Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 28. marts 2003.
Gerningsmændene til datakriminalitet er ofte virksomhedens egne ansatte. Det har danske it-chefer en klart mere afslappet holdning til, end i Norge og Sverige.
Datakriminalitet
Årsagen til mistede data eller kludder i systemerne er ikke nødvendigvis hverken hackere, virus eller huller i strømmen, men derimod tit virksomhedens egne medarbejdere.
Typiske tilfælde af intern datakriminalitet er, når medarbejdere uden tilladelse videregiver fortrolige informationer, som er lagret på virksomhedens it-system, til tredje part, eller når medarbejdere i forbindelse med en afskedigelse kopierer, sletter eller på anden måde manipulerer med fortrolige virksomhedsinformationer i virksomhedens systemer. Det viser en undersøgelse iværksat af Ibas Danmark, der lever af datarekonstruktion og datasletning og efterforskning af netop intern datakriminalitet.
Afslappet holdning
Undersøgelsen viser, at danske chefer ikke tager intern datakriminalitet så alvorligt som deres norske og svenske kolleger. Danske chefer mener, at datakriminalitet ikke forekommer særligt ofte, og at interne systemer næppe opdager de tilfælde, der måtte være.
- Problematikken er den samme i Danmark som i vores nabolande, men holdningen til intern datakriminalitet er mere afslappet herhjemme, konstaterer Michael B. Garver, chef for Ibas Danmark.
De danske funktions- og topledere har oftest stor tiltro til egne medarbejdere. Eksempelvis vurderer kun 11 procent af de danske ledere, at medarbejdere hyppigt eller jævnligt videresender fortrolige informationer til uvedkommende, mens det tilsvarende tal for svenske og norske ledere er på respektive 34 og 17 procent. Samtidig vurderer 79 procent af danske ledere, at dette problem ikke eller kun i meget begrænset omfang forekommer. De tilsvarende tal for Sverige og Norge er på respektive 64 og 65 procent.
Mange steder strander sikkerhedsproblematikken på, at der mangler en dedikeret arbejdskraft.
- Når internt personale er hovedårsagen, hvem ejer så aben? Har virksomheden ikke en sikkerhedschef, ligger ansvaret efter min mening hos den økonomiansvarlige eller den administrerende direktør. Formålet er jo i sidste ende at beskytte virksomhedens økonomiske interesser, siger Michael B. Garver.
Overordnet set tegner undersøgelsen et paradoksalt billede af danske virksomheders forhold til intern datakriminalitet. 86 procent af de adspurgte vurderer, at mellem 50 og 100 procent af virksomhedens fortrolige informationer kan findes på virksomhedens it-system, og der er bred enighed om, at datakriminalitet er en alvorlig krænkelse. Alligevel mener 51 procent, at der kun er ingen eller lille sandsynlighed for, at virksomhedens systemer og rutiner vil opdage intern datakriminalitet.
Interne svigt
Advokatfirmaet Bender.dk nikker genkendende til problematikken:
- Virksomhederne bruger måske 95 procent af ressourcerne til beskyttelse på indkøb af firewalls og hardware, der beskytter mod angreb udefra, men kun få bruger kræfter på at etablere rutiner, der beskytter firmaet mod angreb indefra, konstaterer Peter Lind Nielsen, advokat, Bender.dk.
ITEK under Dansk Industri er også opmærksom på problemet og arbejder aktivt på at løse det. Blandt andet har ITEK et sikkerhedsudvalg, der rådgiver og udgiver pjecer om it-sikkerhed og ledelse.
- Vi anbefaler generelt, at den enkelte virksomhed formulerer en it-sikkerhedsstrategi, der omfatter spilleregler for de ansatte. Skal alle for eksempel vide alt, eller er der en fordel i at differentiere adgangen til firmaets it-systemer, siger ITEK's direktør Tom Togsverd.
Billedtekst:
- Vi spurgte 107 virksomheder om, hvordan de forholder sig til intern datakriminalitet. Det burde være gået hurtigt, men det gjorde det ikke, fordi mange virksomheder har svært ved at fastslå, hvem i virksomheden, der har ansvaret, fortæller Michael Benjamin Garver, chef for Ibas Danmark.