”Forstår du, hvorfor jeg kalder it-sikkerhed for branchernes grimme ælling”.
Sådan lyder et afsluttende suk i en mailtråd om it-sikkerheden i Capitol i Washington D.C. og herhjemme. Sukket kommer fra it-eksperten Poul-Henning Kamp, respekteret også for sit engagement i teknologiens konsekvenser.
I tråden nævner Kamp, at der herhjemme end ikke stilles lovkrav om autorisation af it-sikkerhedsfolk, i modsætning til i de fleste andre fag som elektriker, VVS’er eller læge.
Kamps suk får tankerne væk fra optøjerne ved Capitol og fra fotoet af senator Nancy Pelosis åbne computer, og jeg genlæser H.C. Andersens eventyr om den grimme ælling. Jovist, der er mange ligheder, også til hele it-branchen – ikke mindst historisk set. Kanøflet i andegården, fra direktionslokaler til Christiansborg. For mærkelig, for fremmed, skuffende. Plaget af et ry for at være et bundløst hul.
Resultatet er kendt. For få, der vælger en it-uddannelse, datalæk, ingen it-minister, ingen it-havarikommission, intet autorisationskrav, et udsultet datatilsyn med videre. It ses tilmed jævnligt brugt som prügelknabe for ledelsessvigt. Andegårdene fik så et gevaldigt wakeup call, da Mærsk fik et milliardtab efter NotPetay-angrebet.
Min mail til Poul-Henning Kamp skyldtes hændelser i USA. Fotoet af Pelosis pivåbne computer, rapporter om andre åbne computere i Capitol samt to stjålne laptops.
Oveni kom skrabningen af indholdet fra Parler – højreekstremisternes Twitter – samt afsløringen måneden før af, at fremmede kræfter havde installeret bagdøre i tusindvis af systemer gennem hack af Solarwinds software, der bruges til it-overvågning og netværksstyring.
”Lyttes der nok til sikkerhedsansvarlige”, spørger jeg Kamp og på Twitter, selv om jeg ved, at det kniber.
”Der lyttes, men der handles ikke nok”, svarer Kamp også med henvisning til, at Solarwinds var advaret år tilbage af egne folk om sårbarhed.
Andre nævner mangel på respekt grundet brodne kar. Visse sikkerhedsrådgivere har konstant overdrevet risici. Andre var klamphuggere, og faget var i starten business for lidt for hurtige drenge.
”Det er ikke ulovligt at være inkompetent til it”, skriver Kamp. ”Men it-sikkerhed bør være autoriseret arbejde også grundet GDPR. Med autorisation følger krav om en ansvarsforsikring, og forsikringsselskaberne skal nok forstå at skrue det faglige niveau i vejret”.
Men kan it-branchen blive en smuk svane? Næppe. Så længe softwarebranchen fortsat slipper for at have produktansvar, vil der stadig gå alt for meget alt for galt.