Månedens udvalgte: Samfundssind og Coronapas

25. marts 2021 - I denne Månedens Udvalgte fortæller Jacob Herbst om deltagelse i forskellige Advisory Boards, nedsat under Coronapandemien, som er med til at rådgive omkring smittesporingsappen og nu det nye Coronapas. Men hvordan kan det ene blive en succes, når det andet måske ikke helt levede op til potentialet?

Hos Dubex har vi for mange år siden besluttet, at vi aktivt skal deltage og medvirke i den offentlige debat og vidensudbredelse omkring cyber- og informationssikkerhed. Naturligvis medvirker det til at skabe opmærksomhed omkring Dubex, men vi ser det også som en måde at være med til at løfte et samfundsansvar om at sikre god cyber- og informationssikkerhed, og særligt kompetenceudvikling ligger os stærkt på sinde.

Dette er noget vi anser som kritiske og væsentlige elementer i et højt digitaliseret samfund som det danske. Digitalisering er en væsentlig og vigtig agenda, som vi gerne vil understøtte ved at dele ud af vores spidskompetencer.

Dette betyder bl.a., at vi prioriterer at bidrage til undervisningsaktiviteter f.eks. ved at stille forelæsere og undervisere til rådighed for skoler og uddannelsesinstitutioner, at vi de seneste år har bidraget aktivt til den Nationale cybersikkerhedsmåned, og at vi deltager i en lang række råd, nævn, arbejdsgrupper, høringer m.m. i forbindelse med sikkerhedsinitiativer hos myndigheder og interesseorganisationer.

En positiv udvikling

Som eksempel på dette har vi bidraget til de nylige vejledninger omkring sikker brug af IoT og været med til at udarbejde det nye etiske kodeks for sikkerhedstest.

For mit eget vedkommende betyder det, at jeg i kraft af min rolle som CTO i Dubex bl.a. er blevet udpeget som medlem af regeringens Cybersikkerhedsråd, og jeg er for nyligt også blevet udnævnt som medlem af det nye Virksomhedsforum for Digital Sikkerhed.

Som en udløber af min deltagelse i Cybersikkerhedsrådet har jeg det sidste år har været med i Advisory Boardet for den nationale danske smitte|stop-app og har netop også takket ja til at varetage en lignende rolle i Advisory Boardet for det kommende digitale danske Coronapas. I begge Advisory Boards deltager jeg som repræsentant for Cybersikkerhedsrådet, dvs. det er min primære rolle at rådgive og vejlede omkring cybersikkerhed – altså at løsninger er sikkerhedsmæssigt fornuftigt skruet sammen.

At der overhovedet bliver nedsat denne form for Advisory Boards i forbindelse med offentlige it-projekter, er en velkommen nyskabelse. Advisory Boardet for smitte|stop blev stablet på benene efter at det første udkast til en dansk app til smitteopsporing udløste voldsomme diskussioner omkring frygt for sporing og mistet privatliv i løsningen – og en række smittesporingsapps i andre lande i øvrigt kørte af sporet pga. manglende beskyttelse af brugernes oplysninger.

De danske myndigheder besluttede på denne baggrund, at det gav mening at inddrage en række eksterne eksperter til at rådgive omkring løsningen for at sikre, at man på den måde kom omkring alle aspekter. Der blev derfor nedsat et Advisory Board, der, udover mig som repræsentant for Cybersikkerhedsrådet, også omfatter deltagere fra universiteterne med speciale i smitteopsporing samt eksperter fra Dataetisk Råd med fokus på de dataetiske perspektiver og beskyttelse af privatliv.

Med på hele rejsen

I starten var arbejdet i smitte|stop Advisory Boardet meget fokuseret på at få identificeret, hvad kernebehovet for løsningen var og så få valgt den teknisk bedste løsning, som sikrede så tilpas meget sikkerhed og privatlivsbeskyttelse for brugerne til, at den valgte tekniske løsning og sikkerhed ikke kunne blive et argument mod anvendelse af appen. Det var således den samlede indstilling i Advisory Boardet, at borgernes tillid til løsningen er yderst vigtig og derfor et kernekrav til løsningen.

Det var blandt andet på denne baggrund, at man valgte at basere smitte|stop-appen på den Google- og Apple-udviklede teknologi til ”Logning af eksponering for COVID-19” – hvilket egentlig er lidt paradoksalt, da netop de store teknologivirksomheder er berygtet for deres normalt sløsede omgang med persondata.

Efter en grundig vurdering af deres teknologi var det dog den samlede vurderingen, at det faktisk var en god løsning både i forhold til sikkerhed og privatlivsbeskyttelse. Da mange andre lande valgte samme løsning, gav dette samtidig den store fordel, at den danske smitte|stop-app kunne komme til at tale sammen med tilsvarende apps i andre lande. En længe ventet funktion der kom på plads i løbet af efteråret.

Udover de rent faglige spørgsmål, som Advisory Boardet oprindeligt var tiltænkt, er Advisory Boardet blevet mere bredt involveret i beslutninger omkring udvikling af smitte|stop-appen – dvs. boardet er også med til at prioritere, hvilke funktioner der skal implementeres, og hvad der er vigtigt.

Det har generelt været vores oplevelse, at der har været en meget høj grad af lydhørhed fra myndighederne omkring de anbefalinger, vi er kommet med fra Advisory Boardet, og vi faktisk har været med til at gøre en forskel for den nuværende løsning. Det er min oplevelse, at vi i dag har en god og velfungerende løsning, som lever op til de krav, man kan stille i forhold til sikkerhed og privatlivsbeskyttelse.

Har potentiale til mere

Den danske smitte|stop-app har desværre ikke fået den udbredelse, som vi alle sammen havde håbet på – i dag er vurderingen, at ca. en tredjedel af alle har den installeret, hvilket gør, at kun ca. en tiendedel af alle kontakter mellem mennesker bliver registeret. Appen har haft nogen effekt mht. at stoppe smittekæder, men har på grund af den relativt lave udbredelse i befolkningen ikke gjort den forskel, som jeg stadig mener, at den har potentiale til.

Vi må desværre også erkende, at det tilsyneladende er samme billede, vi ser i andre europæiske lande, mens særligt lande i Asien har stor succes med at anvende mobilapps i deres smitteopsporing. Men de steder har de også en anden tilgang til både privatlivsbeskyttelse, og hvordan man ”motiverer” (tvinger) borgerne til at installere appen. Det er effektivt, men formentlig ikke noget der ville kunne accepteres i en dansk sammenhæng.

Hvorfor blev den aldrig så populær?

Personligt tror jeg, der er række årsager til, at smitte|stop ikke er blevet en større succes. Appen blev lanceret på et tidspunkt, hvor smittetallene allerede var lave, og det har formentlig medført, at mange ikke længere syntes, der var behov for at hente den. Der var desværre også et par uheldige historier om manglende sikkerhed og notifikationer, som medvirkede til at underminere tilliden til appen – desværre skyldtes det mest misforståelser, mens de tekniske problemer alle er blevet rimelig hurtigt løst. Samtidig har der ikke været politisk fokus på at få appen brugt, og den er ikke blevet set som et værktøj til at undgå restriktioner og nedlukninger.

Det er bl.a. min vurdering, at vi nok kunne have tilladt restauranter m.m. at holde mere åbent, hvis man havde krævet, at gæsterne have smitte|stop installeret – på den måde kunne vi effektivt have opsporet nye smittekæder, skulle de opstå. På tilsvarende vis har smitte|stop også været fraværende på stort set alle pressemøder, hvor det ellers ville være oplagt at opfordre til at bruge den.

Samlet medførte alt dette, at alt for få havde smitte|stop-appen da smittetallene eksploderede i december måned. Jeg har desværre svært ved at se, at smitte|stop på nuværende tidspunkt indfrier sit potentiale, men håber på at få appen sat i spil, hvis vi bliver ramt af nye virusvarianter og flere Coronabølger – eller hvis vi skulle være så uheldige at blive ramt af endnu en pandemi.

Det nye Coronapas har bedre udsigter

Som del af den kommende genåbning af samfundet er der lagt op til, at et digitalt Coronapas kommer til at spille en væsentlig rolle, ligesom mange håber, at et Coronapas kan redde udlandsrejserne i sommerferien.

Da det digitale Coronapas på denne måde bliver et væsentligt værktøj i genåbningen og kommer til at give brugerne en lang række muligheder, forventer jeg ikke, at vi kommer til at se problemer med at få det udbredt. På mange punkter er et Coronapas mere enkelt end smitte|stop, da der ikke sker en registrering af, hvem vi mødes med, og passet basalt set bare skal kunne præsentere nogle data, der er hentet fra de centrale sundhedsdatabaser. Samtidig vil vi formentlig være tvunget til at acceptere en vis slingrerille omkring kontrol, da Coronapasset også skal findes i en papirudgave og på sigt fungere i resten af EU.

Naturligvis skal udviklingen af disse løsninger gå stærkt, men det må ikke gå så stærkt, at vi sætter basale krav til sikkerhed og privatlivsbeskyttelse over styr, og heldigvis lader der til at være god forståelse for dette synspunkt, ligesom der fra politisk side af er lagt en række krav ind. Det er blandt andet vigtigt, at det er fra politisk hold, det besluttes, hvordan Coronapasset skal kunne anvendes.

Læs mere fra Jacob

Månedens udvalgte: Læren fra SolarWinds supply chain-angrebet

Supply chain-angreb kan have store konsekvenser for virksomheder og stater rundt om i verden. Det seneste angreb på SolarWinds er et godt eksempel på, hvor galt det kan gå. I månedens udvalgte fortæller Jacob Herbst om angrebet, og hvordan man som virksomhed kan ruste sig mod lignende angreb.

Månedens udvalgte: God cybersikker jul

Mens vi går på ferie, arbejder de cyberkriminelle. I månedens udvalgte sætter Jacob Herbst fokus på nogle af de ting, vi skal være opmærksomme på, så vi forhåbentlig ikke får besøg af andre fremmede end julemanden.

Månedens udvalgte: Ransomware… Fortid, nutid og fremtid

Fortællingen om ransomware går helt tilbage til 1989, og forventnigen er, at den vil fortsætte langt ud i fremtiden. Teknologien, metoderne og angriberne udvikler sig hele tiden, og det er for de fleste et spørgsmål om tid, før de oplever et ransomware-angreb. Jacob Herbst gennemgår historien.

Tak for din henvendelse. Du hører fra os hurtigst muligt.