møder på tværs af sektorer for at afdække den indbyrdes afhængighed og sårbarhederne. Deltagerne udtrykte ønske om at kunne indgå i et sådant kon-kret arbejde for at finde løsninger til fælles bedste. Det er vigtigt ikke kun at fokusere på centralt dirige-rede løsningsforslag på IT-infrastrukturens sårbarhed, lød det på workshoppen. Workshoppen demonstrerede, at der er behov for at involvere interessenterne aktivt i en proces, der kan afdække sårbarheder i forhold til den samfundsmæssig kritiske IT infrastruktur, identificere indbyrdes afhængigheder mellem institutioner og virksomheder og finde løsningsforslag. Workshoppens form – et såkaldt caféseminar – viste i miniformat en proces til at håndtere dette behov, som deltagerne vurderede meget positivt. Der blev på workshoppen skabt et rum for en åben erfaringsudveksling om ømtålelige problemstillinger og vist en stor vilje til dialog og lyst til at arbejde med løsningsmodeller. Arbejdsgruppen for projektet om IT infrastrukturens sårbarhed mener på baggrund af deres deltagelse i Teknologirådets projekt, at der er behov for en grundig og bredt favnende undersøgelse, som involverer både politiet, forsvaret og civile – offentlige og private institutioner og virksomheder. Arbejdsgruppen lægger vægt på, at også selve gennemførelsen af en sådan undersøgelse er vigtig: Under-søgelsen vil betyde, at der bliver skabt opmærksomhed om problemstillingerne i alle dele af samfundet – og dét er der et akut behov for. Opgaven er stor på grund af IT infrastrukturens kompleksitet. Det er en vanskelig opgave at løse fra centralt hold, da den kritiske IT infrastruktur inkluderer en lang række private virksomheder, såvel som offentlige institutioner. En definition og afdækning af den kriti-ske IT infrastruktur og den indbyrdes afhængighed mellem sektorer, institutioner og virksomheder kræ-ver derfor, at de relevante aktører inddrages i processen. I arbejdet med at definere og afdække den kritiske IT infrastruktur er udviklingen af en fælles terminolo-gi og en fælles referenceramme vigtig. Manglen på fælles terminologi og referenceramme har hidtil væ-ret en af forhindringerne for en dybdegående analyse af området, så et sted at starte vil være med udviklingen af et sådant ”fælles sprog”. Indenfor den offentlige sektor er det vigtigt at være opmærksom på, at sårbarheden øges i takt med, at det offentlige åbner sig mere og mere mod borgerne. Det er en glidende udvikling, og politikerne er tilsynela-dende ikke opmærksomme på de risici, udviklingen medfører.

5

I forhold til IT sikkerhed generelt kan arbejdsgruppen konkludere, at den ”menneskelige faktor” er væ-sentlig i forhold til IT sårbarhed og – sikkerhed, samt at sikkerheden i det svageste led udgør sikkerheden på et givet område. Derfor skal vi arbejde for en øget awareness om IT sårbarhed både på brugerniveau og på ledelsesniveau. Et af de største problemer for sikkerheden er den manglende forståelse for, hvor vigtigt denne sikkerhed er. Sikkerhed opfattes ofte som en (økonomisk) byrde, men er der først opmærksomhed på problemet, vil der også blive gjort noget ved det. Danmark skal desuden have et større uddannelsesmæssigt fokus på IT sårbarhed og – sikkerhed. Det kan endvidere konkluderes, at IT sikkerheds deklarationer på flere niveauer bør etableres, og at der bør være differentierede krav til de forskellige sektorer alt efter deres placering i den samfundsmæssig kritiske infrastruktur, således at de sikkerhedsmæssige krav til de mest kritiske sektorer er størst. En måde at indføre sikkerhedsmæssige krav, er at indføre standarder. Her skal man dog være opmærksom på, at standarder alene ikke kan løse problemerne. Standarder kan være svære at forstå, og der er behov for at udarbejde vejledninger i forbindelse med standarder, så disse bliver lettere at implementere: Dette gælder især de mange virksomheder og institutioner, som ikke har egne store IT afdelinger. Teknologirådets arbejdsgruppe har på baggrund af egne diskussioner på en række arbejdsmøder i perio-den maj 2003 til januar 2004, samt via resultaterne fra den afholdte workshop i oktober 2003 formuleret en række anbefalinger for den fremtidige danske indsats i forhold til IT infrastrukturens sårbarhed:

• Der bør iværksættes en tværfaglig og bredt favnende undersøgelse af IT infrastrukturens sårbar-hed i Danmark. Undersøgelsen skal dels skærpe danskernes opmærksomhed i forhold til, hvor usikre IT forholdene faktisk er i dag, dels resultere i løsningsmodeller, der begrænser Danmarks IT relaterede sårbarhed mest muligt. Undersøgelsen forudsætter viden indsamling, et indgående analysearbejde og en prioriteret forskningsindsats inden for de forskellige sektorer

• I arbejdet med at afdække IT infrastrukturens sårbarhed bør Danmark være opmærksom på

udenlandske erfaringer. Holland er et af de lande, som har været en lignende proces igennem, hvorfor det vil være fornuftigt blandt andet at trække på erfaringerne herfra

• Som resultat af den danske undersøgelse bør der iværksættes initiativer, som skaber opmærk-

somhed og viden i samfundet om IT sårbarhed og IT sikkerhed. Arbejdsgruppen lægger her særlig vægt på, at der bliver skabt opmærksomhed om den menneskelige faktors afgørende betydning i den forbindelse

• Arbejdsgruppen finder det vigtigt, at der bliver skabt en fundamental viden i samfundet om IT

sikkerhed og IT sårbarhed. Dette bør blandt andet ske ved at sikre, at der bliver sat større fokus på disse emner i regi af såvel grunduddannelserne som de videregående uddannelser

• Med henblik på fremover at opnå en situation med størst mulig IT sikkerhed overalt i samfundet,

anbefales det, at der i forlængelse af undersøgelsen opstilles forskellige IT sikkerhedsmæssige krav til forskellige sektorer alt efter hvor betydningsfulde for samfundet de er.

6

2. Arbejdsgruppens opgaver og projektforløbet

Projektforløbet blev indledt med nedsættelse af en arbejdsgruppe med 5 eksterne eksperter, som diskute-rede og afgrænsede problemstillingen og de områder, som er væsentlige at omfatte i forhold til en kritisk IT infrastruktur, hvor sårbarheden og konsekvenserne ved sammenbrud er store for samfundet. Arbejdsgruppen bestod af:

• Freddie Drewsen, Forsvarets Forskningstjeneste • Knud Mose, TDC • Peter Christensen, Catpipe Systems • Preben Andersen, Cert UNI-C • Sten Christophersen, Hovedstadens Sygehusfællesskab

Arbejdsgruppen har bistået Teknologirådet gennem projektforløbet med faglig viden og strukturering af projektet, planlægning af projektets workshop samt udarbejdelse af rapporten, som afrunder projektar-bejdet. Arbejdsgruppens opgaver i første fase var at vurdere IT infrastrukturens sårbarhed - problemets karakter og omfang. Dernæst assisterede arbejdsgruppen Teknologirådet i planlægningen af en workshop, lige-som de deltog i udarbejdelsen af det baggrundsnotat, som var oplæg til deltagerne i workshoppen. Arbejdsgruppens har som afsluttende opgave formuleret projektets konklusioner og anbefalinger i for-hold til IT infrastrukturens sårbarhed. Disse er inspireret af workshoppen, men er ikke bundet af resulta-terne fra denne. Arbejdsgruppens konklusioner og anbefalinger er udarbejdet på baggrund af det samlede projektforløb og arbejdsgruppens viden om området. Projektarbejdet har forløbet i perioden maj 2003 til marts 2004. Der har været afholdt 9 møder i hen-holdsvis Teknologirådet og i Forsvarets Forskningstjeneste.

7

3. Workshoppen

Projektet har fra starten inkluderet afholdelse af et debatarrangement om IT infrastrukturens sårbarhed. På baggrund af en vurdering af emnets karakter, besluttede Teknologirådets arbejdsgruppe, at emnet skulle behandles på en workshop i form af afholdelse af et cafeseminar. Det blev vurderet, at det væsent-lige ikke var, hvilke virksomheder og institutioner workshoppens deltagere repræsenterede. Derimod var deltagernes erfaringer, viden og aktive deltagelse i arbejdet med at beskrive problemstillingen og give bud på indsatsen i forhold til at mindske IT infrastrukturens sårbarhed et væsentligt element i work-shoppen. Cafeseminar-metoden gav deltagerne mulighed for at diskutere problemstillingen i et mere uformelt forum med fokus på erfaringsudveksling og forslag til indsatsmodeller. Cafeseminaret blev afholdt i samarbejde med Forsvarets Forskningstjeneste d. 7. oktober 2003 på Svanemøllen kaserne.

3.1. Metode og forløb

Cafeseminar-metodens formål var at skabe dialog mellem repræsentanter fra de centrale institutioner indenfor de udvalgte områder omkring IT infrastrukturens sårbarhed, så alle deltagere gennem erfa-ringsudveksling kunne blive klogere, både på egne sårbarheder, andres sårbarheder og på den indbyrdes afhængighed. Deltagerne var personer, som er i konkret berøring med og har ansvar for IT sikkerhed, og som derfor kunne pege på de konkrete funktioner, truslerne mod funktionerne og beskyttelsen af vigtige funktioner. Deltagerne repræsenterede væsentlige dele af den samfundsmæssige kritiske infrastruktur: Sundheds-, finans-, telekommunikations-, transport-, energiforsynings- og mediesektoren samt forsvaret, politiet og den offentlige administration. Deltagerne arbejdede i grupper på 5-6 personer ved mindre borde i samme lokale, og diskussionen blev styret via processpørgsmål stillet af en cafevært. Undervejs vekslede deltagerne mellem bordene, så man kunne drage nytte af de andre gruppers erfaringer. Cafeseminaret startede med et inspirerende oplæg fra hollandske Eric Luiijf fra TNO om, hvordan de har forsøgt at kortlægge den nationale sårbarhed på IT området i Holland. Han indledte med at spørge: Kender du din nabo? Altså ved virksomhederne og institutionerne nok om deres kunder, klienter og modtagere af ydelser - i forhold til IT sikkerhedsafhængigheden imellem dem. Eric Luiijf vurderede, at der en meget større indbyrdes afhængighed af hinandens IT systemer, end vi er vidende om. Og at det øger IT sårbarheden! Man bør afdække disse ”afhængighedsnetværk” og forstå dem for at kunne arbejde fornuftigt med IT sikkerhedstiltag. Stadig flere offentlige institutioner privatiseres, og det mindsker det offentliges mulighed for at have viden om og kunne regulere i forhold til fejl, mangler, uheld og egentlige angreb på vitale områder af den samfundsmæssige infrastruktur. Derfor er der brug for mere samarbejde mellem det offentlige og private i forhold til fælles ansvar for IT sårbarhed, trusler og sikkerhed, sluttede Eric Luiijf sit indlæg.

3.2. Forslag fra workshoppen

På Teknologirådets workshop om IT infrastrukturens sårbarhed diskuterede deltagerne forskellige aspek-ter af emnet. Afslutningsvis fremkom deltagerne med individuelle forslag til initiativer, som de mente ville kunne mindske sårbarhederne. Nogle deltagere foreslog, at enhver virksomhed bør indføre løbende

8

overvågning med og egenkontrol af sårbarheder og sikkerhedsniveau. Virksomheder bør også indføre nød procedurer og et lokalt beredskab i tilfælde af strømsvigt. For at sikre, at alle virus- og hackerangreb bliver indberettet, skal man kunne gøre dette anonymt, lød et tredje forslag på workshoppen. Flere af deltagerne mente, at samfundet overordnet set bør vedtage fælles IT standarder, fælles IT terminologi og en fælles praksis for IT sikkerhedsregnskaber. Andre fremførte, at der bør vedtages en lovgivning, som fastsætter minimumskrav til IT sikkerhed i offentlige og private virksomheder. Overordnet set demonstrerede workshoppen en fælles erkendelse af, at kompleksiteten i IT infrastruktu-ren hele tiden bliver øget. Det giver problemer med teknisk gennemskuelighed og placering af ansvar i virksomhederne. Den indbyrdes afhængighed på tværs af offentlige og private sektorer vokser – og der-med øges sårbarheden over for hændelser. IT kontrolmulighederne svækkes af outsourcing, globalisering og hurtig udvikling af digital forvaltning. Der er behov for flere møder på tværs af sektorer for at afdække indbyrdes afhængighed og sårbarheder – og for at arbejde for løsninger til fælles bedste. Det er vigtigt ikke kun at fokusere på centralt dirigerede løsningsforslag på IT infrastrukturens sårbarhed, lød det på workshoppen. Workshoppen blev en mini-demonstration af, hvilken proces der kunne bidrage til at opfylde dette behov for en tættere dialog mel-lem de mange forskellige private og offentlige aktører, som må inddrages i arbejdet med at afdække IT infrastrukturens sårbarheder, identificere indbyrdes afhængigheder og tage del i løsningsforslagene.

9

4. Oplæg til deltagerne på workshoppen

Som oplæg til deltagerne i projektets workshop på Svanemøllens kaserne i oktober 2003 blev der produ-ceret et baggrundsnotat. Projektets arbejdsgruppe planlagde notatet, og journalist Jakob Vedelsby udfær-digede dette på baggrund af en række interviews af IT sikkerhedsansvarlige i offentlige og private institutioner og virksomheder. Målet var at skabe en fælles begrebsramme hos deltagerne inden selve workshoppen og videregive nogle aktuelle vurderinger af IT infrastrukturens sårbarhed i Danmark. Det fulde notat er gengivet som afsluttende del af denne rapport, men i det følgende er der en kort gengi-velse af en række vurderinger fra disse personer af IT sikkerhedsområdet. De peger på en række aktuelle problemer og behov i forhold til IT infrastrukturens sårbarhed:

• i betragtning af, hvor mange samfundsaktører, der er afhængige af en sikker og stabil IT infra-struktur kan det bekymre, at der endnu ikke er iværksat en koordineret indsats for at styrke den Internet relaterede IT sikkerhed på landsplan

• opgaven bør være en ”totalforsvarsopgave” på linie med beskyttelse af for eksempel el- og var-

meforsyningen

• der er behov for, at samfundet formulerer regler for driften af og adgangen til samfundskritiske IT systemer. Ensartede regler og sikkerhedsniveauerne vil reducere sårbarheden markant

• der bør etableres en koordinerende instans, som overvåger IT infrastrukturen og et IT sikker-

hedsberedskab på alle vitale samfundsområder

• der er behov for en formuleret officiel dansk strategi for IT sikkerhed, som opstiller en række mindstekrav, som skal være opfyldt i offentlige virksomheder

• digitaliseringen af den offentlige sektor stiller store krav til IT infrastrukturen i Danmark. Jo stør-

re samfundsbetydning og -integration Internettet får, jo større bliver behovet for en koordineret indsats, som kan optimere sikkerheden

• der skal gennemføres en risiko-konsekvens analyse i forhold til IT sikkerheden i Danmark. Kun

på den baggrund kan man sikre, at samfundet og virksomhederne ikke spilder ressourcer på de forkerte områder i relation til IT

• manglende ledelsesmæssigt fokus på problemstillingen og vanskeligheder ved ansvarsplacering

• tiden er inde til at udvikle konkrete sikkerhedsstandarder, som alle IT leverandører skal basere

deres systemer på. Det skal sikre, at alle systemer spiller i samme toneart rent sikkerhedsmæs-sigt

10

5. Arbejdsgruppens konklusioner og anbefalinger

Arbejdsgruppen bag projektet har på baggrund af projektarbejdet og resultaterne fra projektets work-shop draget nogle konklusioner, som fører til en række anbefalinger.

5.1. Konklusioner

På baggrund af det samlede projektarbejde med problemstillingen omkring IT infrastrukturens sårbar-hed kan arbejdsgruppen konkludere, at den kritiske IT infrastruktur mangler at blive defineret, men at det er en stor opgave på grund af IT infrastrukturens kompleksitet. Det er en vanskelig opgave at løse fra centralt hold, da den kritiske infrastruktur på IT området inkluderer en lang række private virksomheder, såvel som offentlige institutioner. En definition og afdækning af den kritiske IT infrastruktur og den ind-byrdes afhængighed mellem sektorer, institutioner og virksomheder kræver derfor, at alle relevante ak-tører inddrages i processen. Der bør iværksættes flere analyser og mere forskning i forhold til at afdække de samfundsmæssige pro-blemer med IT infrastrukturens sårbarhed, og vi bør være opmærksomme på de udenlandske erfaringer på området. Projektarbejdet har vist at de hollandske erfaringer med at afdække IT infrastrukturens sår-barhed kan give nogle nyttige bidrag. I stedet for at starte fra bunden vil det være en god ide at undersøge og bygge på de eksisterende erfaringer fra Holland, hvor man allerede har brugt mange ressourcer på den vanskelige opgave. Men en række lande har også erfaringer med dette arbejde. Arbejdsgruppen konkluderer desuden, at en vigtig del af arbejdet med at definere og afdække den kriti-ske IT infrastruktur er udviklingen af en fælles terminologi og en fælles referenceramme. Manglen på fælles terminologi og referenceramme har hidtil været en af forhindringerne for en dybdegående analyse af området, så et sted at starte vil være med udviklingen af et sådant ”fælles sprog”. Indenfor den offentlige sektor er det vigtigt at være opmærksom på, at sårbarheden øges i takt med, at det offentlige åbner sig mere og mere mod borgerne. Det er en glidende udvikling, og politikerne er tilsy-neladende ikke nok opmærksomme på de risici, udviklingen medfører. I forhold til IT sikkerhed generelt kan arbejdsgruppen konkludere, at den ”menneskelige faktor” er væ-sentlig i forhold til IT sårbarhed og – sikkerhed, samt at sikkerheden i det svageste led udgør sikkerheden i et område. Derfor skal vi arbejde for en øget awareness om IT sårbarhed både på brugerniveau og på ledelsesniveau. Et af de største problemer for sikkerheden er den manglende forståelse af, hvor vigtigt det er. Sikkerhed opfattes ofte som en byrde – blandt i økonomisk henseende. Danmark skal vi desuden have et større uddannelsesmæssigt fokus på IT sårbarhed og – sikkerhed, fx kunne IT sikkerhed inddrages i lederuddannelser. Det kan endvidere konkluderes, at IT sikkerheds deklarationer på flere niveauer bør etableres, og at der bør være differentierede krav til de forskellige sektorer alt efter deres placering i den samfundsmæssig kritiske infrastruktur, således at de sikkerhedsmæssige krav til de mest kritiske sektorer er størst. En måde at indføre sikkerhedsmæssige krav på, er at indføre standarder. Her skal man dog være opmærk-som på, at standarder alene ikke kan løse problemerne. Standarder kan være svære at forstå, og man bør udarbejde vejledninger i forbindelse med standarder, så disse blev lettere at implementere især i mindre institutioner og virksomheder uden store IT afdelinger.

11

5.2. Anbefalinger

Teknologirådets arbejdsgruppe kan på baggrund af egne diskussioner , arbejdet med oplæg til workshop (”Notat om IT infrastrukturens sårbarhed”) og resultaterne fra workshoppen, præsentere følgende fem anbefalinger:

• Arbejdsgruppen anbefaler, at der iværksættes en bredt favnende undersøgelse af IT infrastruktu-rens sårbarhed i Danmark. Undersøgelsen skal dels skærpe danskernes opmærksomhed i forhold til, hvor usikre IT forholdene faktisk er i dag, dels resultere i løsningsmodeller, der begrænser Dan-marks IT relaterede sårbarhed mest muligt. Undersøgelsen forudsætter viden indsamling, et ind-gående analysearbejde og en prioriteret forskningsindsats inden for de forskellige sektorer.

• I arbejdet med at afdække IT infrastrukturens sårbarhed bør Danmark være opmærksom på uden-

landske erfaringer. Holland er et af de lande, som har været en lignende proces igennem, hvorfor det vil være fornuftigt blandt andet at trække på erfaringerne herfra.

• Som resultat af den danske undersøgelse bør der iværksættes initiativer, som skaber opmærksom-

hed og viden i samfundet om IT sårbarhed og IT sikkerhed. Arbejdsgruppen lægger her særlig vægt på, at der bliver skabt opmærksomhed om den menneskelige faktors afgørende betydning i den forbindelse.

• Arbejdsgruppen finder det endvidere vigtigt, at der bliver skabt en fundamental viden i samfundet

om IT sikkerhed og IT sårbarhed. Dette bør blandt andet ske ved at sikre, at der bliver sat større fo-kus på disse emner i regi af såvel grunduddannelserne som de videregående uddannelser.

• Med henblik på fremover at opnå en situation med størst mulig IT sikkerhed overalt i samfundet,

anbefaler arbejdsgruppen endelig, at der i forlængelse af undersøgelsen opstilles forskellige IT sik-kerhedsmæssige krav til forskellige sektorer alt efter hvor samfundskritiske de er.

12

6. Erfaringer fra Holland

I en række lande – bl.a. USA, Australien, Canada, Tyskland, Norge, Sverige, Schweiz og Holland - har man i de seneste år igangsat initiativer med henblik på at kortlægge sårbarheden overfor trusler mod den sam-fundsmæssige infrastruktur – herunder IT infrastrukturen. Informationsteknologien er ofte en forudsætning for styringen af processerne omkring logistik, produk-tion mv. Manglende tilgængelighed til systemer og data – og manglende kvalitet i disse – vil kunne med-føre afbrydelse af energiforsyningen, vareproduktionen, offentlige tjenester, distribution, nyhedsformidling m.m. Men hvordan afdækkes og iværksættes beskyttelse af denne komplekse sam-menhæng? Hvordan håndteres afhængigheden mellem de institutioner og virksomheder, som udgør et samfunds vitale og dermed sårbare funktioner? Opgaven med at kortlægge den kritiske infrastruktur og vurdere sårbarheden gribes an på forskellig vis i forskellige lande. Teknologirådets workshop om IT infrastrukturens sårbarhed, som blev afholdt i oktober 2003 på Sva-nemøllen kaserne, fortalte Eric Luiijf fra TNO, Physics and Electronics Laboratory, (www.tno.nl) - en or-ganisation der arbejder med anvendelse af forskning - om erfaringer fra Holland. Den hollandske regering gennemførte i årene 2000-2002 et projekt, som undersøgte konsekvenserne af samfundets voksende afhængighed af IT. Som en følge af denne diskussion igangsatte det hollandske Ministry of Transport, Public Works and Water Management en udredning, som undersøgte sårbarheden i det hollandske Internet. I 2001 besluttede den hollandske regering på baggrund af projektets anbefalin-ger bl.a. at etablere

• et Computer Emergency Response Team for den hollandske statsadministration • en informations og virus-alarm service primært rettet mod de små og mellemstore virksomheder

samt offentligheden • et sæt evalueringsparametre for de hollandske ISPére– herunder evalueringskriterier for sikker-

heden Indsatsen for at højne sikkerheden omkring Internettet er dog kun en lille del af de tiltag, som er nødven-dige for at sikre den samlede infrastruktur. TNO blev i 2001 bedt om at iværksætte et projekt, som på baggrund af en grundig analyse skal udvikle mål for, hvordan den hollandske offentlige og private kritiske infrastruktur – herunder IT infrastrukturen - kan beskyttes. Første fase i projektplanen var en analyse, som omfattede

• identifikation af de kritiske sektorer, produkter og tjenesteydelser • identifikation af de underliggende kritiske processer • identifikation af de gensidige afhængigheder mellem disse • kendetegn ved fejl- og genetableringsforløb • kvalitetsstyringssystemer, lovgivning og regulering

13

I 2002 blev de indledende resultater i form af en første udpegning af, hvad kritisk infrastruktur er, frem-lagt på en konference med deltagelse af nøglerepræsentanter fra både den offentlige og den private sek-tor. Bearbejdning af det indsamlede materiale viste store afvigelser mellem, hvordan institutioner og virksomheder opfattede andres afhængighed i forhold til, hvordan disse selv vurderede afhængigheden! Det blev også erkendt, at den private og offentlige sektor er så integreret, at det ikke er muligt at sikre hverken den generelle eller IT infrastrukturen uden et samarbejde mellem de offentlige og private virk-somheder. For at arbejde videre ud fra denne erkendelse, øge opmærksomheden og sikre større accept af resultaterne – blev repræsentanter for industrien/virksomhederne konkret inddraget i arbejdet. Efter en indledende konference afholdt TNO herefter hele 17 workshops om emnet med deltagere fra både offentlige og private organisationer og virksomheder. Over 130 organisationer, virksomheder, mini-sterier og styrelser mv. deltog i disse workshops. Dette resulterede i en identificering af det hollandske samfunds kritiske infrastruktur opdelt i 11 vitale sektorer med 31 produkter og tjenesteydelser.

6.1. Figur 1

14

Parallelt med afholdelse af disse mange workshops arbejdede en række eksperter med at vurdere forskel-lige potentielle skadevirkninger, som i tilfælde af kritiske hændelser kan blive konsekvensen af mang-lende tilgængelighed til vitale produkter og ydelser for

• mennesker • dyr • økonomi • miljø

I arbejdet med at identificere den kritiske infrastruktur tog man i Holland udgangspunkt i År2000 listen over kritiske sektorer. Denne beskriver over 40 potentielt vitale produkter og tjenesteydelser – og den blev senere udvidet med 10 andre. For hvert af disse områder blev der foretaget en

1. kort beskrivelse af produktet/ydelsen 2. beskrivelse af evt. lovkrav, som aktuelt regulerer produktet/ydelsen 3. opdeling i en række underliggende processer 4. angivelse af graden af afhængighed af ethvert andet produkt og enhver anden ydelse 5. karakteristik af fejl og udbedringsforløb 6. vurdering af væsentlighed/konsekvens 7. vurdering af andre produkters og ydelsers afhængighed

Anden fase skal opfordre til og støtte en proces med partnerskab/samarbejde mellem den offentlige sek-tor og private aktører/interessenter omkring sikring af infrastrukturen. Denne fase planlægges i erken-delse af, at TNO har erfaret, at alle kunder, leverandører, offentlige og private virksomheder er dybt afhængige af hinanden og derfor er nødt til at samarbejde, hvis der skal etableres et velfungerende be-redskab overfor trusler mod den samfundsmæssige infrastruktur. Tredje fase vil være en trussels- og sårbarhedsanalyse og en analyse, som skal afdække manglende sik-kerhedsforanstaltninger. TNO afleverede i foråret 2003 en rapport til regeringen om de resultater, projektet på det tidspunkt kunne afrapportere. TNO kan på den baggrund opstille en række erfaringer fra arbejdet med at analysere og identificere vitale samfundsfunktioner og infrastrukturens sårbarhed – herunder IT infrastrukturens sårbarhed: Generelt er der ingen international definition på, hvad kritisk infrastruktur er. Hvornår er et produkt eller en tjenesteydelse kritisk og vital, og hvornår er den blot vigtig? TNO vurderer, at det i sidste instans er politikerne, der må tage de endelige vurderinger af dette. Men videnskabsfolk og andre skal sikre en solid baggrund for, at der kan tages politiske beslutninger om den kritiske samfundsmæssige infrastruktur. Mere konkret kan følgende erfaringer fremhæves

• det er nemt at identificere egne kritiske aktiver • det er muligt at identificere egne kritiske processer • det er sværere at identificere afhængighederne af andre • kendskab til kundernes/ samarbejdspartnernes kritiske processer er reelt ikke til stede • der er begrænset engagement/involvering fra industrien/virksomhedernes side

15

• analysen af afhængighederne på IT området er særdeles kompleks og involverer mange aktører • opgaven kan ikke løses uden samarbejde mellem de offentlige og de private aktører • truslerne mod infrastrukturen er dynamisk, udviklingen går hurtigt, og samfundene er nødt til

at kunne reagere hurtigt på nye trusler Det følgende diagram illustrerer tydeligt kompleksiteten i arbejdet med at definere afhængighederne .

6.2 Figur 2

16

7. Baggrundsnotat om IT infrastrukturens sårbarhed

Det følgende baggrundsnotat blev brugt som oplæg til den workshop Teknologirådet holdt i samarbejde med Forsvarets Forskningstjeneste på Svanemøllen Kaserne i oktober 2003. Notatet bygger på interviews og research foretaget af journalist Jakob Vedelsby, samt på arbejdsgruppens viden og erfaringer.

7.1.Indledning

IT infrastrukturen udgør en større og større del af samfundets kritiske infrastruktur. Det gælder i Dan-mark såvel som i den øvrige verden. Den kritiske infrastruktur er her defineret som den bærende struk-tur, der er afgørende for, at en nation kan fungere effektivt på alle niveauer. Infrastrukturen omfatter vidt forskellige sektorer, som fx energi og anden forsyning, telekommunikation, sundhedssektoren, fi-nanssektoren, transportområdet og udrykning/beredskab. IT infrastrukturen er en selvstændig sektor med telekommunikation som et element. Men telekommuni-kation støtter en række andre sektorer. Og vi er alle afhængige af de grundlæggende IT protokoller, der sørger for at bringe information gennem teleselskabernes kommunikationslinier. Det gælder både tradi-tionelle telefonsamtaler og datakommunikation som fx Internet trafik. Samtidig er vi koblet sammen – interconnected – globalt i langt højere grad end nogensinde før. Dette har uvurderlige fordele, men det gør os også mere sårbare. Der er i dag mere end 600 millioner Internet brugere, som har direkte adgang til Danmark via Internettet. Medierne fokuserer hyppigt på hackere og virusangreb. Stort set alle har hørt om de såkaldte ”orme” – senest bl.a. ”Slammer” og ”Blaster”. Men truslen mod IT infrastrukturen er ikke begrænset til disse top historier. Hvordan forholder det sig med cyberterrorister - findes de? Kan telefontrafikken lammes? Kan fx den offentlige sektor eller finanssektoren blive lammet af et angreb via Internettet? IT indgår i ethvert moderne samfund. E-dagen den 1. september 2003, som var skæringsdatoen for, hvor-når offentlige myndigheder skulle kunne kommunikere via e-mail, er blot et af eksemplerne på udviklin-gen af det digitale samfund. Derfor er det spørgsmålet, om vi kan mindske eller måske blot forudsige sårbarheder i IT infrastrukturen. Både som situationen er i dagens Danmark, men også i forhold til mor-gendagens IT infrastruktur, når nye teknologier og nye anvendelser sniger sig ind på områder, vi ikke har gennemtænkt – fx trådløs teknologi, kontrol og styring via Internettet, telefoni over IP (Internet Protokol) m.v. IT infrastrukturen er en lille, om end voksende del af samfundets kritiske infrastruktur. Der er mange, der beskæftiger sig med sårbarheden i hele den kritiske infrastruktur – det der i USA går under navnet Home-land Security og i Danmark ”Totalforsvaret”. Dette notat er afgrænset til IT infrastrukturen. Notatet er udarbejdet af journalist Jakob Vedelsby i samarbejde med Teknologirådets arbejdsgruppe på området. Det er bl.a. baseret på en række interview, hvor enkeltpersoner fra udvalgte sektorer giver deres syn på IT sikkerheden – og synspunkterne er mange. Formålet med notatet er at fungere som øjenåbner og igangsætter for en debat af sårbarhederne i morgendagens IT infrastruktur.

17

7.2. Truslen fra cyberspace – baggrund og konsekvenser

Samfundets digitale nervesystem er sårbart Det danske samfund er på linie med den øvrige verden på rekordtid blevet invaderet af computere, mo-biltelefoner, netværk og tusinder af produkter med indbygget IT – og udviklingen fortsætter. I denne virkelighed er Internettet – og samfundets informationsteknologiske infrastruktur – et ”digitale nervesy-stem,” der muliggør, at information og viden kan flyde frit. Dataudveksling i Internettet foregår ved hjælp af Internet protokoller – et fælles sprog og regelsæt, som sikrer, at alle tilsluttede computere kan kommunikere med hinanden. Internet Service Providere (ISP’ere eller ”Internetudbydere”) sørger via deres netværk for, at kommunikationen kan finde sted ind og ud af private og offentlige virksomheder, institutioner og private hjem. ISP’ernes netværk er endvidere forbun-det med hinanden og med udenlandske netværk i såkaldte knudepunkter, der typisk er beliggende hos de store ISP’er. Flertallet af de danske ISP’er er forbundet i det danske Internet Exchange kundepunkt kaldet DIX (Danish Internet eXchange). Formålet med DIX’en, der drives af UNI-C, er at lette udvekslingen af datatrafik mellem danske Internetudbydere, således at indlandstrafik ikke skal sendes via dyre udlands-forbindelser, men kan sendes via DIX’en. Denne koncentration gør til gengæld DIX’en til et sårbart knu-depunkt. Internettet er opbygget af datanetværk, som er forbundet med hinanden på tværs af landsdele, lande og verdensdele. Selvom Internettet betragtes som anarkistisk, finder der alligevel en overordnet styring sted. I Danmark foregår al administration vedrørende det danske topdomæne (.dk) således hos virksom-heden DK Hostmaster A/S. Teknisk set vedligeholdes domæneinformationerne i DNS (Domain Name System), der kan sammenlignes med en telefonbog. DNS har vist sig at indeholde flere sårbarheder og Internettets domæneservere har tidligere været udsat for alvorlige angreb. Dertil kommer, at ISP’erne, som er en vigtig faktor i al Internetkommunikation, ikke er underlagt nogen retningslinier for fx IT sikkerhed – og ”angreb” på domæneservere kan få alvorlige konsekvenser for muligheden for at kommunikere via Internettet. Et andet eksempel på Internettets sårbarhed kan iagttages i forhold til de enheder, der forbinder datanet-værk med hinanden. Al datakommunikation, som passerer fra et netværk til et andet, er reguleret af en eller af flere routere. Disse foranlediger, at de enkelte enheder i datatrafikken (datapakkerne) bliver sendt videre til de rigtige modtagere. Et koordineret angreb rettet mod routernes evne til at route korrekt, vil have en betydelig effekt på Internettets funktionalitet som helhed. Internettets udbredelse og integration med IT systemer overalt i samfundet har i det hele taget åbnet for nye former for sårbarhed på en lang række vitale samfundsområder. Jo flere samfundsaktiviteter, der bliver afhængige af en velfungerende, Internetbaseret IT infrastruktur, des alvorligere bliver konsekven-serne, hvis systemerne bryder sammen – fx som følge af målrettede ”angreb” via Internettet – eller fysi-ske angreb. En norsk rapport fra 2002 afdækker, at fysisk sabotage mod 3-7 centrale Internetknudepunkter kan stoppe al trafik i Norge på Internettet. Der er mange faktorer, som kan påvirke IT infrastrukturens sårbarhed. Udover at virksomheder og vitale samfundsområder kan rammes via fysisk sabotage og computervira eller hackere, er driftsstabiliteten i IT infrastrukturen også truet af tekniske svigt som følge af fejl i soft- eller hardware, eller fx ved at kommu-nikationskabler ødelægges i forbindelse med entreprenørarbejde. Private virksomheder og offentlige systemer er dybt afhængige af, at IT og elektroniske netværk fungerer. Sikkerheden i den elektroniske kommunikation er derfor alfa og omega for aktiviteterne på stadig flere samfundsområder. De enkelte institutioner og virksomheder beskytter sig så godt de kan mod angreb via

18

Internettet ved hjælp af bl.a. firewalls og antivirusprogrammer. Alligevel viser nye tal fra Danmarks Sta-tistik, at 43 procent af danske virksomheder, 61 procent af de statslige institutioner, 83 procent af de amtslige institutioner og 57 procent af kommunerne har været udsat for virusangreb i 2002. Ca. 20 pro-cent af de statslige og amtslige institutioner har oplevet uautoriseret adgang i form af hacking eller ”De-nial of Service” (angreb, der overbelaster de anvendte servere), mens 8 procent af kommunerne og 3 procent af de private virksomheder har haft problemer med dette. De nævnte tal omfatter både ”gene-rende” og ”alvorlige” sikkerhedsproblemer. Medregnes udelukkende de alvorlige sikkerhedsproblemer, viser det sig, at disse kun involverer 1-3 procent af de offentlige myndigheder. Tilsvarende har ca. 10 pro-cent af de danske virksomheder oplevet sikkerhedsproblemer, der kan karakteriseres som alvorlige. For både det offentlige og det private område er virusangreb det mest betydningsfulde sikkerhedspro-blem, der efterfølges af sikkerhedsproblemer som følge af fejl i henholdsvis hardware og software. På nuværende tidspunkt eksisterer der intet samlet overblik over det danske samfunds IT relaterede sår-barhed. Et IT nedbrud i elforsyningen, den finansielle sektor eller hospitalsvæsenet kan have alvorlige og endog livstruende konsekvenser, som det er i hele samfundets interesse at imødegå. På den baggrund er flertallet af de IT sikkerhedseksperter fra både erhvervslivet og den offentlige sektor, Teknologirådet har talt med, også overordnet set enige om, at tiden er inde til, at der bliver iværksat en samlet analyse af karakteren og omfanget af de risici, der knytter sig til IT infrastrukturen i Danmark – og at analysen ef-terfølges af konkrete beredskabsaktiviteter. Truslen fra organiseret cyberterrorisme eller -sabotage Der er kun meget begrænset viden om, hvorvidt der har fundet organiseret cyberterrorisme eller -sabotage sted. Der er dog enkelte bekræftede episoder. Fx angreb russiske hackergrupper NATO’s åbne systemer under krigen i Kosovo. Der er også eksempler på, at tilsvarende angreb finder sted i disse år i Mellemøsten i opgøret mellem Israel og Palæstinenserne. I rapporten ”Samfundets sårbarhed som konsekvens af IT anvendelsen” (Forsvarsministeriet, 2001) vur-derer IT sikkerhedseksperter, at ”såfremt et systematiseret angreb på vitale danske samfundsfunktioner iværksættes understøttet af væsentlige ressourcer (...) kan kontrollen med vitale systemer blive overtaget af angriberen.” Der er i de seneste 4-5 år observeret en stadig stigning i antallet af anmeldelser af hacking til Nationalt Efterforskningsstøttecenter under Rigspolitichefen. Også på internationalt plan sker der en kraftig stig-ning i antallet af hændelser. I Danish Computer Emergency Response Team (DK-CERT), en offentligt finansieret sikkerhedsorganisati-on under UNI-C, som bl.a. rådgiver om og arbejder med forebyggelse af IT sikkerhedsproblemer, mener man ikke, at der er belæg for at påstå, at der noget sted i verden har fundet hændelser sted i forbindelse med IT installationer, som kan rubriceres under terrorbegrebet. I DK-CERT er man dog ikke i tvivl om, at grupperinger af forskellig art i stigende grad vil misbruge Internettet til fx at propagandere for deres bud-skaber ved at hacke sig ind – og forvanske indholdet – på offentlige hjemmesider. I forbindelse med krigen i Irak blev hjemmesider under bl.a. Det Hvide Hus og Downing Street nr. 10 ændret af hackere, som på den måde demonstrerede deres krigsmodstand. Fænomenet har fået betegnel-sen ”hacktivism”. Der er bl.a. også identificeret en islamisk hackergruppe, USG, med rødder i Egypten, som har hacket sig ind og korrumperet utallige websider med antiamerikanske budskaber. ”Udover et atomangreb, er der intet som kan lamme USA hurtigere – bringe os til stilstand og destruere vores netværksøkonomi – end et veltilrettelagt cyberterroristisk angreb. Truslen er ikke længere blot teoretisk. Det er et spørgsmål om national sikkerhed,” udtalte en topchef fra den globalt tilstedeværende IT virksomhed, CSC, der bl.a. lever af at levere IT sikkerhed, tilbage i 2001.

19

I DK-CERT er man heller ikke i tvivl om, at egentlig cyberterrorisme, som går målrettet efter at ødelægge vitale samfundsfunktioner, er i vente. En af de kendte metoder, som man vil se udnyttet endnu mere ondsindet end i dag, er ”Distributed Denial of Service” (DDoS), som kan lamme kommunikationen i Inter-nettet. Indtil dato er der observeret midlertidige lammelser, men langvarige og mere omfattende konse-kvenser som følge af DDoS kan forventes i fremtiden, forudser man i DK-CERT. Vira/orme – og deres konsekvenser I cyberspace foregår en kontinuerlig konkurrence, hvor hackere og virusspredere forsøger at overgå hin-anden i ødelæggelser via Internettet. Hver dag bliver der programmeret nye computervira, som bliver sendt i omløb globalt, og hver dag forsøger hackere at trænge ind i computere overalt i verden. Disse per-soner benytter ofte relativt enkle midler til at gennemføre deres forehavender. De nødvendige IT værktø-jer kan typisk downloades direkte via Internettet – og der bliver hele tiden udviklet nye værktøjer. Siden 1997 er der observeret et stort antal forskellige vira af den traditionelle slags, som typisk overføres via disketter. Andre vira overføres ved besøg på hjemmesider. I de seneste år er der fremkommet nye, langt mere avancerede og skadevoldende vira/orme. Et eksempel er ormen Slammer, der i januar 2003 udnyttede en fejl i Microsofts databasesoftware, SQL Server 2000. Softwaren anvendes af virksomheder, statslige organer og universiteter over hele verden. I modsætning til flertallet af tidligere vira/orme, lyk-kedes det Slammer at påvirke infrastrukturen uden for Internettet, hvilket bl.a. betød forstyrrelser i fly-trafik og lukkede kontantautomater flere steder i verden. Målt i tabt produktivitet vurderes Slammer at have forvoldt skader for mellem seks og otte milliarder kroner. I august 2003 forvoldte ormene Blaster og Sobig.F store problemer for IT brugere over hele verden. Sobig.F ankom indpakket og krypteret og kunne derfor krybe udenom de fleste virusprogrammer. Sobig.F ramte bl.a. store dele af den hjemlige statsad-ministration, herunder Folketinget, hvis e-mail kommunikation blev blokeret. Et DDoS-angreb kan i realiteten foretages af én person, idet de mange maskiner kan fjernstyres eller tids-indstilles til at foretage angrebene. Det er særlig vanskeligt for en virksomhed at beskytte sig mod denne type angreb, idet mængden og typen af trafik fra hver af de involverede afsendere ikke nødvendigvis vækker særlig opmærksomhed. Problemet er, at et angreb ofte iværksættes samtidig fra et stort antal afsendere forskellige steder på Internettet, hvilket gør et angreb stort set umuligt at opdage og stoppe i tide. En virus/orm kan også have den effekt, at den tager magten over computeren og fx sletter hele eller dele af harddisken. Samtidig vil virus typisk åbne en bagdør til computeren, hvilket betyder, at den pågæl-dende computer er åben for, at hackere uhindret kan trænge ind og gøre hvad de vil og fx bruge compute-ren som platform for yderligere kriminelle aktiviteter – fx distribution af programpakker, som andre hackere henter. Ifølge danske IT eksperter bliver disse vira stadig mere ondsindede og ødelæggende – og vurderingen er, at problemet vil vokse markant i de kommende år. Danske virksomheder og institutioner bliver kontinuerligt angrebet via Internettet – det er bl.a. gået ud over ministerier, TV2, Københavns Lufthavn, Kommunernes Landsforening, kommunale hjemmesider, TDC og Novo Nordisk. Angrebene har været generende, men vurderingen er, at skaderne kunne havde været væsentlig større, hvis der havde været tale om organiserede angreb. Alvorlige sikkerhedsproblemer på mange websites I takt med at stadige flere private og offentlige virksomheder beskytter sig med firewalls, finder hackerne nye veje. Senest er der i forbindelse med krigen i Irak som nævnt set eksempler på hacktivism, hvor hack-ere er trængt ind på hjemmesider og har forvansker indholdet. Ifølge IT sikkerhedseksperter fra bl.a. DK-CERT er dette først og fremmest muligt, fordi virksomhederne anvender webserver programmer med

20

kendte sikkerhedshuller. Der findes rettelser til disse huller, men rettelserne installeres ofte for sent eller slet ikke. Denne ”åbenhed” udgør et alvorligt sikkerhedsproblem i forhold til hjemmesider, som fx formidler an-visninger til borgerne i forskellige sammenhænge – og de mulige konsekvenser vil vokse i takt med, at især offentlige hjemmesider i stigende grad benyttes til formidling og udveksling af vigtige informatio-ner med borgere og virksomheder. Derudover indebærer dette potentielt alvorlige økonomiske konse-kvenser for virksomheder, som i kortere eller længe tid får ødelagt deres webbårne budskaber eller muligheder for at praktisere e-handel. Et andet alvorligt sikkerhedsproblem er webspoofing. Ved denne angrebstype ændres websidens adres-ser, så alle oplysninger routes via tredjepart, som på den måde kan opsnappe kommunikationen. Når brugeren derefter i god tro indtaster password og andre personlige oplysninger, vil disse data tilgå den kriminelle. Dette svarer stort set til den svindel med falske dankortterminaler, som var udbredt for et par år siden. Angreb via DNS (Domain Name System) kan give samme resultat som webspoofing. Løsningen er servercertifikater, sikker kommunikation og brugeropmærksomhed. Ensartet teknologi – en forudsætning og et problem Den globale kommunikation i Internettet opnås ved brug af fælles kommunikationsstandarder. Samtidig er der en tendens til at standardisere ved brug af ganske få softwareproducenter. Begge dele indebærer den risiko, at vira kan ramme bredt og sprede sig med lynets hast, ligesom hackere har nemmere adgang, end hvis der blev anvendt mere forskelligartet software. Der er talrige eksempler på, at deciderede fejl i software har åbnet for, at hackere kunne trænge ind i IT systemer og forrette ødelæggelse. ”Internet Security Threat Report” fra marts 2003 fra antivirus/firewall-producenten Symantec fastslår, at antallet af erkendte huller i software er steget eksplosivt det seneste år. Rapporten dokumenterer, at der i 2002 er fundet mere end 2.500 nye sårbarheder i software, hvilket er et stigning på 81 procent i forhold til 2001. Antallet af kendte moderate og kritiske sikkerhedshuller – det vil sige mulige åbninger, hvorigennem hackere og vira kan trænge ind – steg med 85 procent på ét år. De seneste tal fra det amerikanske CERT Coordination Center, der siden 1995 har indsamlet og registreret sårbarheder i IT systemer, viser imidlertid en stagnerende tendens. Centrets tal viser, at der siden 1998 har været en voldsom stigning i antallet af sårbarheder, der opdages på et år. I 1998 fandt CERT CC således 262 nye sårbarheder, mens tallet var 2.437 i 2001 og 4.129 i 2002. I første halvår af 2003 blev der imidler-tid ”kun” fundet 1.993 nye sårbarheder. Efter IT boblens kollaps har IT branchen i de senere år oplevet generel nedgang verden over. Men nu er i hvert fald ét forretningsområde i kraftig vækst – og det er sikkerhed. Analysefirmaet IDC forventer, at verdensmarkedet for IT sikkerhed vil vokse fra 355 millioner dollar i 2002 til 754 millioner dollar i 2007. Den menneskelige faktor er afgørende for sårbarheden Tal fra Danmarks Statistik for året 2002 viser som nævnt, at 83 procent af amterne, 57 procent af kom-munerne og 61 procent af de statslige institutioner inden for det seneste år har oplevet virusangreb. Det er sket på trods af, at de alle næsten uden undtagelse har investeret i antivirusprogrammer. I Rådet for IT sikkerhed mener man på den baggrund, at den menneskelige faktor er afgørende. Manglende sikker-hedsuddannelse af de IT ansvarlige vurderes bl.a. at være en medvirkende årsag til virusproblemerne i det danske samfund. En dansk IT sikkerhedsekspert fra MindSoft fremhæver, at IT systemer, som er vurderet til at være meget sikre, i virkeligheden kan vise sig at være mindre sikre, fordi der er foretaget en ufuldstændig risikovur-dering. En faktor der ofte overses er netop den menneskelige faktor. Sikre systemer er uundgåeligt mere besværlige at anvende end mindre sikre systemer. Dette kan få personer til at undgå at anvende syste-

21

mer, der er meget sikre, eller få personer til at søge at omgå sikkerheden. I en risikovurdering er det derfor nødvendigt at inddrage denne menneskelige faktor, vurderer eksperten. Ifølge ITEK, Dansk Industris branchefællesskab for IT virksomheder, kan en tredjedel af virksomhedernes IT problemer henføres til fejl i opsætning eller manglende opdatering af software eller hardware. De re-sterende 70 procent af sikkerhedsfejlene skyldes medarbejdere, der downloader programmer fra Inter-nettet, åbner virusinficerede filer, glemmer at opdatere virusbeskyttelsesprogrammer, eller bevæger sig ind på tvivlsomme Internetsider, der kan være skjulested for hackere. Mange virksomheder har installe-ret omfattende sikkerhedssystemer, men glemmer at uddanne og motivere medarbejderne på sikker-hedsområdet. Hvis medarbejderne ikke ved, hvorfor og hvordan de overholder virksomhedens IT sikkerhedsregler, bliver de en markant sårbarhedsfaktor, mener man i ITEK. I en undersøgelse fra 2003 har revisionsselskabet Deloitte & Touche interviewet 242 danske virksomhe-der om IT sikkerhed. Undersøgelsen viser, at virksomhederne generelt fokuserer på sikkerhedsteknologi frem for på uddannelse af medarbejderne. Mange virksomheder tror, at IT sikkerhed kan købes for penge. Sagen er imidlertid, som det bliver understreget i rapporten, at det er medarbejdernes holdninger og ud-dannelse, der har en reel IT sikkerhedsmæssig effekt. Deloitte & Touche opfordrer til, at uddannelse og reel oplysning om IT sikkerhed indgår i enhver virksomheds forretningsmodel. Målet er at forbedre sik-kerhedsbevidstheden hos medarbejdere og ledelse og skabe en sikkerhedskultur med et højt IT sikker-hedsniveau. Som supplement til ovenstående kan det nævnes, at en undersøgelse fra Danmarks Statistik viser, at omtrent halvdelen af den offentlige sektor løbende uddanner deres medarbejdere i IT sikkerhed. For pri-vate, danske virksomheder set under ét, er det kun hver tiende virksomhed, der løbende uddanner deres medarbejdere i IT sikkerhed. Tallet er dog væsentlig højere for virksomheder med mange ansatte. Tekniske løsninger med automatisk og tvungen integritetskontrol af arbejdspladserne før der bliver givet adgang til virksomhedens netværk – kombineret med udrulning af virusmønstre, konfigurationsfiler m.v. – kan medvirke til at reducere dette problem. Brug af tynde klienter på arbejdspladserne kan ligele-des være en supplerende løsning, som dog ikke vil fjerne behovet for uddannelse og sikkerhedsbevidst-hed. Certificeret og revideret IT sikkerhed Finanstilsynet udsendte i februar 2003 en vejledning om finansvirksomheder og deres IT kontrol- og sik-ringsforanstaltninger. Her stilles der krav om, at bestyrelsen i en finansvirksomhed skal opstille en IT strategi med IT sikkerhedspolitik og risikovurdering. Samtidig er der nye internationale vejledninger på vej til brug for de statsautoriserede IT revisorer. I disse nye vejledninger er IT sikkerhed integreret som en naturlig del af den almindelige revision. WebTrust, der udbydes af en række statsautoriserede revisorer i Danmark, er en af de øjeblikkelige mu-ligheder for, at man som fx ISP’er, traditionel virksomhed eller webbutik kan blive certificeret efter et sæt uafhængigt formulerede, objektive kvalitetsregler. WebTrust konceptet er udviklet af amerikanske og canadiske revisorer med henblik på at hjælpe virksomheder og deres kunder med at vurdere de risici, der er forbundet med elektronisk handel. Derudover findes en række andre standarder inden for IT sikkerhed – bl.a. ISO/IEC 17799 (BS 7799-1) og DS484. Hertil kommer Best Practise Guidelines fra Information Security Forum, der er en sammenslut-ning af store, sikkerhedsbevidste virksomheder i Europa og USA.

22

PET varetager Internetsikkerheden i Danmark En lang række lande har, i modsætning til Danmark, etableret en overordnet samfundsinstans, der hånd-terer alle de sikkerhedsmæssige aspekter, som knytter sig til Internettet. Sverige har et nationalt organ i regi af ”Överstyrelsen för civil beredskab”, USA har ”National Infrastructure Protection Center,” og i Eng-land har man ”National Infrastructure Security Coordination Center.” I Danmark er Politiets Efterretningstjeneste (PET) Danmarks nationale sikkerhedsmyndighed. Det bety-der, at PET også har til opgave at følge og forebygge ødelæggende angreb på danske IT systemer, der har betydning for Danmarks sikkerhed. Nationalt Forskningsstøttecenter under Rigspolitichefen har bl.a. til opgave at overvåge organiseret og kompliceret IT kriminalitet, ligesom Forsvarets Efterretningstjeneste (FE) udfører opgaver inden for sikkerhed og varsling på FE's arbejdsområder. På internationalt niveau er det paraplyorganisationen FIRST (Forum of Incident Response and Security Teams), der koordinerer Incident Response Teams rundt om i verden. I Danmark er bl.a. DK-CERT (Danish Computer Emergency Response Team). De tilbyder begge bl.a. at udsende virusvarsler, når der er kend-skab til hurtigspredende vira samt at advare om og komme med løsningsforslag i relation til nyopdagede sikkerhedshuller i IT systemer.

23

7.3. IT sikkerhed på udvalgte samfundsområder

Indledende bemærkninger Teknologirådet har interviewet repræsentanter fra følgende samfundsområder: Elforsyning, finanssekto-ren, telekommunikation, transportsektoren, sygehussektoren og repræsentanter fra den offentlige admi-nistration. Udover de her valgte samfundsområder, kunne det være relevant at interessere sig for bl.a. olie/gas/benzin (forsyning, lagre), øvrig transport (landevej, jernbane), vandforsyning, udrykning (politi, brandvæsen, ambulance), forsvaret, politiet og medierne. Flere repræsentanter for vitale samfundsområder, som Teknologirådet har interviewet til dette projekt, har ytret en vis modstand mod at kommentere IT sikkerhedsmæssige spørgsmål. Alle medvirkende har ønsket – og haft mulighed for – at godkende egne udtalelser. Elforsyningen – ENERGI E2 og NESA Et samfund uden strøm går i bogstaveligste forstand i sort. Derfor står elforsyningen højt på listen over vitale samfundsfunktioner, der kan tænkes at være et potentielt mål for terrorangreb, herunder cyberter-rorisme. Elforsyningen i Danmark er inde i en fusionsbølge, hvor mange aktører skal samarbejde – og i den situation kunne man fristes til at bringe talemåden ”kæden er ikke stærkere end det svageste led” på banen. Men der er ingen alvorligt svage led i elforsyningen, fastslår såvel ENERGI E2, der ejer en række elproducerende kraftværker, som NESA, der sidder på en stor del af det sjællandske forsyningsnet. I ENERGI E2 understreger man, at det på grund af IT systemernes opbygning ikke er muligt, via Internet-tet, at trænge ind i virksomhedens organisation og ramme bredt – det vil fx sige i ét hug at få ENERGI E2’s kraftværker til ophøre med at producere strøm. Det skyldes bl.a., at meget begrænsede dele af de syste-mer, der betinger el-driften, kan nås via Internettet. Det ville kræve en omfattende insiderviden at ram-me bare en lille del af systemerne ad den vej – og det er tæt på at være umuligt at trænge ind fra cyberspace og forrette så alvorlig skade, at elforsyningen ikke kan opretholdes. Det skyldes først og fremmest, at reguleringen af el-produktionen ingen forbindelse har med Internettet. Erfaringerne med vira og hackere viser bl.a., at de i høj grad knytter sig til bestemte teknologier og fejl i software. I ENERGI E2 har man bevidst valgt en decentral struktur, hvor kraftværkerne kører uafhængigt af hinanden og på systemer, som er teknologisk forskellige. Falder et kraftværks IT systemer for en hæn-delse er det derfor meget lidt sandsynligt, at et andet kraftværk gør det samme. Worst case scenariet er en situation, hvor det lykkes hackere at ødelægge de IT systemer med adgang til og fra Internettet, som muliggør ENERGI E2’s muligheder for at handle strøm på de internationale el-børser. Det kan koste virksomheden millionbeløb. Dog understreger ENERGI E2, at der er taget højde for den situation og planlagt alternative metoder til at varetage handelsfunktionen, men på nedsat blus, indtil de Internet bårne systemer kan genetableres. Hos NESA pointerer man, at den basale elforsyning i dag ikke på nogen måde kan blive berørt at compu-tervira eller hackere. Det skyldes, at den IT baserede overvågning, styring og regulering af el-forsyningsnettet finder sted i lukkede netværk, som ikke kan nås udefra. Dette system vil dog efterhån-den også blive integreret med de centrale dele af den øvrige IT platform for at opnå effektiviseringer og udnytte data bedre end det sker i dag. Der vil ikke være tale om direkte adgang fra Internettet. Man vil opbygge et indre sikkerheds-lag, hvor integrationspunkterne beskyttes med firewalls, oplyser NESA. Der hvor der potentielt kan opstå problemer er i forbindelse med NESA’s Internetbaserede kundebetje-ning. Her er NESA – ligesom alle andre virksomheder, der er tilsluttet Internettet – sårbar over for endnu

24

ukendte virustyper m.v. Hos NESA understreger man dog, at man i de sidste par år ikke har været generet af vira. Det skyldes bl.a. en meget omhyggelig virusskanning af alle indgående og internt udvekslede email og dokumenter. NESA: Brug IT revisorer og implementér et nationalt Early Warning system NESA’s IT chef fremhæver et godt samarbejde med IT revisorer som en af årsagerne til, at det er lykkedes at holde hackere og vira fra døren. IT revisorernes opgave er at kontrollere, hvorvidt driftssikkerheden, datasikkerheden og systemsikkerheden er i top. Og hvis det ikke er tilfældet, rådgive om, hvordan sikker-heden kan forbedres, således at virksomhedens økonomiske værdier bevares bedst muligt. NESA’s IT chef kan se en fordel i en koordineret national ”Early Warning” indsats. Det ligger i sagens natur, at man altid er i defensiven i den evige kamp om at følge med udviklerne af computervira. Man er tvundet til at be-skytte sig og tvunget til at støtte sig til antivirusleverandørernes opdateringer. Hos NESA foretages denne opdatering løbende i et professionelt regi af den eksterne driftsleverandør. En neutralt funderet, natio-nalt indsats, hvor man så tidligt i en ny virus’ livsbane som overhovedet muligt får en advarsel om, at der er noget i gærde, kunne medføre en effektivisering og en forbedring, mener NESA’s IT chef. ENERGI E2: Drop kassetænkningen og praktisér teknologisk diversitet ENERGI E2’s IT chef er ikke fortaler for en koordineret national indsats i forhold til at sikre IT infrastruktu-ren. Derimod mener han, at det er på tide at fokusere på det fornuftige i at decentralisere virksomhedens IT bårne processer frem for at de – sådan som man i stigende grad ser det – finder sted på færre servere (serverkonsolidering) eller centraliseres i outsourcing centre. Der er uden tvivl penge at spare på drift og vedligeholdelse, men ved at koncentrere sine vitale IT systemer på få punkter, kommer man i en situati-on, hvor disse kan blive unødig sårbare. Når man udtænker sin IT strategi bør man derimod sørge for, at man ikke samler alle sine systemer i ét centralt punkt. Og hvis man laver flere parallelle systemer, må man sikre, at de er teknologisk forskellige. IT centre med identiske funktioner, software og hardware indebærer den risiko, at en negativ egenskab i fx en applikation finder sted på samme tid i alle centre – og så har man et alvorligt problem, understreger ENERGI E2’s IT chef, der mener, at man – frem for at stable en større national indsats på benene – skulle koncentrere sig om at udbrede et tankesæt, som fore-skriver, at man laver sine IT systemer så robuste, at de samlet set bliver fejlresistente over for enkelthæn-delser. Frem for løbende anbefalinger, som ikke er langtidsholdbare i en IT verden i evig bevægelse, mener han, at man skal satse på at formulere og udbrede IT sikkerhedspolitiske holdninger. Finanssektoren – Danske Bank Bankernes image og troværdighed knytter sig i høj grad til sikkerhedsspørgsmålet, og i finanssektoren har man da også lang tradition for at have kraftig fokus på IT sikkerhed. Udfordringerne på dette område er vokset i takt med, at kunderne bliver tilbudt stadig flere muligheder og services via Internettet. På homebanking området har banksektoren et fælles sikkerheds kodex, som bidrager til at holde et til sta-dighed opdateret og højt sikkerhedsniveau. Danske Bank – Danmarks største pengeinstitut – tager en lang række sikkerhedsmæssige forholdsregler. Alle bankens IT løsninger, som skal anvendes i forbindelse med Internettet, gennemgår en særlig, detalje-ret sikkerhedsvurdering. Bankens samlede Internet infrastruktur er certificeret – og testes og gennemgås kontinuerligt – af et professionelt, eksternt IT sikkerhedsfirma. I Danske Bank er man bevidste om, at intet system er 100 procent skudsikkert. Derfor er opbygningen af internet infrastrukturen gjort særlig robust, så skadevirkningen af eventuelle angreb kan begrænses og afgrænses fra de vitale systemer. For bankens IT sikkerhedschef vil det værst tænkelige scenarium være en situation, hvor nyudviklede vira eller ukendte fejl i softwaresystemer pludselig åbner for, at hackere eller vira kan komme ind og gøre skade. Derfor har man stor fokus på ændringer i Internet-trusselsniveauet og et teknisk beredskab på vagt døgnet rundt, som kan træde til, hvis virksomhedens ”Intrusion Detection System” giver alarm om

25

uvelkomne gæster eller indtrængen af virus. Vi har erkendt, at vi er koblet op til en verden, hvis adfærd vi ikke kan kontrollere, hedder det fra Danske Banks IT sikkerhedschef. Danske Bank: Behov for centraliseret internet sikkerhed og national koordination IT sikkerhedschefen i Danske Bank mener i allerhøjeste grad, at der er behov for en koordineret indsats for at styrke den Internet relaterede IT sikkerhed på landsplan. I betragtning af, hvor mange samfundsak-tører, der er afhængige af en sikker og stabil IT infrastruktur, undrer det ham, at der ikke tidligere har været større fokus på dette område. I 2002 tog banken initiativ til at starte, hvad de kalder en Internet referencegruppe, som har deltagelse af ISP’er, finanssektoren, medicinalindustrien, teleudbyderne m.fl. Opbakningen om dette initiativ har været meget positiv og har vist, at der er et stort behov for at udveks-le erfaringer og ideer på et bredere plan, fastslår Danske Banks IT sikkerhedschef. Hvis man ønsker et sikkert Internet er det ikke hensigtsmæssigt, at alle Internet brugere skal indbygge de samme sikkerhedsmekanismer, når dette ligeså godt kunne foregå centralt – fx i regi af de knudepunkter, som ISP’erne repræsenterer. Med en sådan løsning ville man kunne beskytte hele den danske del af In-ternettet på en billigere og mere effektiv måde, mener Danske Banks IT sikkerhedschef, der påpeger, at langt de fleste samfundsområder er underlagt kvalitetskrav, næringsbreve og kontrol, blot ikke Interne-tområdet. Her er der ingen retningslinier, forordninger eller krav til aktørerne, fx heller ikke til ISP’erne. Han efterlyser kvalitetskrav, struktur, standardisering, fordi det vil skabe større gennemskuelighed – ikke mindst i forhold til det sikkerhedsniveau, som den enkelte ISP’er tilbyder. Sygehussektoren – Hovedstadens Sygehusfællesskab Sygehusvæsenet er stigende grad afhængig af IT. Størstedelen af det anvendte apparatur er IT styret og det samme er tilfældet med sygehusenes administration. Med Elektronisk Patient Journal (EPJ) på vej overalt i sektoren vokser kravene til IT sikkerhed yderligere i de kommende år, hvor det bl.a. skal sikres, at ingen uvedkommende kan få adgang til – og dermed mulighed for at læse og eventuelt korrumpere informationer i – borgernes elektroniske journaler. Det kan havde livstruende konsekvenser, hvis fx in-formationer om medicinering, laboratorieresultater og lignende forvanskes. I Hovedstadens Sygehusfællesskab (HS) – hvori der indgår seks hospitaler i Københavns og Frederiksberg kommuner, herunder Rigshospitalet – har man opstillet en lang række ”State of the art” forsvarsværker. Disse omfatter bl.a. firewalls omkring de systemer, hvortil der er indgang fra Internettet. Derudover overvåges alle systemer i døgndrift. I HS understreger man vigtigheden af, at man i enhver del af organi-sationen har gjort sig klart, hvem der har ret og pligt til at reagere, hvis alarmklokkerne lyder i en kata-strofesituation – det vil sige, hvis overvågningssystemerne opdager, at der optræder virus eller uautoriseret indtrængen. Samtidig understreger man, at det er afgørende at sikre, at man har en til sta-dighed opdateret backup, som kan genetablere data, der måtte blive slettet eller korrumperet ved et an-greb på IT systemerne eller tekniske fejl på udstyret. I erkendelse af, at intet forsvarsværk giver 100 procent sikkerhed, er arkitekturen i HS’ IT beskyttelse opdelt i individuelle netværk alt efter sårbarhed. Det betyder, at hvis det værst tænkelige skulle ske – det vil fx sige, at et hospitals IT systemer (eller IT systemerne i en ”enhed” på hospitalet) inficeres med com-putervirus – så vil skaden være isoleret til netop det hospital eller den enhed. En virus vil således ikke kunne sprede sig til andre hospitaler. Hver eneste enhed og hospital skal nemlig til enhver tid kunne fungere IT-mæssigt uafhængigt af hinanden, oplyser HS. HS gennemgik i 2001 en omfattende kvalitetsvurdering i form af en art akkrediterings proces, herunder også på det sikkerhedsmæssige felt. Ifølge HS' IT sikkerhedskoordinator er der imidlertid ingen tvivl om, at HS og det øvrige sygehusvæsen i de kommende år bliver nødt til at indbygge yderligere sikkerhedslag i IT systemerne, som kan sikre, at kun de rette personer kan komme i forbindelse med de rette data.

26

IT styret hospitalsudstyr er alt overvejende selvkørende og uafhængigt af IT systemer, som har forbindel-se med Internettet. Med et fuldt implementeret EPJ-system i Danmark, må det dog forventes, at der sker en elektronisk sammenbinding af de fleste IT systemer. Det åbner for nye sårbarheder, som man må ar-bejde på at fjerne, hedder det fra HS, hvor man endnu ikke har været udsat for egentlige angreb. Dog regi-strerer HS’ firewalls til stadighed de såkaldte portscanninger, som man imidlertid vurderer som relativt harmløse og standardiserede søgninger efter åbninger i IT systemerne. HS: Der er behov for en koordineret indsats, som kan sikre IT infrastrukturen HS’ IT sikkerhedskoordinator understreger, at planerne om en digitaliseret offentlig sektor stiller store krav til IT infrastrukturen i Danmark. På sundhedsområdet er både EPJ og en offentlig sundhedsportal på vej. Med alle disse initiativer bliver der i stigende grad åbnet for, at borgerne kan hente informationer og selvbetjene sig via Internettet. Jo større samfundsmæssig betydning Internettet får, des større bliver be-hovet for at gøre noget koordineret for at skabe en sikker IT infrastruktur, pointerer HS’ IT sikkerhedsko-ordinator. I HS er man ikke mindst meget opmærksom på de generelle problemer, der i stigende omfang konstateres med sårbare webapplikationer, som kan muliggøre indtrængen af hackere. Telekommunikation – TDC For få år siden var TDC’s IT infrastruktur synonym med IT infrastrukturen herhjemme. Det er ikke tilfæl-det længere. Monopolet er brudt og en række teleselskaber har oprettet egne IT infrastrukturer. Denne udvikling har i sig selv reduceret sårbarheden, idet infrastrukturen ikke længere kun indeholder ét, men flere ”points of failure”. Den nye struktur er til gengæld sårbar i de knudepunkter, hvor de forskellige netværk er sammenknyttet, pointerer TDC’s IT sikkerhedschef, der finder, at der er et akut behov for at kortlægge samtlige knudepunkter og afdække de sårbarheder, som disse repræsenterer. TDC har opbygget et distribueret netværk, hvor nedbrud enkelte steder ikke påvirker resten af netværket. Et nedbrud medfører blot at trafikken bliver omdirigeret. Uagtet, at der findes nødstrømsgeneratorer i TDC’s systemer, anser TDC en afbrydelse af strømforsyningen for at være blandt de værst tænkelige sce-narier. Uvedkommende indtrængen i TDC’s netstyring med efterfølgende kontrol over kommunikationen i IT infrastrukturen er også et worst case scenarium. Af samme årsag har TDC høj fokus på IT sikkerheden og har bl.a. haft et uafhængigt revisorfirma til at gennemgå koncernens sikkerhedsrutiner. TDC: IT sikkerhed er først og fremmest et ledelsesansvar i virksomheden TDC’s IT sikkerhedschef understreger, at det er TDCs holdning, at det generelt er vigtigt at sikre, at IT sik-kerhed er en integreret del af enhver virksomhed – og at alle virksomheder bør have mulighed for at ind-føre en IT sikkerhedspolitik, som harmonerer med virksomhedens egne behov og præmisser. TDC støtter gerne forskellige nationale og internationale initiativer, som kan begrænse sårbarheden i IT infrastrukturen og skabe sikrere internet-kommunikation. Men i TDC mener man ikke, at et nationalt initiativ skal føre frem til, at virksomhederne pålægges den ene IT sikkerhedsmæssige byrde efter den anden: Der er forskel på virksomhedernes behov, og eventuelle nationale initiativer skal implementeres med respekt for virksomhedens egen ansvarsudfoldelse på IT sikkerhedsområdet. Virksomheder som TDC med en særlig forpligtelse til at sikre infrastrukturen vil selvsagt også have et særligt ansvar for IT sik-kerheden inden for sit virkefelt. Men IT sikkerhed er først og sidst et ledelsesansvar i den enkelte virk-somhed – sådan bør det være i dag og fremover, pointerer TDC’s IT sikkerhedschef. Transportsektoren – SAS SAS’ IT sikkerhedschef fremhæver, at luftfarten generelt omfatter tre forskellige aktører, som sikker-hedsmæssigt skal spille sammen: Lufttrafik kontrolsystemerne, der er statsligt drevne, lufthavnenes IT miljøer og de kommercielle flyselskabers IT systemer. Det er hans overordnede vurdering, at luftfartens IT systemer generelt er robuste. Han vil ikke kommentere SAS’ sårbarhed over cyberterrorisme, men pe-

27

ger i stedet på et worst case scenarium: En situation, hvor det lykkes udefra kommende at lamme både SAS’ Internet Infrastruktur og tele-infrastrukturen i Skandinavien. IT sikkerhedschefen understreger, at SAS konstant har fokus på det IT relaterede trusselsbillede. Selskabet bruger megen tid på at hente information og på sårbarhedsanalyser for at kunne gennemføre de nød-vendige IT-mæssige opdateringer af soft- og hardware. Desuden bliver der brugt mange kræfter på at holde selskabets antivirus forsvar up-to-date. Dog erkender IT sikkerhedschefen, at SAS – ligesom en-hver anden IT bruger – ikke kan sige sig helt fri for sårbarhed. Uanset ressourceforbruget er det ikke mu-ligt at lave en 100 procent effektiv forebyggelse. Det skyldes ikke mindst tempoet i den teknologiske udvikling, herunder den frekvens hvormed nye softwareprodukter og systemer lanceres. Hastigheden betyder, at der løbende kommer nye sårbarheder frem, som typisk først opdages efter et stykke tid. Her gælder det så om at få lukket eventuelle huller hurtigst muligt, lyder det fra SAS. SAS: Beskyttelse af IT infrastrukturen bør være en ”totalforsvarsopgave” SAS’ IT sikkerhedschef peger på, at stort set alle brancher i dag er dybt afhængige af en velfungerende IT infrastruktur. Den offentlige sektor er også godt på vej mod en tilsvarende afhængighed og det samme er borgerne. På den baggrund mener han, at der er et udtalt behov for en koordineret, landsdækkende be-skyttelsesindsats på dette område. Beskyttelse af IT infrastrukturen bør være en ”totalforsvarsopgave” helt på linie med beskyttelse af fx el- og varmeforsyningen, mener han. Den offentlige sektor Den offentlige sektors forskellige serviceydelser er i stigende grad afhængig af IT. Og med visionen om ”digital forvaltning” i den offentlige sektor, som nu udbredes med stor hast, vokser også kommunernes, amternes og statslige institutioners sårbarhed over for angreb via Internettet markant. Med henblik på at fremme indførelsen af digital forvaltning i den offentlige sektor oprettede bl.a. Mini-steriet for Videnskab, Teknologi og Udvikling, Finansministeriet og Amtsrådsforeningen i 2001 ”Den digitale Taskforce,” som er underlagt det fælles statslige/kommunale ”Projekt Digital Forvaltning”. Den Digitale Taskforce beskæftiger ca. 20 mennesker, der kommer fra forskellige ministerier, Kommunernes Landsforening og Amtsrådsforeningen. Taskforcen har bl.a. til opgave at identificere og afklare tekniske og herunder sikkerhedsmæssige problemstillinger vedrørende digital forvaltning. Regeringen har på Finansloven for 2003 afsat 50 mio. kr. til udbredelse af den digitale signatur til borgere, myndigheder og private virksomheder. Målet med digital forvaltning er at forbedre den offentlige service ved at tilbyde borgerne øget selvbetjening og udveksling af informationer via Internettet. I erkendelse af, at også private borgeres IT sikkerhed er en trussel for stabiliteten i samfundet – og en direkte hindring i forhold til indførelse af digital forvaltning – anser det nye, uafhængige Rådet for IT sikkerhed det som et af sine hovedfokusområder at sikre, at private opnår størst mulig sikkerhed ved brug af Internettet. Vejen frem er oplysning til borgerne om sikkerhed, mener man i Rådet for IT sikkerhed – oplysning, som kan medvirke til at højne borgernes fokus på sikkerhedsspørgsmål. Sikkerhedseksperter i DK-CERT vurderer, at den digitale signatur på længere sigt vil kunne anvendes til at højne IT sikkerheden i forhold til bl.a. hackere, idet den vil give mulighed for at oprette lukkede virtuelle miljøer, hvortil adgangen er stramt kontrolleret. Men det ligger en del år ude i fremtiden. Amtsrådsforeningen efterlyser fælles sikkerhedsstandarder Amterne er stærkt involveret i udviklingen af Danmark som netværkssamfund – digital forvaltning (De Digitale Amter), digital signatur og elektronisk sags- og dokumenthåndtering er nogle af de områder, hvor amterne er aktive. Konkret har amterne bl.a. fokus på udvikling af portalløsninger såsom Sund-hedsportalen.

28

Amterne har i de senere år øget opmærksomheden på IT sikkerhed markant. Ifølge Amtsrådsforeningens IT ansvarlige, er de amtslige IT systemer opbygget med forskellige grader af sikkerhed alt efter datas føl-somhed. Sikkerhedsmaskerne er tættere i systemer, som skal håndtere fx personfølsomme eller finansiel-le oplysninger – end i systemer, som behandler data, hvor der ikke er en tilsvarende, potentiel risiko for misbrug. Ifølge Amtsrådsforeningen er sikkerhedsniveauet på den ene side et spørgsmål om, hvor mange ressour-cer, man vil bruge på rent teknisk at sikre sine data. På den anden side er sikkerheden i høj grad afhængig af de sikkerhedsprocedurer, man i en given virksomhed har for omgangen med data. Teknikken kan ikke forhindre uhensigtsmæssige arbejdsgange – og derfor bør der i høj grad også fokuseres på brugernes om-gang med systemer og data, fastslår Amtsrådsforeningen. Diskussionerne i amterne om IT sikkerhed er præget af de forskellige politikområder, hvor IT sikkerhed indgår som en afgørende faktor. Der er bestemte udfordringer på sundhedsområdet, andre udfordringer på teknik/miljø-området osv. I øjeblikket fokuserer amterne primært på de sikkerhedsmæssige udfor-dringer i relation til den kommende Sundhedsportal. Det omhandler bl.a. sikkerhedsudfordringer i de systemer, som Sundhedsportalen vil give adgang til – fx den såkaldte ”personlige elektroniske medicin-profil”, som er under udvikling, og Elektronisk Patientjournal. I Amtsrådsforeningen finder man det vigtigt at fastsætte et realistisk IT sikkerhedsniveau, som er inden for organisationernes og virksomhedernes rækkevidde. Man finder også, at det skal være brugerne af systemerne, ikke leverandørerne, der skal formulere såvel sikkerhedsniveauet som de fællesstandarder, fremtidens IT infrastruktur bør bygge på. Samtidig fastslår Amtsrådsforeningen, at tiden er inde til at udvikle nogle konkrete sikkerhedsstandarder, som eventuelt kan gradueres alt efter sikkerhedsbehovet i det enkelte system – standarder, som alle leverandører skal basere deres systemer på, så man har sikker-hed for, at disse systemer også rent sikkerhedsmæssigt spiller i sammen toneart. Det værst tænkelige scenarium for den IT ansvarlige i Amtsrådsforeningen er uden tvivl en situation, hvor IT systemerne er kommet til at hænge sammen på en sådan måde, at en cyberterrorist, hvis denne først er indenfor IT murerne, har adgang til en hel række forskellige systemer, der sikkerhedsmæssigt dermed vælter som dominobrikker. En udvikling i den retning skal man ifølge Amtsrådsforeningen bl.a. imødegå ved at lave fællesregler og fælles standarder for sikkerheden i de offentlige IT infrastrukturer. CSC: Behov for at sikre samfundskritiske systemer IT virksomheden CSC Danmark er en af de største leverandører af IT løsninger til den offentlige sektor herhjemme. CSC leverer drift og udvikling af en række centrale IT systemer som fx CPR-registeret, politi-ets systemer og skattesystemerne. Gennem statens DataNet leverer CSC endvidere netværksadgang til bl.a. EU’s Intranet for store statslige virksomheder. CSC samarbejder derudover med mere end 130 kom-muner og en lang række amtslige og statslige institutioner om realiseringen af det digitale Danmark. I fremtiden vil information og interaktion forløbe elektronisk, hvilket giver de offentlige myndigheder nye unikke muligheder for at samarbejde interaktivt med borgere og virksomheder i Danmark. I CSC mener man, at digitaliseringen af det offentlige er det IT lokomotiv, som vil bringe Danmark i den abso-lutte informationsteknologiske front og samtidig påvirke den måde, hvorpå alle andre dele af samfundet fungerer. Men en succesfuld offentlig digitalisering forudsætter bl.a., at sikkerheden er i top. Og her er billedet ikke entydig positivt, mener Account Manager i CSC Public Sector. Han pointerer, at de IT folk, der sidder i staten, amterne og kommunerne generelt gør et stort og godt arbejde. Men rent sikkerhedsmæssigt er billedet meget fragmenteret og hullet – og det bekymrer. Mange har lært at håndtere vira, og man sørger

29

for at tage backup – men når det kommer til beskyttelse mod egentlig cyberterrorisme, så er kun de fær-reste offentlige institutioner tilstrækkelig godt forberedt, siger CSC-chefen. CSC har i eget hus opbygget en sikkerhedsinfrastruktur, som på alle væsentlige områder vil kunne mod-stå cyberterrorisme. De IT systemer, som CSC driver for offentlige og private virksomheder, er fx placeret 10 meter under jordoverfladen. Medarbejdere med adgang til de vitale, offentlige systemer er oftest clea-ret af PET/FE, og omkring en række af systemerne er der opbygget en adgangsvej til data, som går gen-nem tre lag af firewalls, som er opbygget efter tre forskellige principper. Virksomheden investerer løbende i forbedringer af sikkerheden i infrastrukturen. På globalt plan har CSC bl.a. udviklet program-mer, der kan finde huller i netværk, og ansat et team af hackere, der løbende tester IT systemerne. CSC-chefen fastslår dog, at intet system er 100 procent sikkert – og at CSC i øvrigt leverer det sikkerheds-niveau som kunden ønsker at betale for. Dog har CSC nogle mindstekrav på sikkerhedsområdet, der skal være opfyldt for at virksomheden accepterer ansvaret for driften af en applikation. Desværre er det en gennemgående tendens, at de nyeste sikkerhedsydelser ikke efterspørges forretningsmæssigt – før det er for sent, siger han. Som lovgivningen er i dag, har fx en offentlig forvaltning ikke pligt til at anvende hverken virusskanning af indgående post, katastrofe backup (dobbelt drift af systemet) eller særligt aflukkede driftsafsnit med særligt betroet personale. Generelt er dette ikke et stort problem, men for en håndfuld IT systemer udgør det en sårbarhedsrisiko, mener man i CSC, hvor holdningen er, at tiden er inde til, at langt flere private og offentlige virksomheder begynder at tage truslerne alvorligt og investerer i den nødvendige sikkerhed. CSC fastslår videre, at man som udgangspunkt for at minimere sårbarheden i den offentlige IT infrastruk-tur, skal definere de systemer, som er kritiske for driften af det danske samfund – et initiativ, der allerede burde have været indført i forbindelse med terrorlovgivningen i kølvandet på 11. september, mener CSC-chefen. Samtidig påpeger han, at det er helt afgørende, at der bliver udviklet og lovfæstet fællesregler for disse kritiske systemers drift og for adgangen til dem. Fællesregler for IT sikkerheden i kritiske systemer vil medføre, at man opnår konvergens i sikkerhedsniveauerne mellem de forskellige systemer, fordi disse i dag specificeres af forskellige ministerier, og derefter leveres af forskellige leverandører med forskellige holdninger til sikkerhed. Det vil bl.a. medføre en mindre sårbarhed end i dag, mener CSC-chefen, der sæt-ter spørgsmålstegn ved, om den undersøgelse fra Danmarks Statistik og Ministeriet for Videnskab, Tekno-logi og Udvikling fra foråret 2003, som viste, at bl.a. den offentlige sektor var plaget af virus, er udtryk for, at der er en markant sårbarhed. CSC er selv udsat for flere tusinde angreb om ugen i form af bl.a. portscanninger, men formår at beskytte sig mod indtrængen. CSC har i hvert fald endnu ikke haft hæn-delser, som har berørt nogle af de vitale offentlige systemer, virksomheden driver. Rigsrevisionen påpeger alvorlige sikkerhedsproblemer i staten Staten er opdelt i ca. 250 ”virksomheder” – en virksomhed kan fx være et departement eller en styrelse under et ministerium. Rigsrevisionen har to hovedopgaver – dels at udføre forvaltningsrevision – det vil sige undersøge, om disse statslige virksomheder bruger deres penge fornuftigt, dels at gennemføre finan-siel revision af samme. Under sidstnævnte hører IT revision, hvor Rigsrevisionen kortlægger og vurderer IT håndteringen. Ifølge Rigsrevisionens kontorchef med ansvar for IT revision i statslige virksomheder, tegner der sig gene-relt et positivt billede af de statslige virksomheders håndtering af IT sikkerhed. En meget stor andel har formået at imødekomme de hidtidige sikkerhedsmæssige udfordringer. På den anden side er kun et fåtal rustet til at møde de omfattende sikkerhedsmæssige udfordringer i det stadig mere digitaliserede stats-apparat. Når papir bliver fortid og informationerne i stedet er digitale, indebærer det, at virksomhedernes korrespondance med borgere og andre virksomheder – fx afgørelser på sager og andre sagsakter, elektro-niske bilag og fakturaer, kalender- og mødeaktiviteter m.v. – forsvinder, når systemerne går ned. Det vil

30

sige, at tilgængeligheden til informationerne bliver endnu mere kritisk end det er tilfældet i dag.Kontorchefen peger på, at det netop er besluttet, at al skriftlig kommunikation indenfor staten frem-over skal foregå elektronisk via e-mail. Det vil reelt betyde, at alle processer i staten bliver afhængige af, at Internettet og den enkelte institutions interne systemer, er ”oppe at køre”. Hvis nettet eller de interne systemer af den ene eller anden årsag – fx strømforsyningssvigt eller sabotage – bryder sammen, så kan statsapparatet ikke fungere uden væsentlige vanskeligheder. Rigsrevisionen udførte i 2002 IT revision af 34 statslige virksomheder. Selvom det som nævnt generelt er et positivt billede, der tegner sig i de statslige institutioner, så er der også på nogle områder konstateret behov for at forbedre IT håndteringen. I mere end halvdelen af de undersøgte institutioner, havde Rigsre-visionen anbefalinger på følgende områder: IT styring: Der er behov for, at ledelserne i langt højere grad end det sker i dag fokuserer på de risici, der også er forbundet med IT anvendelsen. Udviklingen fra dengang hvor IT var en lille fritstående maskine i hjørnet af økonomiafdelingen og til i dag, hvor virksomhedens drift og udvikling afhænger af IT syste-merne, er foregået over en meget kort årrække. Den erkendelse er ikke slået igennem på alle direktions-gange. Der er bl.a. behov for, at den enkelte ledelse kortlægger risici og tager stilling til og implementerer det ønskede sikkerhedsniveau, lyder det fra Rigsrevisionen. Adgangskontrol: Der er behov for, at den enkelte virksomhed tilrettelægger procedurer med klare ret-ningslinier for, hvem der kan få adgang til systemer og data. Dette har man ikke i tilstrækkelig omfang i dag, hvor situationen er den, at de statslige virksomheder ikke sikrer, at alle bruger-id’er er personlige. Samtidig er man ofte for rundhåndede med at uddele administratorrettigheder, hvilket indebærer, at nogle har rettigheder i systemerne, som er unødvendigt store i forhold til de opgaver, de skal løse. Endelig udfører man ikke i tilstrækkelig omfang periodisk opfølgning på, om brugerrettighederne stadigvæk er korrekte, lyder det fra Rigsrevisionen. Eksterne dataforbindelser: Statslige virksomheder mangler ofte at udarbejde overordnede politikker for, hvordan de styrer deres eksterne dataforbindelser – det vil bl.a. sige Internetforbindelser, dataudveksling mellem servere og kommunikation mellem hjemmearbejdspladser og virksomhed. Med udgangspunkt i en risikovurdering skal virksomheden tilrettelægge procedurer med klare retningslinier for periodisk opfølgning på sikkerhedsniveauet, så man hele tiden matcher de nye risici, der opstår i kølvandet på den teknologiske udvikling. Ifølge Rigsrevisionens IT revisionschef overlades vurderingen af sikkerheden i eksterne dataforbindelser i dag ofte til virksomhedens tekniske personale. Overvågning af netværk: Rigsrevisionen konstaterer, at de statslige virksomheder kun i et begrænset omfang overvåger driften af deres netværk for unormale hændelser. Det betyder, at man ofte reelt ikke ved, hvad der foregår i systemerne. Kontrol af såkaldte ”logs” – det vil sige aktiviteter i systemerne – er ofte fraværende, hvorfor man ikke altid opdager unormale hændelser. Rigsrevisionens IT revisionschef omtaler en statsinstitutions IT systemer, der i 2002 blev misbrugt til ulovlig udveksling af filer til musik og spillefilm. Misbruget kunne finde sted, fordi institutionen ikke gennemførte en systematisk overvåg-ning af sit netværk. Beredskabsplaner: Endelig er virksomhederne generelt ikke omhyggelig nok med at udarbejde bered-skabsplaner. Virksomheden bør tage stilling til, i hvor lang tid man kan acceptere at være uden IT – og beredskabsplanerne skal udarbejdes i overensstemmelse hermed. Manglende beredskabsplaner kan medføre nedbrud, som ligger langt ud over det acceptable for virksomhedens drift og samfundsmæssige opgave. Rigsrevisionens IT revisionschef mener overordnet, at der er behov for en koordineret, national indsats, som kan øge sikkerheden i de offentlige IT systemer. Han peger på, at Ministeriet for Videnskab, Teknolo-

31

gi og Udvikling har udsendt et høringsforslag til en standard for IT sikkerhed i statslige institutioner. I Rigsrevisionen finder man dette initiativ nødvendigt, og man håber, at det kan være en forløber for ud-vikling og implementering af fælles standarder for IT sikkerhed i hele den offentlige sektor. Rigsrevisio-nen offentliggør i december 2003 en tværgående undersøgelse af de statslige virksomheders IT anvendelse.

7.4. Flere holdninger og initiativer på IT sikkerhedsområdet

To vurderinger af Internetsikkerhed samt anbefalinger Dansk rapport: Internettet er et godt og sikkert kommunikationsnet Enhver risiko kan opgøres ud fra en samlet vurdering af trusler, sårbarheder og konsekvenser i tilfælde af, at en bestemt hændelse indtræder. For væsentlige risici bør der træffes afværgeforanstaltninger, som kan reducere eller i bedste fald eliminere risikoen – hedder det i rapporten, ”IT sikkerhedsrådets udredning om Internet sårbarhed”, der blev udsendt i februar 2000. Ifølge rapporten bør enhver Internetforbindelse underkastes en risikovurdering med henblik på at iværksætte de rette sikkerhedsforanstaltninger i form af firewalls, routere, kryptering, sikkerhedspolitikker, overvågning m.v. Hvis man træffer de rigtige for-holdsregler og beskytter sig mod de sårbarheder, Internettet rummer, er Internettet, konkluderer rappor-ten, et godt og driftsikkert kommunikationsnet. Når det gælder ISP’er, der repræsenterer knudepunkter på IT infrastrukturen, anbefaler rådet, at der dels udarbejdes detaljerede nød- og beredskabsplaner, dels etableres alternative driftscentre og knudepunkter, der kan tages i brug i tilfælde af fysisk ødelæggelse af en installation. Dansk rapport: Bedst mulige sikkerhed inden for en kalkuleret risiko Af forsvarsministeriets rapport fra 2001, ”Samfundets sårbarhed som konsekvens af IT anvendelsen”, fremgår det, at man som virksomhed, selvom der bliver truffet alle mulige teknologiske og fysiske be-skyttelsesforanstaltninger, ikke kan beskytte sine data og IT systemer 100 procent, når man åbner sit lokalnet op mod Internettet. På den baggrund må man bringe begrebet ”Risk Management” på banen – det vil sige, at man søger at opnå den bedst mulige sikkerhed inden for en kalkuleret total risiko. I rap-porten anbefales det, at Danmark, for at styrke IT sikkerheden på nationalt niveau, iværksætter en koor-dineret indsats mod IT kriminaliteten. Det skal bl.a. ske ved at etablere en beredskabsorganisation til varetagelse af IT sikkerheden på nationalt niveau. Organisationen, som i rapporten kaldes ”Koordinati-onscenter for beskyttelse af national IT infrastruktur” skal bl.a. overvåge og indsamle erfaringer om mu-lig kriminel aktivitet på Internettet, ligesom den vil få til opgave at varsle de myndigheder, der indgår i beredskabet. I rapporten foreslås det, at koordinationscentret sammensættes af repræsentanter fra DK-CERT, ISP’er m.fl., NALLA (National Long Lines Agency), PET, FE, Nationalt efterforskningsstøttecenter, Response Teams, en tværministeriel referencegruppe og interessenterne (de vitale samfundsområder såsom elforsyning, vandforsyning, telekommunikation m.v.). DK-CERT: Indfør lovfæstede mindstekrav til IT sikkerhed i det offentlige Der er ikke et samlet overblik over, hvilke Internetbaserede netværk, der eksisterer i Danmark. Der er heller ingen koordinerende instans, som overvåger IT infrastrukturen, og som man kan melde ind til, hvis man observerer problemer i form af vira og hackere. Ej heller findes der et decideret IT sikkerhedsbered-skab på alle vitale samfundsområder. Der bør snarest iværksættes initiativer på disse områder, mener man i DK-CERT. Konkret peger man på, at der skal skabes overblik over IT infrastrukturen på alle vitale samfundsområder – det vil bl.a. sige, at der skal skabes klarhed over, hvordan man skal handle, hvis der går noget galt i in-frastrukturen. Samtidig skal det sikres lovgivningsmæssigt, at man er forpligtet til at melde vi-ra/hackerproblemer til den centrale, koordinerende enhed, som herefter kan hjælpe med at forbedre

32

sikkerheden i den pågældende virksomhed – og bevirke, at problemet ikke gentager sig i andre virksom-heder. I DK-CERT mener man videre, at der bør formuleres en officiel dansk strategi for IT sikkerhed, som opstil-ler en række mindstekrav, der skal være opfyldt i offentlige virksomheder: For det første skal enhver pc eller server indeholde automatisk opdaterbart antivirusprogrammel samt være firewall-beskyttet. For det andet skal alle offentlige virksomheder registrere trafik og trafikmønstre ved hjælp af Intrusion De-tection System (IDS), hvilket begrænser risikoen for, at virksomheden bliver hacket uden at man opdager det. For det tredje skal de ansætte en person, der forstår hvad internet sårbarhed- og sikkerhed er, ligesom de skal have en stadig opdateret sikkerhedspolitik, som kontinuerligt tager højde for nye sårbarheder. Rådet for IT sikkerhed: Vi skal skabe en naturlig sikkerhedsadfærd Emner som cyberterrorisme og IT infrastrukturens sårbarhed står langt nede på dagsordenen hos Rådet for IT sikkerhed. Eller rettere på det kommissorium, politikerne har formuleret og som udstikker rådets fokusområder. Øverst står udvikling af en informationsindsats, som er målrettet IT sikkerheden hos pri-vate borgere og små- og mellemstore virksomheder. Det handler om at opbygge en egentlig IT sikker-hedskultur i Danmark, som ikke mindst kan bidrage til at accelerere implementeringen af den digitale offentlige sektor. Formanden for Rådet for IT sikkerhed pointerer, at der generelt i Danmark er behov for at fokusere langt mere på IT sikkerhed end det sker i dag. Det skyldes alene, at IT er noget relativt nyt, som langt fra alle danskere endnu har opbygget nogle naturlige sædvaner omkring. Vi skal udbrede en naturlig adfærd i forhold til IT sikkerhed – fx at man opbevarer passwords fornuftigt, fastslår han. Rådsformanden vurderer, at årsagen til, at rådet ikke er sat til at fokusere på emner som cyberterrorisme og beskyttelse af IT infrastrukturen er, at et sådant arbejde så småt er ved at finde sin form i regi af en national sårbarhedsudredning. Formanden tøver dog ikke med at fastslå, at der efter hans mening er et stort behov for en koordineret og snarlig national samtænkning med henblik på at styrke IT infrastruktu-ren i Danmark. Ligesom en IT afhængig virksomhed i dag skal have en IT sikkerhedspolitik og -beredskabsplan, så skal samfundet selvfølgelig også have det i forhold til sine væsentligste sektorer. Der har i årevis været et lovfæstet beredskab på teleområdet. IT infrastrukturen har i dag har mindst lige så stor betydning som tele-infrastrukturen, hvorfor der naturligvis skal laves tilsvarende planer for IT om-rådet, fastslår formanden for Rådet for IT sikkerhed. Center for IT sikkerhed: Danmark har brug for en national sikkerhedspolitik og en forebyggende ind-sats Internettet har skabt et samfund, der på visse områder er mere sårbart end for 10 år siden. Tidligere skul-le man tiltvinge sig fysisk adgang til en lokation for at forrette skade, i dag kan adgangen i mange tilfæl-de finde sted via Internettet. Samfundets sårbarhed over for cyberterrorisme vil blot vokse og vokse med tiden, forudser lederen af Center for IT sikkerhed på Alexandra Instituttet i Århus. Han mener, at Danmark med fordel kunne sætte ind på tre områder: Iværksætte en forebyggende indsats på uddannelsesområdet, udarbejde en national sikkerhedspolitik og etablere en synlig, national IT sik-kerhedschef. Han vurderer videre, at informationskampagner over for brugere, IT ansvarlige og ledere er absolut nødvendige. Hvad angår indsatsen på uddannelsesområdet, så peger han på, at IT sikkerhed i højere grad skal indgå i de eksisterende IT uddannelser inden for netværk og systemudvikling. Men end-nu vigtigere finder han det, at IT sikkerhed vinder indpas på det ledelsesmæssige plan, så beslutningsta-gere i private og offentlige virksomheder er bevidste om deres ansvar og roller på dette område – at de ikke kun betragter IT sikkerhed som et teknisk problem, men er klædt på til at stille krav til IT afdelinger og leverandører.

33

Lederen af Center for IT sikkerhed mener videre, at Danmark har brug for en national IT sikkerhedschef. En person, der refererer passende højt op i samfundssystemet, og som kan sikre fokus på og koordinerer arbejdet med IT sikkerhed – og vigtigst af alt – sørger for at skabe synlighed om, at IT sikkerhed er sat højt på samfundets dagsorden og er noget, der skal tages alvorligt. Han fastslår dog samtidig, at han finder det problematisk, at der i Danmark ikke er foretaget en overordnet samfundsmæssig risiko-konsekvensanalyse i forhold til IT sikkerhed, som afdækker både aktiver og hvor galt det kan gå. Kun ved at gennemføre en sådan analyse kan man sikre, at samfundet og virksomhederne ikke spilder ressourcer på de forkerte områder, pointerer han. Hvidbog om IT arkitektur: Struktureret håndtering af IT sikkerheden er en helt afgørende parameter for udbredelse af digital forvaltning Det koordinerende Informationsudvalg – et tværoffentligt koordinationsorgan på det IT faglige område – udsendte i juni 2003 ”Hvidbog om IT arkitektur”. Formålet med hvidbogen, der er et led i udbredelsen af digital forvaltning herhjemme, er at ”opnå et generelt kvalitetsløft af den proces, hvorunder offentlige IT systemer udvikles.” En specifik diskussion af IT sikkerhedsspørgsmål udgør kun en meget begrænset del af hvidbogen. Det fremgår dog bl.a., at en struktureret håndtering af IT sikkerheden vurderes som en helt afgørende para-meter for udbredelse af digital forvaltning. Sikkerheden er imidlertid ikke blot noget, som kan tilsættes den færdige løsning, hedder det, sikkerhedskravene må være indarbejde i arkitekturprocessen lige fra visionsstadiet. Ifølge hvidbogen er det en forudsætning for sammenhæng på sikkerhedsområdet, at krav og løsninger beskrives udfra et fælles koncept og koordineres på det overordnede plan. Samtidig fremgår det, at en grundig risikoanalyse bør være afgørende for valget af sikkerhedsarkitektur og sikkerhedsløsninger, og det anbefales, at det offentlige benytter fælles principper for denne analyse. IT sikkerhedsekspert: En ulige og konstant kamp mod hackere og vira Det er i praksis en umulig opgave at afdække alle sikkerhedshuller i et komplekst IT system. IT systemer omfatter typisk produkter fra mange forskellige leverandører, der hver især skal være ufejlbarlige. Der kan være fejl i hardware, fejl i systemsoftware, fejl i applikationer og fejl i selve den valgte sikkerheds-model. Og der findes ikke en generel test, der med sikkerhed kan fastslå, at et IT system er sikkert, forkla-rer en IT sikkerhedsekspert fra firmaet MindSoft. Han understreger, at en IT sikkerhedsafdelings arbejde derfor på mange måder er en ulige kamp mod hackere og lignende: Mens sikkerhedsafdelingen skal sikre, at ethvert tænkeligt hul i sikkerheden lukkes, skal en hacker blot finde et eneste hul for at bryde sikkerheden. En sikkerhedsafdeling har en begrænset mængde ressourcer, mens hackere findes i ubegrænset antal. Dertil kommer, at der findes et meget stort antal frit tilgængelige Internetsider, der løbende publicerer fundne sikkerhedshuller i standardsoftware, hardware, firewallprodukter og lignende. Dette gør det ofte til en triviel opgave for ukyndige at få adgang til IT systemer, der ellers har været tiltroet stor sikkerhed. Implementering af sikkerhed er ressourcekrævende og intet sikkerhedssystem er 100 procent sikkert. Jo større grad af sikkerhed, der ønskes, des flere ressourcer kræves der for at håndhæve sikkerheden. Valg af sikkerhedsniveau for et IT system vil derfor altid være en afvejning mellem prisen (cost) og fordelene (benefit), pointerer IT sikkerhedseksperten og understreger, at niveauet for et IT systems sikkerhed af-spejler dets evne til at modstå enhver trussel, der kan påvirke dets kvalitet, anvendelse og funktionalitet. Jo større sikkerheden i et IT system er, des mindre sårbart er systemet overfor truslerne – det vil bl.a. sige forsøg på at få adgang under falsk identitet, hacking, indførsel af virus eller virusorme, der kan gøre sy-stemet utilgængeligt eller medføre skadelige ændringer af applikationer.

34

For at mindske sårbarheden skal alle de trusler, der er mod IT systemet, afdækkes. Det sker ved at gen-nemføre en risikovurdering, hvor truslerne identificeres og hvor der sker en vurdering af konsekvenserne i form af fx økonomisk tab, hvis de fundne trusler realiseres. Risikovurderingen skal løbende – og proak-tivt – revideres i takt med at nye trusler opstår og identificeres. En revidering af trusselsbilledet skal straks afspejles i fastlagte standarder og best practices og herefter hurtigst muligt implementeres i de berørte IT systemer, fastslår han. Internationalt samarbejde om IT sikkerhed Kommunikations- og informationstjenester udbydes i dag på tværs af landegrænser – og virus- og hack-ertrusler er ligeledes verdensomspændende. På den baggrund fremhæver Rådet for IT sikkerhed, at effek-tive sikkerhedsfremmende løsninger nødvendigvis må bygge på internationale standarder. Derfor mener man, at en styrkelse af det internationale samarbejde, herunder et arbejde frem mod fælles standarder inden for IT sikkerhed, vil være til gavn for hele det danske samfund. En dansk IT sikkerhedsekspert peger i den forbindelse på, at internationale standarder indebærer en ny risiko, nemlig at huller i disse fælles beskyttelsesforanstaltninger vil åbne for, at hackere og vira kan trænge ind overalt, hvor standarderne er implementeret. ”Riskoen for cyberangreb vokser, og efter den 11. september er der stigende risiko for alvorligere angreb,” sagde EU-kommissær Erkki Liikanen, da EU’s ministerråd i slutningen af 2002 vedtog at styrke koordina-tionen og samarbejdet i EU om IT sikkerhed. Konkret sker det ved at oprette et center for IT sikkerhed kaldet ”Network Security Agency”. Centret, der skal stå klar i 2004, får til opgave at koordinere det IT sik-kerhedsarbejde, der foregår i medlemslandene. De nationale Computer Emergency Reponse Teams (CERT) vil spille en central rolle som bl.a. videnindsamlere og koordinatorer i de enkelte lande. DK-CERT er formand for et udvalg under EU, som har fået til opgave at udvikle et ”Early Warning System”, som skal sikre, at alle vitale samfundsområder og formentlig også virksomheder i EU-landene modtager en hurtig advarsel, hvis der fx konstateres en ny virus/orm undervejs. I DK-CERT understreger man, at advarselssystemet ikke vil kunne foregribe begivenhedernes gang, men at man meget hurtigt kan melde ud, hvis der sker noget på området. Herefter kan de enkelte virksomheder og institutioner skride til hur-tig handling med henblik på at undgå eller begrænse den potentielle skadevirkning. Med en advarsel fra systemet vil der typisk også følge informationer om, hvordan den enkelte virksomhed handler optimalt i situationen, forklarer man i DK-CERT, der sammen med EU-udvalget skal aflevere et komplet ”Early War-ning System” i januar 2004. En national dansk sårbarhedsudredning undervejs Folketinget igangsatte i 2002 arbejdet med at udforme en national sårbarhedsudredning på en lang ræk-ke samfundsområder. Det overordnede formål er at kortlægge samfundets sårbarhed og give en vurde-ring af den civile sektors beredskab i forhold til de konstaterede sårbarheder. Udredningen fokuserer på områder, som er af væsentlig betydning for samfundets sikkerhed og stabilitet, herunder bl.a. IT infra-strukturen. Arbejdet foregår i regi af Indenrigs- og Sundhedsministeriet, mens sårbarhedsudredningens sekretariat ligger hos Beredskabsstyrelsen. Den nationale sårbarhedsudredning er inspireret af tilsva-rende arbejder, som har fundet sted i både Sverige og Norge i de senere år. I Sverige under overskriften ”Säkerhet i en ny tid” og i Norge ”Samfunnssikkerhet – Veien til et mindre sårbart samfunn”. ”Underudvalget vedrørende el, naturgas- og teleforsyning samt IT forhold” er et af en række udvalg under den nationale sårbarhedsudredning. Underudvalget har til opgave at udarbejde en delrapport, som be-skriver områdets sårbarhed og de beredskabsmæssige tiltag, der findes i dag – og ikke mindst giver en vurdering af, hvor de væsentligste udfordringer findes. Den samlede nationale sårbarhedsudredning skal foreligge den 14. april 2004.

35

Når el, naturgas, tele og IT er lagt sammen skyldes det, ifølge formanden for udvalget, at de er indbyrdes afhængige af hinanden: Fx kan el- eller gasforsyningen ikke fungere uden tele og IT, ligesom hverken tele-infrastrukturen eller IT infrastrukturen kan fungere uden el. I udvalget vil man dels fokusere på sår-barhederne på de enkelte områder, dels på sårbarhederne de steder, hvor der optræder gensidig afhæn-gighed og finder overlapninger sted mellem dem. Der er dannet henholdsvis en IT , tele, gas- og el-beredsskabsgruppe. I forlængelse af sårbarhedsudredningen vil man i IT sikkerhedskontoret under IT og Telestyrelsen arbej-de videre i retning af at komme med anbefalinger til den opbygning af et egentligt IT beredskab i staten, som man i høj grad mener, at der er behov for. Chefen for IT sikkerhedskontoret oplyser, at man følger og bidrager til arbejdet på IT sikkerhedsområdet i EU – også med henblik på at skabe koordination mellem de nationale tiltag og de tiltag, der gennemføres på EU-niveau.

36

7.5. Kilder til notatet

“How to Own the Internet In Your Spare Time,” 2002. Forfatter: Bl.a. Nicholas Weaver, UC Berkeley, USA. Kan downloades fra www.uritytopics/security/holes/story/0,10801,75315,00.html. ”Samfundets sårbarhed som konsekvens af IT anvendelsen”. Rapport fra Forsvarsministeriet, september 2001. Intern rapport – forespørgsel til IT fagligt Center i Ministeriet for Videnskab, Teknologi og Udvik-ling. ”IT sikkerhedsrådets udredning om Internet sårbarhed”. Rapporten kan downloades fra www.videnskabsministeriet.dk/fsk/publ/2001/itsikker/ren.htm ”Hvidbog om IT arkitektur”, juni 2003, kan downloades fra www.oio.dk/arkitektur/hvidbog. ”Information Security in Europe”. Rapporten er udarbejdet af KPMG IT Risk Management og kan down-loades fra IT og Telestyrelsens hjemmeside – www.itst.dk. Kommissorium for en national sårbarhedsudredning samt Kommissisorium for udvalget vedrørende el, naturgas- og teleforsyning samt IT forhold – www.im.dk Danmarks Statistik: ”Den offentlige sektors brug af IT, 2002”. ”Danske virksomheders brug af IT, 2002”. ”Befolkningens brug af Internet, 4.kvartal 2002”. Den svenske sårbarheds- og sikkerhedsudredning, del 1 og 2 samt bilag og udtalelse fra Statsministeriet kan downloades fra: http://forsvar.regeringen.se/propositionermm/sou/pdf/sou2001_41a.pdf http://forsvar.regeringen.se/propositionermm/sou/pdf/sou2001_41b.pdf http://forsvar.regeringen.se/propositionermm/sou/pdf/sou2001_41c.pdf http://www.statskontoret.se/pdf/remissvar/2001227.pdf Den norske rapport ”Samfunnssikkerhet – Veien til et mindre sårbart samfunn” kan downloades fra: http://odin.dep.no/jd/norsk/publ/stmeld/012001-040015/index-dok000-b-n-a.html. Info. om internationalt seminar om IT sikkerhed afholdt af IT og Telestyrelsen i april 2002 – www.itst.dk/wimpprint.asp?page=tema&objno=98571563. Rådet for IT sikkerhed (et uafhængigt råd, der er nedsat af Ministeren for Videnskab, teknologi og udvik-ling) – www.videnskabsministriet.dk. IT sikkerhedskontoret (under IT og Telestyrelsen) – www.itst.sk. Kommissorium for en national sårbarhedsudredning. Indenrigs- og Sundhedsministeriet – www.im.dk/Index/dokumenter.asp?o=7&n=0&d=1762&s=4 Danish Computer Emergency Response Team (CERT) – www.cert.dk. Den centrale CERT-organisation – www.cert.org. TDCs CERT-organisation – www.csirt.dk.

37

EU-kommissionen. Vedr. Internet- og informationssikkerhed. www.europe.eu.int. Den digitale Taskforce – http://e.gov.dk. FIRST (Forum of Incident Response and Security Teams) – en international organization, som har DK-CERT som medlem. www.first.org. System Administration, Networking and Security (SANS) - forsknings- og uddannelsesinstitution, som arbejder for at holde verden ajour med ny viden og erfaring og nye løsninger på IT sikkerhedsproblemer. Se bl.a. top20-liste over sårbarheder på www.sans.org/top20. US Department of Homeland Security – www.dhs.gov/dhspublic. www.forbrugersikkerhed.dk. ITEK – Dansk Industris branchefællesskab for IT virksomheder – www.itek.dk. Deloitte & Touche – interviewundersøgelse af 242 danske virksomheder om IT sikkerhed. Undersøgelsen kan rekvireres på www.deloitte.dk. ”Beretning om revision af statsregnskabet for 2002” – www.rigsrevisionen.dk. DIFO (Dansk Internet Forum) – www.difo.dk. WebTrust – info og links på www.fsr.dk/Site/FSRInfo.nsf/no/01001000. IDC – IDC Directions 2003 – www.idc.dk. DK Hostmaster A/S – www.dk-hostmaster.dk. Symantec – www.symantec.dk. Artikler i Computerworld, Jyllands Posten, Politiken, Berlingske Tidende og på IT og Telestyrelsens hjemmeside. Notatet er endvidere baseret på interview med følgende eksperter: Kjell Hermansson, IT sikkerhedschef i Danske Bank. Lars Engbro, IT chef i NESA. Ryan Schnipper, IT chef i Energi E2. Jesper Vedelsby, IT sikkerhedsekspert, MindSoft. Jørn Knudsen, IT sikkerhedskoordinator i Hovedstadens Sygehusfællesskab. Per Verdelin, IT sikkerhedschef i TDC Koncernen, formand for Dansk Industris IT sikkerhedsudvalg.

38

Per B. Hansen, leder af Center for IT sikkerhed, Alexandra Instituttet, afdelingschef i TDCs Erhvervsdivisi-on med ansvar for sikkerhedsrådgivning af erhvervsvirksomheder. Niels Nygaard, Security Manager i SAS. Preben Andersen, chefkonsulent i Uni-C og leder af DK-CERT. Freddie Drewsen, leder af Kommunikations- og Informationssektionen (CIS), Forsvarets Forskningstjene-ste. Allan Fischer-Madsen, formand for Rådet for IT sikkerhed. Henrik Brodersen, chef for IT sikkerhedskontoret, IT og Telestyrelsen. Formand for ”Underudvalget ved-rørende el-, naturgas- og teleforsyning samt IT forhold” under den Nationale Sårbarhedsudredning. Lars Hagerup, kontorchef i Amtsrådsforeningen med ansvar for IT sikkerhed. Christian Wernberg-Tougaard, Account Manager i Public Sector, CSC Danmark A/S. Steen Bernt Jensen, kontorchef i Rigsrevisionen med ansvar for IT revision i statslige virksomheder.

39

40

Teknologirådets udgivelser 2002 – 2004

Teknologirådets rapporter: ”Medicin til raske –en syg idé?” Resumé og ekspertoplæg fra konference på Christiansborg den 21. januar 2004 Teknologirådets rapporter 2004/3. ”Sundhedsrisici ved mobiltelefoni” Resumé og redigeret udskrift af høring i Folketinget Den 10.marts 2004 Teknologirådets rapporter 2004/2. ”Oil-based Technology and Economy – Prospects for the future” En udredning fra en arbejdsgruppe nedsat af Teknologirådet og Ingeniørforeningen i Danmark. Teknologirådets rapporter 2004/1 ”Genmodificerede afgrøder i udviklingslande – udfordringer for udviklingshjælpen” En rapport fra en arbejdsgruppe nedsat af Teknologirådet Teknologirådets rapporter 2003/4. ”Olietransport gennem danske farvande” Resumé og redigeret udskrift af høring i Folketinget den 14. maj 2003. Teknologirådets rapporter 2003/3. ”Pris på miljøet?” Konsensuskonference afholdt af Teknologirådet. Teknologirådets rapporter 2003/2. ”Embryonale stamceller” Høring om anvendelse af stamceller i forskning og behandling. Resumé og redigeret udskrift af høring i Folketinget den. 23. januar 2003.03. Teknologirådets rapporter 2003/1. ”Det aldrende samfund: Hvad har vi lært? Er der behov for nye tiltag?”. Resumé og redigeret udskrift af høring i Folketinget den 25. oktober 2002. Teknologirådets rapporter 2002/16. ”Elektroniske patientjournaler”. Lægmandsvurdering afholdt af Teknologirådet august til oktober 2002. Teknologirådets rapporter 2002/15. ”Biobanker” Teknologirådets rapporter 2002/14. ”Open source software – i den digitale forvaltning”. Analyse og anbefalinger udarbejdet af en arbejdsgruppe under Teknologirådet oktober 2002. Teknologirådets rapporter 2002/13. ”Det aldrende samfund: Sundhed, omsorg og forebyggelse. Kan indsatsen forbedres?”. Resumé og redigeret udskrift af høring i Folketinget den 19. april 2002. Teknologirådets rapporter 2002/12. ”Hormonforstyrrende stoffer”. Resumé og redigeret udskrift af høring i Folketinget den 25. april 2002. Teknologirådets rapporter 2002/11. ”IT og arbejdsvilkår”. Rapport fra et perspektivværksted afholdt i marts 2002. Teknologirådets rapporter 2002/10.

”Universiteter og erhvervsliv”. Resumé og redigeret udskrift af høring i Folketinget den 29. april 2002. Teknologirådets rapporter 2002/9. ”Test af vores gener”. Slutdokument og ekspertindlæg fra konsensuskonference afholdt af Teknologirådet den 31. maj – 3. juni 2002. Teknologirådets rapporter 2002/8. ”Alternativ behandling”. Resumé og redigeret udskrift af høring i Folketinget den 19. marts 2002. Teknologirådets rapporter 2002/7. ”Patenter på Software”. Resumé og redigeret udskrift af seminar i Folketinget den 20. februar 2002. Teknologirådets rapporter 2002/6. Andre udgivelser: ”Farmakogenetikkens fremtid i Danmark” BIOSAM, oktober 2003. ”Den globale centrifuge. Et debatoplæg om teknologi og globalisering”. Teknologirådet, april 2002. Nyhedsbrevet ”Fra rådet til tinget”: Nr.193 04/04: Risiko ved mobiltelefoni? Nr.192 04/04: Når den billige olie slipper op Nr.191 03/04: Brint i busserne om 10-15 år Nr.190 02/04: Infrastruktur åben for cyberterror? Nr.189 02/04: Hold hus med elforbruget Nr.188 11/03: Drop ja eller nej til GMO Nr.187 11/03: Dansk energi-vision efterlyses Nr.186 10/03: IT-privacy skal forbedres Nr.185 06/03: Mens vi venter på ulykken Nr.184 06/03: Usikker pris på miljøet BIOSAM Informerer: Nr.18 05/04: Æg og sæd Nt.17 05/04: Doktor, hvordan har mine gener det? Nr.16 12/03: Patent på mennesker Nr.15 11/03: Farmakogenetik i Danmark TeknologiDebat Fokus: TD2/2004: Mere vand – mindre land TD1/2004: Årsberetning 2003 TD 4/2003: Sårbarhed i cyberspace TD 3/2003: Hov, er vi løbet tør? TD 2/2003: Pillenationen DK – fixer vi os ud af prob. TD 1/2003: Elefanter, rynker og …./Årsberetning 2002 Alle Teknologirådets udgivelser kan læses og hentes gratis fra Rådets hjemmeside www.tekno.dk Gratis nyhedstjenester: • Abonner på Teknologirådets elektroniske

nyhedsbrev TeknoNyt, der orienterer om hvad der sker i Teknologirådet og i teknologiens verden. Send en mail til teknonyt@tekno.dk

• Abonner på Teknologirådets nyhedsbrev til Folketinget ”Fra rådet til tinget” ved at sende en mail til rtt@tekno.dk