Det her kan godt gå hen og blive en lang saga...

Nu hvor selv folk som Finansministeren er begyndt at fatte at "cybersikkerhed" er et problem kan vi måske begynde at tage en diskussion om hvad vi egentlig mener med "cybersikkerhed", hvad det indebærer, hvem der skal gøre det og om vi kan leve uden cybersikkerhed og måske mere vigtigt: Om vi kan leve med cybersikkerhed.

Cybersikkerhed har altid været et problem.

Knap havde man fuldført computer beregningerne af "The Los Alamos Problem" før udskriften med resultaterne blev glemt eller tabt i et tog af John Von Neuman.

Før operation "Desert Shield/Desert Storm" briefede Chief Marshal Patrick Hine englands premierminister og efter mødet glemte hans chauffør at låse bagagerummet hvor dokumentmappen og laptopcomputeren lå, mens han købte ind. Dokumentmappen med indhold, blev returneret, men laptopcomputeren med angrebsplanene dukkede aldrig op igen. Colin Powell slutter episoden i sin selvbiografi med "We sat down and hoped..."

I slut-firserne havde jeg adgang til pinkode algoritmerne for alle væsentlige kreditkort i Europa i forbindelse med mit arbejde og de var alle noget klamp.

Idag findes der ingen computere på markedet som ikke på den ene eller anden måde udsætter ejeren for spionage og snagen i privatliv, om ikke via med vilje indbyggede bagdøre og snagesoftware, så igennem de hundrede tusinder af fejl der i gennemsnit er i softwaren på en computer, laptop, tablet eller smartphone.

Vores politikere laller rundt med selvsamme type konsumelektronik, typisk iPads, fra hvilke som et absolut minimum Apple, men sikkert også mange andre kan aflytte alt hvad de foretager sig og sågar se hvad kameraet kan se, hvis nogen angriber synes det er vigtigt nok.

At der er fundet "falske mobilmaster" i Oslo skyldes alene at nogen har taget sig tid til at kigge efter i Oslo.

I Danmark har vi end ikke en offentlig myndighed der har måleudstyr til at gøre noget tilsvarende.

På den årlige Chaos-Computer-Club konference vil det blive demonstreret hvorledes "Signal-System-7" protokollen der får telefonnet til at hænge sammen så man kan ringe fra A til B er næsten totalt uden sikkerhed af nogen art og underminerer den smule sikkerhed der er i telefonsystemet.

"Hvis vi byggede huse som vi skriver programmer ville blot en spætte kunne udslette civilizationen" sagde Gerald Weinberger -- for 40-50 år siden og vi har bygget og bygget, hurtigere og mere discount siden dengang.

Der er rygter om at et tysk stålværks højovn er blevet saboteret af "hackere", hvis det er sandt forbavser det mig ikke, en konkurrent ville finde det meget belejliget.

Vi andre kan bare takke vores held for at det ikke er et af de foreløbig næsten dusin atomkraftværker der har været inficieret af malware, eller en af de mange dumt placerede industrikemiske eller medicinske produktionsvirksomheder.

Der er overhovedet ingen formildende omstændigheder eller gode nyheder i dette emneområde og det har der ikke været i rigtig mange år.

Regeringens "strategi" for cybersikkerhed kommer ikke til at forandre en disse på det samlede billede, men en masse DJØFtyper kommer til at stille en masse ubrugelige ISO27000 spørgsmål til en masse ingeniørtyper, hvilket vil spilde alle parters tid til ingen verdens nytte.

For at det ikke skal være løgn, så består IT branchen i stort omfang af folk uden en fornuftig struktureret uddannelse.

Den smule faglig "visdom" IT branchen havde opbygget i årene 1950-1990 blev totalt udvandet, hvis ikke ligefrem hældt ud med badevandet, da DotCom årenes eufori gjorde gud og hvermand til "IT mand".

Forestil jer hvorledes kvaliteten i maskin-, el- eller kemibranchen ville udvikle sig, hvis man pludselig slog dørene op på vid gab og tog hvem som helst der kunne finde op og ned på et reagensglas ind og gav den ansvaret for butikken.

Det var hvad der skete i IT branchen.

Fra 1990 til 2000 kom der ca. 1000 gange flere folk ind i branchen og ingen af dem anede hvad "struktureret udvikling", "versionskontrol" eller "software engineering" var for noget.

Idag, 15 år efter DotCom crashet, kan man begynde at se tegn på at tidligere tiders visdom "genopdages", f.eks er det "Agile" modefænomen som har kørt de sidste fire-fem år nærmest identisk med hvorledes AT&T udviklede software tilbage i 1983.

CSCs grænseløst inkompetente sikkerhed der førte til at et stadig(!) ukendt antal danske registre med personfølsomme oplysninger blev stjålet fra deres mainframe er overhovedet ikke atypisk: Der er mange firmaer der tror at de har "cybersikkerhed" fordi de har købt en dyr "firewall" fra Cisco og alle deres computere kører "antivirus software", det siger deres "auditor" nemlig er "best practice" og så er den ged jo rundbarberet, ikke ?

Man skal være uhyggeligt IT-debil og lalleglad hvis man tror at »Vi trykker enter – og så kører det!,«

Vi har en stolt dansk tradition for Finansministre der prøver at finde på et eller andet "sound-bite" og i forhold til "vi kan snart købe hele verden" der det lige omkring par for jobbet.

Formodentligt glider regeringens "strategi" lige igennem Folketinget, det er "rugbrødslovgivning" og der er ingen derinde der har skyggen af begreb om hvor totalt ligegyldig og uden indflydelse på faktisk "cybersikkerhed" det vås vil være.

Det lyder for politikere utroligt godt og betryggende at "Center For CyberSikkerhed" skal tage sig af alt muligt og "sektoransvaret" skal indskærpes og hvad ved jeg.

Men hvis vi faktisk skal have cybersikkerhed skal der helt andre boller på suppen.

For det første skal vi have en brugbar definition på "cybersikkerhed" og vi skal have straffe for at overtræde og sjuske med den, som giver VL-grupperne grund til extraordinære møder.

Her er en hurtig lille quiz:

Hvor mange administrerende direktører er blevet straffet af en domstol for at sjofle databeskyttelse ? Hvor mange ditto er fyret for at have skidt højt og flot på "cybersikkerhed" i profittens navn ? Hvor stor en procentdel af danske IT-folk ved hvad CSC gjorde galt i beskyttelsen af deres mainframe ? Hvor mange bøder har Datatilsynet udstedt for sjusk og slendrian med persondata og hvor store var bøderne ?

Hvis regeringens "strategi" havde været lands lov og ret de sidste 10 år ville svarene have været de præcist samme.

I dag er "cybersikkerhed" implementeret på følgende måde i næsten alle større organisationer, private som offentlige:

Ansæt en "sikkerhedsansvarlig" Giv vedkommende en eller anden "review" ret/pligt, men kun for "nye projekter", de gamle "får lov at køre til de udskiftes." Giv dispensation fra reviewet og fra kravene i reviewet hver gang det vil koste penge eller tid. Hvis pressen laver en historie fyres den "sikkerhedsansvarlige" med henvisning til "at have ansvaret".

Føj dertil følgende fakta om IT-branchemiljøet:

Der er ingen form for produktansvar på software. Der er ingen brugbare uddannelse af kompetente IT-arkitekter eller IT-systemdesignere. Der er ingen uddannelse og autorisation nødig for at kunne få ansvaret for millioner af danskeres personlige oplysninger eller kritiske IT-systemer. Der er ingen indberetningspligt for IT-ulykker. Der er ingen straf eller konsekvens for beslutningstagere der gør noget IT-dumt.

Er der noget at sige til at min gode ven Artur beskriver situationen som "Shit all the way down" ?

fortsættes (når mit blodtryk er faldet lidt igen)

phk