Fra stopklods til partner
Nets har alt, som kriminelle sukker efter. En port til penge og vigtige data, og nøgler fordelt til 4,7 millioner almindelige mennesker i form af NemID. Men Nets er genstridig med et solidt forsvar, der afspejler risici. En organisatorisk nyskabelse er det også blevet til for at sikre NemID yderligere. Forretningsdelen og sikkerheden er nemlig tæt på at sidde på skødet af hinanden.
Den organisatoriske nyskabelse hedder NemID Security. Den er placeret som en del af forretningsenheden, der har ansvaret for NemID, og gik i luften for knapt et år siden.
Sikkerhedsenheden har to medlemmer, den ene med titlen Head of NemID Security, og den anden med titlen Risk and Compliance Manager. Sidstnævnte har altså også ansvar for, at systemerne lever op til EU-forordninger og andre krav. Posten bestrides af Suzette Wagner, der har arbejdet med sikkerhed i 15 år.
Wagner er datalog fra Københavns Universitet og skrev speciale i digital signatur. På CV’et står blandt andet Herlev Hospital, Region Hovedstaden, Sundhedsstyrelsen og Fødevarestyrelsen.
Bestemmer udvikling
Forretningen er drivhjulet for udviklingsarbejdet. Det er forretningen, der ser nye muligheder for NemID til borgere, medarbejdere, tjenesteydere og banker. Og det er forretningen, der i vidt omfang erfarer, hvis der opleves uhensigtsmæssigheder. Men det er ikke altid, at forretningen fra starten er klar nok over, hvilke sikkerhedsmæssige udfordringer der ligger i den påtænkte nyudvikling og videreudvikling.
”Sikkerhed har generelt set en risiko for at blive set på som en stopklods af forretningen,” siger Suzette Wagner. ”Men når man sidder helt tæt på forretningen, kan man få en bedre samtale om, hvor man er på vej hen, og så bliver det lettere at stille kravene helt fra starten i stedet for at nødvendige sikkerhedskrav måske kommer haltende, når udviklingsarbejdet er sat i gang.”
1-1 relation
Hvad der kan kaldes en 1-1 relation, gør, mellem forretning og sikkerhed, gør at forretningen involveres mere i sikkerheden. ”Og det giver også bedre awareness,” siger Suzette Wagner.
I forvejen har Nets selvfølgelig sin store afdeling for informationssikkerhed med sin egen CERT (Computer Emergency Reponse Team) og egne folk, der sikkerhedstester både i relation til angreb udefra og inde. Afdelingen dækker alle Nets-aktiviteter inklusive NemID, der dog gennem NemID Security får en tand ekstra.
For Suzette Wagner, har den største aha-oplevelse foreløbig været at se, hvorledes det har ført til et brud med vaner.
Den lille organisation gør det lettere at stille sikkerhedskravene helt fra starten, fordi man har et 1-1 forhold til forretningen.
Suzette Wagner, Risk and Compliance Manager, NemID Security.
Oprydningen
”Vi fandt visse opgaver, der lå uhensigtsmæssigt, og de blev flyttet til en anden afdeling. Der sker blandt andet en oprydning,” siger Wagner.
Hendes syn på mere generelle spørgsmål om sikkerhed, udfolder sig ved spørgsmålet om, hvad der for hende som sikkerhedsmenneske ville være utopi.
”Det ville være, at alle medarbejdere og alle ledere var klædt godt på i forhold til de risici og trusler, som er nu om dage. Men det er svært for det enkelte individ at følge med,” siger Suzette Wagner. Men Nets har som andre virksomheder, dybt afhængige af IT, løbende gang i awareness-arbejdet.
Ledelsens opbakning
”Afstemte mål for sikkerheden er også afgørende for at undgå problemer. Det går ikke. at den ene side mener, at 80 procents sikkerhed koster dyrt nok, mens den anden går efter 110 procent. Enighed giver det bedste resultat,” siger Suzette Wagner.
Når emnet IT-sikkerhed ses i medierne, skrives ofte, at ledelsens opbakning er en absolut nødvendighed, men at ledelsen ofte savner engagementet. Suzette Wagner har også tidligere hørt om nogle grelle forsømmelser.
”ISO 27001 standarden er særdeles vigtig, hvad angår at sikre ledelsens opbakning. Den forudsætter, at der sker en solid risikoafvejning fra ledelsens side. Og den fortæller, hvornår en leder skal orienteres, og hvornår problemerne kan klares længere nede,” siger Wagner.
Ifølge hende er risikoen for, at ISO-standarden ender som en støvet papirtiger på hylden – som det er set hændt med den danske standard DS484 – meget begrænset.
Opgør med frygt for at erkende fejl
En tredje vigtig ting, for at det utopiske mål ikke forbliver helt utopisk, er ifølge Wagner åbenhed om fejl, så der kan drages lære af den.
”En udvikler kom for eksempel til at lægge noget i produktion, og normalt skal udviklere ikke have adgang til det. Da han opdagede, at det var sket, gik han til mig med forslag om, hvordan det kunne forhindres,” fortæller Suzette Wagner, der også har haft en leverandør i røret.
Han havde følte sig presset til at gøre nogle ting, han ikke burde, men ringede umiddelbart bagefter til Wagner, og fortalte det.
”Hvis en leverandør er bange for at blive fyret, havde vi måske intet hørt. En nulfejlskultur får både medarbejder og eksterne aktører til at trykke sig, men det tager tid at ændre kulturen og skabe den nødvendige tillid.”
Kommunikation betyder meget for sikkerhed
Meget indenfor sikkerhed afhænger af evnen til også at kommunikere godt og se, hvor kommunikationen går skævt, men på det område har Suzette Wagner en usædvanlig erfaring med i bagagen som datalog.
”Jeg var så heldig under studiet at få en slags oversætterrolle mellem dataloger og humanister, og den erfaring byggede jeg videre på, da jeg arbejdede som journalist på PC World et års tid. Jeg har også taget bifag i pædagogik, og jeg har skrevet uddannelsesmateriale for et IT-sikkerhedsfirma,” siger hun.
For hende gælder det altid om at lære sig, hvordan modtagerens verden er og lade den smitte af på kommunikationen. I sundhedsverdenen er der fx stor forståelse for nødvendigheden af kvalitetskontrol, så Wagner lagde i de år, hvor hun arbejdede med sikkerhed i sundhedssektoren, sine argumentationer tæt på, hvad der var velkendt i relation til kvalitetshensyn.