Torben Stærgaard, Folkekirkens IT har fået kritik for at henvise til programmet Dropbox som alternativ til præsternes normale sikkerhedstjenester, fordi dette program har været udsat for store hacks og læk af oplysninger. Hvorfor gør I det?
"Vi anbefaler ikke brugen af Dropbox. Men det er rigtigt, at Folkekirkens IT har godkendt brugen af programmet på Kirkenet-computere (for eksempel præsters computere, som er sluttet til folkekirkens intranet, red.), da mange præster bruger det værktøj. Men det er under forudsætning af, at man ikke gemmer dokumenter og filer, som indeholder persondata eller andre fortrolige eller følsomme oplysninger. Hvis man alligevel gør det, så forbryder man sig imod vores sikkerhedscirkulære, hvor det er præciseret, at sådanne oplysninger ikke må gemmes hverken på pc’en eller på personlige drev som eksempelvis Dropbox."
Men tror du ikke, at det kan være forvirrende for brugerne, når I så alligevel henviser til programmet Dropbox som alternativ til sikkerhedskopiprogrammer?
"Nej, det tror jeg ikke. Jeg tror, at den præst, der kritiserede folkekirkens it-sikkerhed i Kristeligt Dagblad (Christian Roar Pedersen, Aalborg Stift, red.) har en anden dagsorden, og at det nok mere er det, som det handler om. Vi anbefaler ikke brugen af programmet, vi siger tværtimod, at det ikke må bruges til at opbevare fortrolige oplysninger. Er man inde i konteksten, så tror jeg ikke, at det er et problem. Jeg ved ikke, hvordan det skulle håndteres anderledes. Det rigtige ville måske være at sige, at en tjenstlig pc kun kan bruges til tjenstlige formål. Men sagen er, at vi for at spare penge har sørget for, at præster ikke både skal have en tjenestecomputer og en privat computer, de kan bruge til andre formål, men at de kan bruge den samme."
Som det fremgår af torsdagens Kristeligt Dagblad, er det ikke eneste eksempel på fejl i Folkekirkens IT. Præster fik i september 2016 uretmæssig adgang til folkekirkelige oplysninger, og i december var der et omfattende nedbrud i jeres mail-system, så tusindvis af mails blev slettet. Er det godt nok?
Angående sagen fra september 2016 er der ikke tale om, at der har været adgang til postkasser hos sognene. Det, der var tale om, var en liste med logins til administrationsdelen på sogn.dk, hvor man kan redigere træffetider for præster og så videre. Det er data, som i forvejen er offentligt tilgængelige.
Men som kirkeligt ansat kunne man altså tilgå forskelliges sognes sider på sogn.dk og rette andres oplysninger. Er det optimalt?
"Nej, det er det ikke. Hvis man som bruger bliver opmærksom på fejl, skal man i henhold til sikkerhedscirkulæret henvende sig til os, hvilket Christian Roar faktisk gjorde. I sagen om adgang til personfølsomme oplysninger i Ribe Stift (hvor Christian Roar fik adgang til ansættelseskontrakter, han ikke skulle have adgang til, red.) er der tale om, at en medarbejder ikke har ryddet ordentligt op. Det er rettet og journaliseret som en sikkerhedsfejl. Det kan ske, men den slags må ikke ske. Det er der ingen tvivl om. Når det gælder mail-nedbruddet, må vi bare sige, at det ikke var godt nok. Det er vores ansvar, naturligvis, men det var vores driftsleverandør, der havde problemer, og det ramte os, ligesom det ramte en række offentlige myndigheder. Det må ikke ske. Men uanset hvilke sikkerhedsforanstaltninger man har, vil der ske fejl."
Nogle mener, at alle eksemplerne tilsammen tyder på, at der er en generel ringe fejlkultur i Folkekirkens IT. Har de ret?
"Nej, det vil jeg ikke sige. Der er eksempler på fejl alle vegne. Men jeg ved, at vi gør rigtig meget for, at de sikkerhedsbrister, der under alle omstændigheder vil opstå, bliver rettet så hurtigt som muligt. Og vi sørger for at lære af det, der sker, så det ikke sker igen. Vi journaliserer alle sikkerhedsbrister og tager de væsentlige fejl med i vores sikkerhedsanalyse. Men vi kan ikke helt undgå fejl."
Christian Roar er kommet dertil, at han ikke har tillid til Kirkeministeriets systemer. Er det ikke et problem?
"Det må han afgøre. Jeg forstår ikke, hvordan han, som jeg opfatter som meget it-kyndig, over for dig kan rode tingene sammen. En begravelsestale ligger sikkert i Kirkenettet (folkekirkens interne net, red.). Det er sandheden. Og det har intet at gøre med de eksempler, han nævner. Jeg prøver ikke at bortforklare, at der er sket fejl. Men spørgsmålet er, hvilke fejl der er sket."