Wikipedia

Rådet for større IT-sikkerhed: Forskelle mellem versioner

Gennemse historikken interaktivt
← Gå til forrige forskelGå til næste forskel →
Content deleted Content added
VisueltWikitekst
m +kat
No edit summary
Linje 1:
'''Rådet for Større IT-sikkerhed''' blev oprettet i 2008 og ophørte ved stiftelsen af [[Rådet for Digital Sikkerhed]] i 2013. Rådet havde til formål, at lette overgangen fra analogt samfund til digitalt samfund gennem øget fokus på [[It-sikkerhed]].
 
= Historien bag =
 
== Et tilbageblik ==
''Af tidligere formand for Rådet for Større IT-Sikkerhed Christian Wernberg-Tougaard og tidligere næstformand og rådets grundlægger Kim Aarenstrup.''
 
"IT-sikkerhed er som vejret - alle snakker om det, men ingen gør noget ved det". Dette var en af pointerne på det stiftende rådsmøde - at nok snakkes der rigtig meget om it-sikkerhed og relaterede problemstillinger, men desværre er der ikke så mange der rent faktisk gør noget aktivt for at skabe forandring.
 
Men sagen er jo, at mens en organisation som Rådet for Større Færdselssikkerhed har eksisteret i rigtig mange år - og derfor har haft lang tid til at påvirke alle til at skabe en kultur omkring sikker adfærd i trafikken - så har IT og internet kun de seneste 10-15 år haft fat i den digitale borger. Der er derfor et massivt underskud af læring om hvad der skal til for at færdes sikkert i den digitale verden.
 
Dette afspejles i vidensniveauer både blandt politikkere, embedsmænd og medier, og IT-sikkerhed er derfor ofte blevet forstået alene som en teknologisk problemstilling - som nogle nørder burde gøre et eller andet ved. Men it-sikkerhed er langt mere end blot teknologi - det er også kultur og adfærd.
 
=== '''Det første råd''' ===
Et af de allerførste råd som beskæftigede sig med it-sikkerhed var "Rådet for it-sikkerhed". En forløber havde siden 1995 beskæftiget sig med bla. digitale dokumenters bevisværdi, men i slutningen af 1998 mente daværende Forskningsminister Jan Trøjborg, at nu måtte tiden være inde til at lave et rigtigt "Rådet for IT-sikkerhed". I den oprindelige pressemeddelse fra 1998 hedder det:
 
Det er ganske interessant at lægge mærke til, at Rådet for IT-sikkerhed fik mandat til at behandle egne sager og henvendelser fra borgere, virksomheder og offentlige institutioner. På tegnebrædtet var altså et både rådgivende og handlingsorienteret organ.
 
Medlemmerne af det første råd var:
* Professor, dr.jur. Mads Bryde Andersen, Københavns Universitet,formand
* Advokat Janne Glæsel, Bech-Bruun & Trolle
* Direktør Peter Landrock, Cryptomathic
* Konsulent Steffen Stripp
* Direktør Jan Carlsen, Institut for datasikkerhed
* Kommunaldirektør Estrid Oxlund, Holstebro Kommune
* Statsautoriseret revisor Carsten Heilbuth, KPMG
 
=== '''Det andet råd''' ===
Det første råd overlevede både Jan Trøjborg og Birte Weiss som forskningsministre og levede også videre de første par år efter at Helge Sanders var blevet minister. I en pressemeddelse fra marts 2002 beskrives visionen forden nye organisering af IT-sikkerhedsarbejdet således:
 
Det er vigtigt at lægge mærke til, at Rådet for IT-sikkerhed blev navngivet som "Regeringens" - ikke Forskningsministeriet.
 
Henover foråret tænkes der - og i forlængelse af offentliggørelsen af Finanslovsforslaget for 2003 udtaler ministeren i en pressemeddelelse fra 28. august 2002:
 
Der var altså fastsat en national strategi for it-sikkerhedsarbejdet - forankret i en ambition om et bredt og vidtgående politisk flertal bag it-sikkerhedsarbejdet. Samtidig var det en klar ambition om at det kommende råd skulle kunne give offentligheden viden og indsigt fra erhvervslivet såvel fra forskerkredse.
 
Der skulle dog gå små 4 måneder før de relevante deltagere i "Rådet for it-sikkerhed" blev udpeget - i en pressemeddelse af 12. december 2002 hedder det:
 
Og udvalget kom til at bestå af:
 
Der var en god blanding af erhvervsliv, offentlig sektor ledere, og ... nej, forskere var der ikke mange af. Men meningsdannere og personer med mod til at tale sagen. Og det sidste viste sig at være et problem. For nok var der en politisk ambition om at højne it-sikkerhedsdebatten og skabe flere muskler ved at gøre det nye "Rådet for it-sikkerhed" til den offentlige sektors vidensbase og tænketank om it-sikkerhed - men realiteterne viste sig kun alt for snart. Gang på gang blev initiativer og ideer forkastet og treneret - med stigende fustration blandt medlemmerne af rådet til følge.
 
Et af anstødsstenene var den manglende realisering af kommissoriet - når nu man havde fremhævet i kommissoriet af 11. december 2002, at Rådet var uafhængigt - og at man frit kunne ytre sig om alle relevante problemstillinger, hvorfor blev det så ikke fulgt op af penge og uhildet arbejdsindssats fra ministeriets side - fra det kompetencecenter, som fungerede som sekretariat for Rådet? Kommissioriet (gengivet nedenfor) blev også anklaget for at være tandløst. Men kommissoriet var ikke tandløst. Det havde derimod alt, alt for mange tænder i forhold til de givne økonomiske rammer. Der var ikke den it-sikkerhedsmæssige problemstilling som Rådet ikke kunne kaste sig over - og fx et emne som "Initiativer i forbindelse med validering og sikring af kritisk infrastruktur samt koordinering af beredskabsplaner indenfor IT" var (er!) så omfattende at der skal anvendes mandeår på at skabe sig overblik og indsigt - noget som den dag i dag ikke er erhvervet.
 
====== Kommissoriet lød således: ======
Også udadtil blev den manglende handlekraftighed noteret - i en leder i Ingeniøren den 6. marts 2005 skriver Kurt Westh Nielsen under overskriften "Luk Rådet for IT-sikkerhed" blandt andet:
 
Og lederartiklen afsluttes med:
 
Der skulle dog gå næsten præcis 3 år før lederskribentens idealløsning blev realiseret med skabelsen af "Rådet for Større IT-sikkerhed" - og i mellemtiden blev råd nedlagt, oprettet og forkastet. Mængden af modeller for hvordan it-sikkerhedsarbejdet skulle strikkes sammen i Danmark lod til at være en evig kilde til arbejde for Videnskabsministeriets embedsmænd. Helge Sander undlod pr. januar 2006 at forlænge mandatet for det siddende "Rådet for it-sikkerhed", med Allan Fischer Madsen som formand, hvorved levetiden for Rådet blev 3 år.
 
=== '''Det tredje råd - og de 3 ben''' ===
Nedlæggelsen af "Rådet for IT-sikkerhed" blev kritiseret fra flere sider - og i et forsøg på at styrke området nytænkte Sanders embedsmænd en trekants-strategi. Væk var problembarnet "Rådet for IT-sikkerhed" som mere og mere intenst havde krævet frihed og penge, nu skulle blikket rettes mod styring og kontrol med budskaberne omkring IT-sikkerhed.
 
De 3 ben var: a) IT-sikkerhedsproblemstillinger kunne debateres i en bred ramme i regi af Teknologirådet, b) IT-sikkerhedskontoret blev flyttet fra ministeriet til IT- og Telestyrelsen og c) oprettelsen af IT-sikkerhedspanelet.
 
Oprettelsen af "IT-sikkerhedspanelet" skete med bred forankring i forskningsmiljøer, industrien og diverse organisationer og med stor kontrol idet panelet kun skulle rådgive ''ministeren'' om IT-sikkerhedsmæssige problemstillinger. Det var altså ikke Regeringens råd, det var ministerens. Og allerede på det første møde gik det op for rådsmedlemmerne, under ledelse af Hanne Bender, at der var langt fra panelet til ministeren. Rådet havde intet at sige i den aktuelle debat - og Rådet blev som oftest brugt til at sikre, at ministeren kunne trenerere it-sikkerhedsmæssige problemstillinger ved at sige "Sagen er forelagt IT-sikkerhedspanelet til udtalelse".
 
=== '''Rådet for Større IT-Sikkerhed''' ===
I samme periode var Dansk IT i færd med at revitalisere en Internet Sikkerheds Task Force, som Kim Aarenstrup, der er koncern it-sikkerhedschef i A.P. Møller - Mærsk, var nyudnævnt formand for.
 
En af de udfordringer som denne taskforce havde, var at fastlægge sammensætning, ansvarsområde og omfang. Da det kunne konstateres at regeringen, stik imod udviklingen i den øvrige verden, åbenbart nedprioriterede it-sikkerheden, rettede Kim Aarenstrup et forslag til Dansk IT, om at Internet Sikkerheds Taskforcen blev nedlagt og at der i stedet blev etableret et egentligt it-sikkerhedsråd i Dansk IT's regi, helt uafhængigt af eventuelle politiske vinde.
 
Dansk IT's bestyrelse fandt idéen så interessant, at man i maj 2006 etablerede Rådet for IT- og Persondatasikkerhed med Kim Aarenstrup som rådets formand. Rådet skabte ret hurtigt medieopmærksomhed, idet man så etableringen som en slags protest mod, og reaktion på Sanders nedlæggelse af ministeriets it-sikkerhedsråd.
 
====== '''Tankerne om et "Rådet for Større IT-Sikkerhed"''' ======
Rådet for IT- og Persondatasikkerhed fra flere sider kritiseret for sin forankring i en interesseorganisation, og rådet fik aldrig rigtigt fik den politiske styrke som var ønsket både fra Kim Aarenstrups og Dansk IT's side.
 
Forskellige personer arbejdede på at frigøre Råd for IT- og Persondatasikkerhed fra Dansk IT. Parallelt hermed opstod der modstridende holdninger mellem rådets formand og Dansk IT omkring Sanders etablering af en ny it-sikkerhedskomité som skulle afløse det it-sikkerhedspanel hvis mandat nu var udløbet.
 
Kim Aarenstrup mente at konceptet med at organisere it-sikkerhed under VTU havde spillet fallit så mange gange, at det var synd og skam at bruge dygtige folks tid og evner på at starte endnu et it-sikkerhedsorgan op i VTU regi. Dansk IT var imidlertid involveret i forhandlingerne om etablering af it-sikkerhedskomitéen, hvor Dansk IT var blevet tilbudt et sæde, og Dansk IT påbød at rådsformanden ikke udtalte sig offentligt om politiske forhold.
 
Dette fik Kim Aarenstrup til at trække sig som formand for Råd for IT- og Persondatasikkerhed, og i stedet den 27. februar 2008 etablere det 100 procent uafhængige Rådet for Større IT-Sikkerhed. Den væstentligste motivationsfaktor for dette var at skabe et it-sikkerhedsråd, der på samfundsborgernes vegne, kunne ytre sig om hvad rådet fandt relevant og vigtigt, uden at politiske-, økonomiske- eller fagorganisatoriske kræfter kunne hindre dette. Kim Aarenstrup tog initiativet og han lagde i den forbindelse vægt på at Rådet for Større IT-Sikkerhed også skulle være uafhængigt af ham. Rådet skulle "eje sig selv" og være sin egen højeste myndighed.
 
Rådet for Større IT-Sikkerhed fik ret hurtigt momentum, idet en lang række aktører tilbød deres assistance. Der blev afholdt et formøde og etableret et midlertidigt forretningsudvalg. Der blev holdt et formelt stiftende rådsmøde den 19. maj 2008.
 
Ved det stiftende rådsmøde deltog i alt 21 aktører fordelt på tre sektorer (privat, offentlig/halvoffentlig og forskning), og Rådet er i dialog med en række øvrige aktører som har meldt deres interesse for sagen.
 
Få uger efter rådets etablering, førte Rådets deltagelse i den offentlige debat til at Videnskabsministeren blev kaldt i samråd. Dette er ikke er sket i nogen sager rejst af de tidligere råd. At en minister kaldes i samråd er ikke nødvendigvis vigtigt i sig selv, men for Rådet for Større IT-Sikkerhed var det et tydeligt tegn på at den "uafhængige opskrift" virkede og at Rådet i kraft af sin bredde og tyngde faktisk kan sætte nogle af de dagsordener som tidligere råd har haft svært ved at komme igennem med.
 
Rådet var dog ikke på det niveau det skulle og burde være, da interesseorganisationen Dansk IT ikke, trods adskillige invitationer, ønskede at deltage. Først en del år senere, besluttedes det under en generalforsamling i Råd for Større IT-Sikkerhed, at nedlægge sig selv, til fordel for skabelsen af et nyt og endnu større fællesråd, hvor Dansk IT og andre aktører tilsluttede sig. Rådet for Større IT-Sikkerhed blev således formelt og endeligt nedlagt den 21. maj 2013, og rådets midler og en del medlemmer overførtes til Rådet for Digital Sikkerhed.
 
== Eksterne links ==
Hentet fra "https://da.wikipedia.org/wiki/Rådet_for_større_IT-sikkerhed"