I budgetpropositionen för 2010 har regeringen angivit att det finns anledning att se över informationssäkerhetsfrågorna.No shit. Han måste läsa min blogg.
I brevet uppdras till MSB att "lämna förslag på åtgärder för att förebygga och hantera IT-incidenter [...]", vilket MSB nu gjort i form av en 69-sidig rapport.
Jag tycker att MSB:s förslag är överlag vettiga. Jag gillar särskilt punkten "MSB avser att utreda hur ett system för obligatorisk IT-incident-rapportering skulle kunna införas för statliga myndigheter.".
Det är nämligen fortfarande så att de allra, allra flesta som drabbas av IT-brott försöker tysta ner saken - det gäller såväl företag som myndigheter. För det mesta handlar det om att man är orolig för dålig publicitet. Jag känner till en incident där det skedde allvarliga intrång hos flera myndigheter via system som placerats hos dem av en outsourcing-leverantör. Fjärrinloggning med okrypterad telnet är... ingen bra idé.
Ledde det till polisanmälan och brottsutredning? Nä. Leverantören betalade skadestånd till myndigheterna i fråga, men själva brottet utreddes aldrig. Varken myndigheterna eller leverantören ville figurera i pressen.
En rapportskyldighet till SITIC skulle åtminstone vara ett första steg för att faktiskt göra nånting när en myndighet blir utsatt för IT-brott.
(I förbigående kan man förresten notera att Google gör allting rätt genom att inte lägga locket på när de drabbas av intrång.)
Men i första hand är MSBs rapport sextionio sidor argumentation för att SITIC (hej, SITIC!) ska överföras från PTS till MSB. Det är inte så konstigt, eftersom den frågan just nu utreds i utredningen Fö 2009:04, "Viss översyn av ansvarsfördelning och organisation när det gäller samhällets informationssäkerhet". Som jag skrivit tidigare ska Fö 2009:04 ta ställning till huruvida SITIC ska överföras till MSB (rätt!) eller till FRA (fel, fel, fel!).
4 kommentarer:
Utredningen har fått förlängt till 1 februari. http://www.regeringen.se/sb/d/12508/a/137915f
Aschdå, då får jag hålla tummarna ett tag till.
(Lite jobbigt att skriva med hållna tummar bara.)
(Jag tror att det här är en bättre länk.)
Finns det någon som helst kompetens på området hos MSB då, eller är det bara en administrativ åtgärd och personalen är kvar?
Skicka en kommentar