Den store test af it-sikkerheden: Dumper din arbejdsplads med et brag?

Mange virksomheder kender til konkrete trusler mod it-sikkerheden, som de ikke har taget hånd om, og de helt grundlæggende processer halter gevaldigt. Kan din arbejdsplads bestå den store sikkerheds-test?

Annonce:
Annonce:

Michael Steen Hansen er it-direktør hos Rigspolitiet.

"Revisionen viste, at mange af de tilgængelige sikkerhedsopdateringer ikke blev installeret korrekt eller slet ikke blev installeret på centrale systemer."
ComputerViews: It-sikkerhed er i de senere år for alvor kommet i fokus i private og offentlige organisationer.

Fra kritiske forretningshemmeligheder til personfølsomme data; der er masser af digitale informationer og aktiver, som de it-kriminelle kan have en interesse i at få fingrene i.

For it-lederne og it-afdelingerne betyder det en ny virkelighed, hvor der reelt er tale om et konstant kapløb mod de kriminelle og antallet af trusler, man skal beskytte sig imod.

For truslerne bliver kun flere og mere komplekse, og det problem løser man ikke bare ved at få en ny firewall eller at huske at opdatere adgangskoderne med faste intervaller.

Trusselsbilledets kompleksitet kan give fugtige armhuler hos selv de mest garvede it-vogtere.

For slet ikke at tale om søvnløse nætter, hvis man begynder at fundere over, hvilke døre til virksomhedens it-miljø, man endnu ikke har fået lukket.

Kunne du bestå denne test?
For et par uger siden skrev Computerworld om Rigsrevisionens hårde kritik af politiets it-sikkerhed, der kort og godt blev dumpet.

"Rigsrevisionen finder, at it-sikkerheden hos politiet ikke er tilfredsstillende," lød konklusionen i rapporten.

Når vi i offentligheden på den måde får et indblik i it-sikkerheden - eller manglen på samme - hos politiet, skyldes det, at der er tale om en offentlighed myndighed, der med jævne mellemrum skal til eksamen i it-sikkerhed, når Rigsrevisionen kommer forbi.

I denne omgang gik kritikken blandt andet på:

"Revisionen viste, at mange af de tilgængelige sikkerhedsopdateringer ikke blev installeret korrekt eller slet ikke blev installeret på centrale systemer."

"Rigspolitiets Koncern IT ikke udførte systematisk kontrol af medarbejdere, der var tildelt udvidede administratorrettigheder på de kritiske systemer."

Rigspolitiets CIO, Michael Steen Hansen er ikke bleg for at indrømme, at det ikke er godt godt, og i et længere interview har han forklaret, hvordan politiet vil højne sikkerheden på de områder, der ikke allerede er taget hånd om.

"Vi er i en forandring både på det kompetencemæssige, i processer og metoder og i hele kulturdelen. Det er den rejse, vi er på. Vi lægger os fladt ned og tager de her anbefalinger og forsøger at få tingene udbedret hurtigst muligt," siger Michael Steen Hansen.

CIO'en peger på, at problemerne blandt andet bunder i den tekniske infrastruktur på forskellige niveauer, der "gennemsnitlig set har været ret gammel," og så processerne, der relaterer sig til it-sikkerheden.

"Noget af det burde vi måske have set og have gjort noget ved, og noget af det er måske kommet til som følge af nogle andre ting. Det må vi så set at få implementeret. Det skal vi nok få ryddet op i," udtaler Michael Steen Hansen til Computerworld.

Hvordan vil du rate sikkerheden på din arbejdsplads?
Det mest interessante ved gennemgangen af politiets it-sikkerhed er dog, at vi får et indblik i nogle af de helt grundlæggende udfordringer med it-sikkerheden, man kæmper med i 2014.

For det er naivt at tro, at der ikke eksisterer lignende problemer i andre offentlige og private organisationer - blot er det ikke nødvendigvis noget, vi har kendskab til, fordi sikkerhedsproblemerne forbliver et internt anliggende (i hvert fald til katastrofen rammer).

Eller sagt på en anden måde:

Hvor sikker er er du på, at it-sikkerheden på din arbejdsplads ville kunne bestå en eksamen ala den, som Rigspolitiets it-sikkerhed ikke kunne klare i denne omgang?
"De har adgang til en betydelig finansiering; de er mere tålmodige og sofistikerede end nogensinde; og de er på udkig efter sårbarheder i hele drifts-miljøet - inklusiv mennesker og processer."
Sådan ser det generelt ud med it-sikkerheden
I Ernst & Youngs Global Information Security Survey 2014 (PDF) får man et godt indblik i den generelle sikkerheds-tilstand i virksomhederne på globalt niveau.

"De it-kriminelles angrebs-muskler vokser med en overvældende hasighed. De har adgang til en betydelig finansiering; de er mere tålmodige og sofistikerede end nogensinde; og de er på udkig efter sårbarheder i hele drifts-miljøet - inklusiv mennesker og processer," skriver EY blandt andet.

Undersøgelsen fra revisions- og konsulentfirmaet er baseret på svar fra topledere fra 1.800 organisationer i 60 forskellige lande og på tværs af alle industrier.

Blandt andet lyder et spørgsmål: "Hvem eller hvad anser du som den mest sandsynlige kilde til et angreb?"

Respondenterne har haft mulighed for at pege på flere ting, og resultatet ser således ud:

Medarbejder: 57 procent.

Ekstern leverandør på en af vores lokaliteter: 35 procent.

Kunde: 10 procent.

Leverandør: 12 procent.

Anden forretningspartner: 14 procent.

Sammenslutninger af kriminelle: 53 procent.

Stats-finansierede angreb: 27 procent.

Hacktivister: 46 procent.

Hacker der arbejder alene: 41 procent.

Mens det er interessant, at så mange udpeger medarbejdere som en betydelig risiko, hæfter EY sig i rapporten ved, at man - hvis man grupperer typen af trusler - nu for første gang anser rent eksterne trusler som de mest alvorlige (de sidste fire på listen).

Annonce:

"Ikke alene vokser truslerne. Vores respondenter fortæller os også, at der stadig er kendte sårbarheder i deres cyber-forsvar."
Derfor har vi problemer med sikkerheden
Endnu mere interessant bliver det, når man spørger deltagerne i undersøgelsen, hvilke barrierer, der skal fjernes, før man for alvor kan have et effektivt forsvarsværk mod truslerne, interne som eksterne.

Her udpeges "mangel på agilitet" en væsentlig problemstilling.

"Ikke alene vokser truslerne. Vores respondenter fortæller os også, at der stadig er kendte sårbarheder i deres cyber-forsvar. Med andre ord erkendes det, at der er en klar og aktuel tilstedeværelse af fare, men organisationerne rykker ikke hurtigt nok til at kunne mindske de kendte sårbarheder," lyder det i rapporten.

I den forbindelse svarer 37 procent, at de ikke har nogen realtids-indsigt i cyber-truslerne, og yderligere 27 procent svarer, at den indsigt kun er der "nogle gange".

Mange organisationer melder også, at de tilgængelige budgetter er en årsag til, at man ikke gør mere mod truslerne, ligesom 53 procent faktisk også peger på, at mangel på de nødvendige menneskelige ressourcer er en klar udfordring.

Når man betragter alle de mange processer, der er relateret til cyber-trusler, erkender 35 til 45 procent af organisationerne, at der "stadig er meget, der skal forbedres."

Et umuligt kapløb?
It-sikkerhed er for alvor kommet på agendaen i både offentlige og private organisationer.

Mange steder opruster man med deciderede sikkerhedschefer, ligesom sikkerheds-processerne, den tekniske infrastruktur og beskyttelsen i det hele taget gennemgår en større modernisering.

Det er den slags tiltag, der skal til, hvis man skal mindske risici.

Ofte vil det dog ikke være nok til at hindre problemer, men arbejdet starter trods alt med en erkendelse af, at det, man har, ikke er godt nok, og at truslerne næsten helt sikkert øges hurtigere, end man kan nå at følge med til.

Derfor er den grundlæggende agilitet og hele proces-arbejdet på sikkerheds-området vigtigere end nogensinde.

Rigsrevisionen kommer muligvis ikke på besøg på din arbejdsplads.

Men det gør de it-kriminelle helt sikkert.



Læs også:

Efter lammende kritik af politiets it-sikkerhed: Sådan vil CIO'en løse problemerne

Sådan tackler virksomheder it-sikkerheden

Du kan miste dit job hvis du ikke har styr på det her

Gratis konference om datasikkerhed

Deltag på Computerworlds gratis konference om datasikkerhed d. 11. november i København - vi giver dig konkrete redskaber til at tage problemstillingerne i opløbet og ruste dit firma til at holde vigtige data indenfor hjemmets fire vægge.

Læs mere og tilmeld dig her.



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Computerworld
Sommeren bliver varm for danske film-pirater: Nu ruller retssagerne
Knap et år efter de første opkrævningsbreve for ulovlig fildeling blev sendt ud er antipirat advokaterne Opus Law på vej i retten.
CIO
"Over halvdelen af mine ledere i it-afdelingen er folk uden en it-baggrund"
Morten Gade landede et af Danmarks største it-projekter til tiden og uden skandaler. Hør ham fortælle om ledelse, tillid, kontraktstrukturer, og hvorfor hans it-ledere ofte ikke har en it-baggrund.
Comon
Alle bør opdatere omgående: Apple lukker alvorligt sikkerhedshul i Airport-routere
Apple lukker i al hast en alvorlig sikkerhedsbrist i sine trådløse AirPort-routere. Se her, hvilke Apple-routere, der er ramt.
Channelworld
27 offentligt ansatte sigtet i stor razzia: Mistænkes for at have modtaget it-bestikkelse
Bagmandspolitiet har i stor aktion anholdt 26 it-folk for bestikkelse i forbindelse med den store bestikkelsessag i Region Sjælland. Udenrigsministeriet, DSB og Rigsadvokaten er blandt de ramte.
White paper
Betydningen af virtualiseringssikkerhed for dit VDI miljø
I dette white paper: Virtualisering giver virksomheder en mulighed for at opnå omkostningsbesparelser og øge deres forretningsagilitet.