http://comon.dk/index.php/news/show/id=34828 
IT- og Telestyrelsen forsvarer sin sårbarhedstest Datakriminalitet, InternetIT- og Telestyrelsen afviser kritikken af sin nye sårbarhedstest. Målet er at få skabt fokus på it-sikkerheden hos den enkelte borger – ikke at tilbyde et komplet sikkerhedstjek, lyder meldingen.
Af Karim Pedersen
fredag 15. februar 2008, 17:40
En ny sårbarhedstest på it-borger.dk skal hjælpe danskerne med at sikre sig mod de mest almindelige trusler fra nettet. Men sårbarhedstesten har selv været under angreb allerede kort tid efter lanceringen. It-sikkerhedsfirmaet Secunia mener at portscanneren er utidssvarende og direkte farlig, fordi den kan give brugerne en falsk tryghed. Men IT- og Telestyrelsen afviser kritikken og henviser til, at formålet med testen aldrig har været at foretage et komplet sikkerhedstjek på computeren.
»Formålet med sårbarhedstesten er at tilbyde et konkret værktøj til borgerne, så de kan få at vide, om deres computer er sårbar for angreb fra internettet. Formålet med testen er også, at få skabt fokus på it-sikkerhed hos den enkelte borger,« siger it-sikkerhedskonsulent Kenneth Mose Kruuse fra IT- og Telestyrelsen til ComON.
Han fortæller at testen er blevet udviklet baseret på en bred vurdering af hvilke kriterier, der er væsentlige for etablering af en offentlig dansk sårbarhedstest. Det betyder blandt andet, at sårbarhedstesten skal være anvendelig for en ikke-kyndig pc bruger, og den skal skal dække bredt i forhold til, hvilket styresystem og programmer en borger har på sin computer.
»I den danske sårbarhedstest er der lagt vægt på en løsning, der giver en enkel, letforståelig kommunikation til borgerne om deres pc's sikkerhedsniveau set fra internettet, frem for en teknisk mere udførlig test, som vil stille større krav til borgerens it-kundskaber. Det betyder, at der er grænser for hvor dybtgående et sikkerhedstjek sårbarhedstesten kan lave, og det er vigtigt at gøre det klart for brugerne af testen, at den f.eks. ikke tester, om de har virus eller om de har opdateret alle programmer,« siger Kenneth Mose Kruuse.
Secunia mener at portscanning er forældet og henviser i stedet til firmaets eget værktøj, Secunia PSI, der undersøger om de nødvendige sikkerhedsopdateringer er installeret på computeren. Secunia fortæller at man allerede i efteråret havde en dialog med IT- og Telestyrelsen og Videnskabsministeriet, hvor firmaet tilbød at stille Secunia PSI til rådighed, hvis myndighederne ville betale for omkostningerne med at oversætte tjenesten til dansk og integrere den på styrelsens hjemmeside.
Men IT- og Telestyrelsen henviser til, at man har gennemført et et begrænset EU-udbud for at finde en leverandør af sårbarhedstesten på it-borger.dk.
»Det begrænsede EU-udbud forbød styrelsen at være i dialog med potentielle leverandører og forhandle under udbudsprocessen. Derfor har vi ikke under udbudsprocessen kunne indgå i dialog med hverken Secunia eller andre af tilbudsgiverne. Efter udbuddet inviterede Videnskabsministeren Secunia til en videre dialog mellem IT- og Telestyrelsen og Secunia for at høre deres synspunkter. Secunia gav udtryk for, at de ikke var interesseret i en videre dialog,« siger Kenneth Mose Kruuse.