Tuesday, October 05, 2010

Et sikkert statsbudsjett?


Ja, jeg følger jo med litt jeg også. På statsbudsjettet og sånn. Interessant det. Sikkert noe grumling over det til lunsjen på jobb i morgen tenker jeg. Jeg fant en liten nyhetssak som jeg ble litt nysgjerrig på hos Aftenposten. De har nemlig vært med ned på besøk i det hemmelige statsbudsjett-hvelvet. Slikt blir jeg nysgjerrig på.

Nå er jeg enda ikke kommet dit at jeg er bemidlet til noen seriøs aksjespekulasjon eller tilsvarende i forhold til spennende nyheter fra statsbudsjettet. Alle karamellene er vel behørig og bevisst lekket allerede fra regjeringen god tid i forveien, det interessante for mange er vel heller å finne ut hvor det blir reduserte budsjetter. Ja, eller fullstendig pengetørke i verste tilfelle. Men nå skal ikke dette bli noen politisk kommentar fra min side, dette er en blogg som fokuserer på sikkerhet generelt - og således partinøytral. :-)


Først og fremst er det fristende å sitere Departementenes servicesenter fra artikkelen i Aftenposten. "Det er egne sikkerhetsrutiner for alt vi foretar oss når det gjelder statsbudsjettet" sier de. Like greit å stikke kniven godt inn med en gang; det var vel de som også håndterte mail for blant annet Statsministerens kontor våren 2010, da jeg og en kollega gjennom vår arbeidsgiver dokumenterte deres bruk av et demonstrajonssertifikat for kryptering av mail på deres felles mailtjeneste. At SMK fremsto med digitalt sertifikat som et underbruk av Cisco i San Francisco var ikke direkte tillitsskapende i forhold til den tilliten de bør ha, gitt sin oppgave. Den rapporten finnes tilgjengelig her, og resulterte blant annet i oppslag i Dagens IT og Advokatbladet. Vi fant jo også ut i forkant av vår lansering på Nasjonal Sikkerhetsdag at Venstres Trine Skei Grande hadde tatt opp et spørsmål i Stortingets spørretime på akkurat samme tema.

Men nok om det. Grunnen til at jeg ble nysgjerrig på denne saken er nettopp alle de ledd som en slik trykksak må gjennom! Den kunne selvfølgelig bare vært en liten trykksak også, og hatt navnet "kvartalsrapport" fra et børsnotert selskap, mitt poeng forblir i stor grad det samme.

Tallene til en kvartalsrapport må nødvendigvis komme fra økonomiavdelingen i en bedrift, mens det er Finansdepartementet som klargjør de endelige tall for statsbudsjettet. Det skulle jo vært interessant å benyttet offentlighetsloven og forvaltningsloven for å begjære innsyn i den spesifikke sikkerhetsrutinen som her ser ut til å foreligge - det kunne jo vært nyttig for børsnoterte selskapers produksjon av kvartalsrapporter å få gjort en sammenligning?

I det private så vil vi typisk se at kvartalsrapporter inneholder tall fra økonomiavdelingen, signaturer fra ledelse og styre, layout og språk (på 2 eller flere språk) fra informasjon/kommunikasjonsavdeling, evt også kommentarer o.lign. fra ekstern revisor. Økonomiavdelingen kan jo ha konsulenter inne, det er gitt at flere i styret ikke selv jobber i selskapet, reklame/design/kommunikasjonsbyrået er naturlig nok eksterne. Dårlige tall blir fort bedre gjennom god layout, må vite. Det er vel en god mulighet for at innledende forklaringer til tallene også er oversatt av en ekstern translatør, enten en selvstendig næringsdrivende eller et større translatørselskap. Revisoren er også ekstern, naturlig nok.

Så spørsmålet er enkelt: hvordan sikres den elektroniske kommunikasjonsflyten mellom de ulike parter som her er nevnt? Tilgi meg for å være både nysgjerrig og pessimistisk - jeg tror ikke sikkerhetsavdelinger eller sikkerhetssjefer i stor grad har vært involvert i dette enda. Selvfølgelig; standardsvaret vil være "taushetserklæringer". Jurister liker slikt. Dessverre bare et reaktivt tiltak med liten initiell "skremmeverdi" slik jeg ser det.

Sendes det via mail? Kryptert? Hvordan og hvor blir det lagret? Når blir kopier, midlertidige filer og så videre slettet? Sendes noe pr post - altså sånn "gammeldags" post med fysisk papir? Hva er avtalte kontrollmuligheter for å kunne verifisere korrekt og tilstrekkelig sikkerhet i alle ledd?

Dette er et emne jeg er opptatt av, uansett om det gjelder kvartalsrapporter eller statsbudsjetter. Det vil komme mer fra meg på dette i månedene fremover.

No comments:

Post a Comment

All comments will be moderated, primarily for spam. You are welcome to disagree with my posts of course.