Poul-Henning Kamp skriver i V2, 12.april 2024 om USA’s IT-havarikomissions kraftige kritik af sikkerheden/sårbarheden i Microsofts exchange og certifikat styring.
Hændelsen åbner vel flere problemer:
- Skal Danmark have en IT-havarikommission ?
- Tør/bør det offentlige bruge en udenlandsk leverandør som monopol-leverandør ?
- Bør man sprede sine aktiviteter til flere leverandører og foretrække danske ?
- Går udviklingen for hurtigt og dermed for risikabelt ?
Poul-Henning bruger pudsigt nok IT-jenga som udtryk for risikoen for at man har bygget et IT-tårn, som er risikabelt i forhold til at styrte sammen, hvis enkeltbrikker i strukturen fjernes eller bryder sammen.
Betydningen af Microsofts sikkerhedsstyring har en enorm betydning, da over 1 mia brugere og hele det offentliges IT er afhængig af sikkerheden i exchange, AD og sammenhængen mellem forskellige elementer af Microsoft infrastrukturen. IT-havarikomissionen foreslår i deres rapport at Microsoft stopper udvikling indtil deres sikkerhedsstruktur teknisk og organisatorisk er oppe på et moderne niveau:
“Microsoft leadership should consider directing internal Microsoft teams to deprioritize feature developments across the company’s cloud infrastructure and product suite until substantial security improvements have been made in order to preclude competition for resources. In all instances, security risks should be fully and appropriately assessed and addressed before new features are deployed.”
Det ville jo ramme Microsofts aktiviteter med kunstig intelligens - hvor man kunne overveje om det offentlige (og private virksomheder) kan overlade sine data til Microsoft, da der ser ud til at være en uklar adskillelse af data og brug til oplæring. Sikkerheden i denne forbindelse er uklar og risikabel.
I min verden er der også en risiko for at Danmark har basereet sit IT-fundament på en leverandør fra et land, som kan vise sig ved deres næste valg ikke at være Danmark venligt. Måske endda at vi har gjort os sårbare for pression via monopolet.
Rapporten fra USA IT-havarikomission