ComputerViews: It-sikkerhed er i de senere år for alvor kommet i fokus i private og offentlige organisationer.
Fra kritiske forretningshemmeligheder til personfølsomme data; der er masser af digitale informationer og aktiver, som de it-kriminelle kan have en interesse i at få fingrene i.
For it-lederne og it-afdelingerne betyder det en ny virkelighed, hvor der reelt er tale om et konstant kapløb mod de kriminelle og antallet af trusler, man skal beskytte sig imod.
For truslerne bliver kun flere og mere komplekse, og det problem løser man ikke bare ved at få en ny firewall eller at huske at opdatere adgangskoderne med faste intervaller.
Trusselsbilledets kompleksitet kan give fugtige armhuler hos selv de mest garvede it-vogtere.
For slet ikke at tale om søvnløse nætter, hvis man begynder at fundere over, hvilke døre til virksomhedens it-miljø, man endnu ikke har fået lukket.
Kunne du bestå denne test?
For et par uger siden skrev Computerworld om Rigsrevisionens hårde kritik af politiets it-sikkerhed, der kort og godt blev dumpet.
"Rigsrevisionen finder, at it-sikkerheden hos politiet ikke er tilfredsstillende," lød konklusionen i rapporten.
Når vi i offentligheden på den måde får et indblik i it-sikkerheden - eller manglen på samme - hos politiet, skyldes det, at der er tale om en offentlighed myndighed, der med jævne mellemrum skal til eksamen i it-sikkerhed, når Rigsrevisionen kommer forbi.
I denne omgang gik kritikken blandt andet på:
"Revisionen viste, at mange af de tilgængelige sikkerhedsopdateringer ikke blev installeret korrekt eller slet ikke blev installeret på centrale systemer."
"Rigspolitiets Koncern IT ikke udførte systematisk kontrol af medarbejdere, der var tildelt udvidede administratorrettigheder på de kritiske systemer."
Rigspolitiets CIO, Michael Steen Hansen er ikke bleg for at indrømme, at det ikke er godt godt, og i et længere interview har han forklaret, hvordan politiet vil højne sikkerheden på de områder, der ikke allerede er taget hånd om.
"Vi er i en forandring både på det kompetencemæssige, i processer og metoder og i hele kulturdelen. Det er den rejse, vi er på. Vi lægger os fladt ned og tager de her anbefalinger og forsøger at få tingene udbedret hurtigst muligt," siger Michael Steen Hansen.
CIO'en peger på, at problemerne blandt andet bunder i den tekniske infrastruktur på forskellige niveauer, der "gennemsnitlig set har været ret gammel," og så processerne, der relaterer sig til it-sikkerheden.
"Noget af det burde vi måske have set og have gjort noget ved, og noget af det er måske kommet til som følge af nogle andre ting. Det må vi så set at få implementeret. Det skal vi nok få ryddet op i," udtaler Michael Steen Hansen til Computerworld.
Hvordan vil du rate sikkerheden på din arbejdsplads?
Det mest interessante ved gennemgangen af politiets it-sikkerhed er dog, at vi får et indblik i nogle af de helt grundlæggende udfordringer med it-sikkerheden, man kæmper med i 2014.
For det er naivt at tro, at der ikke eksisterer lignende problemer i andre offentlige og private organisationer - blot er det ikke nødvendigvis noget, vi har kendskab til, fordi sikkerhedsproblemerne forbliver et internt anliggende (i hvert fald til katastrofen rammer).
Eller sagt på en anden måde:
Hvor sikker er er du på, at it-sikkerheden på din arbejdsplads ville kunne bestå en eksamen ala den, som Rigspolitiets it-sikkerhed ikke kunne klare i denne omgang?
Sådan ser det generelt ud med it-sikkerheden
I Ernst & Youngs Global Information Security Survey 2014 (PDF) får man et godt indblik i den generelle sikkerheds-tilstand i virksomhederne på globalt niveau.
"De it-kriminelles angrebs-muskler vokser med en overvældende hasighed. De har adgang til en betydelig finansiering; de er mere tålmodige og sofistikerede end nogensinde; og de er på udkig efter sårbarheder i hele drifts-miljøet - inklusiv mennesker og processer," skriver EY blandt andet.
Undersøgelsen fra revisions- og konsulentfirmaet er baseret på svar fra topledere fra 1.800 organisationer i 60 forskellige lande og på tværs af alle industrier.
Blandt andet lyder et spørgsmål: "Hvem eller hvad anser du som den mest sandsynlige kilde til et angreb?"
Respondenterne har haft mulighed for at pege på flere ting, og resultatet ser således ud:
Medarbejder: 57 procent.
Ekstern leverandør på en af vores lokaliteter: 35 procent.
Kunde: 10 procent.
Leverandør: 12 procent.
Anden forretningspartner: 14 procent.
Sammenslutninger af kriminelle: 53 procent.
Stats-finansierede angreb: 27 procent.
Hacktivister: 46 procent.
Hacker der arbejder alene: 41 procent.
Mens det er interessant, at så mange udpeger medarbejdere som en betydelig risiko, hæfter EY sig i rapporten ved, at man - hvis man grupperer typen af trusler - nu for første gang anser rent eksterne trusler som de mest alvorlige (de sidste fire på listen).
Derfor har vi problemer med sikkerheden
Endnu mere interessant bliver det, når man spørger deltagerne i undersøgelsen, hvilke barrierer, der skal fjernes, før man for alvor kan have et effektivt forsvarsværk mod truslerne, interne som eksterne.
Her udpeges "mangel på agilitet" en væsentlig problemstilling.
"Ikke alene vokser truslerne. Vores respondenter fortæller os også, at der stadig er kendte sårbarheder i deres cyber-forsvar. Med andre ord erkendes det, at der er en klar og aktuel tilstedeværelse af fare, men organisationerne rykker ikke hurtigt nok til at kunne mindske de kendte sårbarheder," lyder det i rapporten.
I den forbindelse svarer 37 procent, at de ikke har nogen realtids-indsigt i cyber-truslerne, og yderligere 27 procent svarer, at den indsigt kun er der "nogle gange".
Mange organisationer melder også, at de tilgængelige budgetter er en årsag til, at man ikke gør mere mod truslerne, ligesom 53 procent faktisk også peger på, at mangel på de nødvendige menneskelige ressourcer er en klar udfordring.
Når man betragter alle de mange processer, der er relateret til cyber-trusler, erkender 35 til 45 procent af organisationerne, at der "stadig er meget, der skal forbedres."
Et umuligt kapløb?
It-sikkerhed er for alvor kommet på agendaen i både offentlige og private organisationer.
Mange steder opruster man med deciderede sikkerhedschefer, ligesom sikkerheds-processerne, den tekniske infrastruktur og beskyttelsen i det hele taget gennemgår en større modernisering.
Det er den slags tiltag, der skal til, hvis man skal mindske risici.
Ofte vil det dog ikke være nok til at hindre problemer, men arbejdet starter trods alt med en erkendelse af, at det, man har, ikke er godt nok, og at truslerne næsten helt sikkert øges hurtigere, end man kan nå at følge med til.
Derfor er den grundlæggende agilitet og hele proces-arbejdet på sikkerheds-området vigtigere end nogensinde.
Rigsrevisionen kommer muligvis ikke på besøg på din arbejdsplads.
Men det gør de it-kriminelle helt sikkert.
Læs også:
Efter lammende kritik af politiets it-sikkerhed: Sådan vil CIO'en løse problemerne
