Læs også:
Fejl 40 er blandt de værste sikkerheds-mareridt
Cyberkriminelle rammer hver dag 2.000 danskere
"Vi er nu ved et punkt, hvor alt det vigtige er online. Alt er online."
Ordene falder tirsdag eftermiddag i København. Afsenderen er den anerkendte, amerikanske sikkerhedsekspert Bruce Schneier.
"Online er der, hvor værdien er - og derfor er det også der, angrebene går hen," var hans budskab, da han talte til de danske it-advokaters årlige konference.
Bruce Schneier, der er it-sikkerhedschef i BT Group og rådgiver det amerikanske forsvar i sikkerhedsspørgsmål, gav i sin tale et bud på de værste trusler for virksomhederne i dag.
Blandt de mest markante trusler er den organiserede cyber-krimininalitet.
"Det er en enorm forretning. I USA er det en større industri end narko-industrien. Vi ser, at kriminaliteten er organiseret som en forretning. Hvis du ønsker det, kan du leje dig til tid på et botnet," sagde Bruce Schneier og sendte en klar advarsel til tilhørerne:
"Vi har en tendens til at undervurdere truslen. Det er skidt."
Det skal du passe på
Bruce Schneier listede i høj grad de trusler op, som enhver it-chef eller it-direktør med respekt for sig selv vil kende på forhånd.
Men samtidig tog han fat på nogle af de it-tendenser, som efterhånden er blevet en selvfølgelighed i virksomhederne - selvom de udgør en kæmpe sikkerhedsudfordring.
"Det er kun lige begyndt at gå op for os, hvor slemt det egentlig er med mobile enheder. Vi fik dem først, og nu begynder alvoren at gå op for os," sagde den amerikanske sikkerhedsguru.
Eksempelvis medfører iPhone-bølgen i virksomhederne en række udfordringer.
"Et eksempel: Alarm-funktionen i iPhone registrerer, hvor du befinder dig. Hvorfor? Det aner vi ikke, men det gør den!"
Bruce Schneier tilføjede, at han på et tidspunkt satte sig for at læse aftalevilkårene, der hører til Apples iTunes - og som skal accepteres, før man kan installere applikationer.
"I teksten er der ret meget om, at du giver tilladelse til, at der samles data om dig, men ingen læser det jo nogensinde," advarede han og tilføjede, at malware også er begyndt at plage de mobile platforme, der typisk er meget dårligere beskyttet end traditionelle computere.
Medarbejderne tager magten - du får problemer
En anden it-tendens er den såkaldte consumerization, hvor forbrugerne i stigende grad bestemmer, hvilket it-udstyr de ønsker på arbejdspladsen.
Det er blevet populært at sige, at det er sådan, det bør være - men Bruce Schneier er ikke begejstret.
"Den nuværende generation af internet-brugere ønsker ikke, at deres arbejdsgiver skal bestemme, hvad de bruger. Som administrator betyder det, at du mister kontrollen. De vælger hardwaren, styresystemet, applikationen - og du skal stille netværket til rådighed."
"Måske bruger I Dropbox eller Gmail, hvor jeres virksomheds data pludselig opbevares af en tredjepart. Med cloud ved I ikke engang i hvilken land, jeres data befinder," sagde Bruce Schneier og fik bekræftende nik fra tilhørerne.
Tredjepartens sikkerhed eller manglen på samme er kun en af de udfordringer, der opstår med cloud-tjenesterne.
"Når jeres data krydser grænser, er det forskellige lovgivinger, der er gældende," påpegede Bruce Schneier.
Her er alle de andre trusler
Bruce Schneier udpegede også hacktivisme - eksempelvis Anonomus-hackerne, der ofte arbejder ud fra politiske motiver - som en stigende trussel. Men det er måske også et eksempel på en trussel, der ikke skal overvurderes.
"Det er let at overvurdere deres evner. Pressen rapporterer meget om dem - men du skal huske, at du kun hører om deres successer. Jeg tror, at de hacker sig ind hos nogen - og så bagefter finder på en grund til, hvorfor de gjorde det," lød Bruce Schneiers analyse.
Vi skaber også selv sårbarheder
Blandt de øvrige trusler, han fremhævede, var infrastruktur-svagheder, embeddede systemer - som for eksempel blev angrebet af Stuxnet - og it-regulering.
"I det store hele er regulering godt, fordi det forbedrer sikkerheden, selvom det kan være tungt og dyrt."
"Men der er også al den regulering, der ikke kommer fra it. Eksempelvis at politiet ønsker at kunne overvåge og derfor indsamler data. Dermed introduceres endnu en sårbarhed," lød det fra Bruce Schneier, der med et glimt i øjet tilføjede:
"Den bedste måde at beskytte data på er ved at slette data."
På samme måde morede han sig over, at truslen om cyberkrige i sig selv er blevet overhalet af en relateret problemstilling.
"Cyberwar er ikke den største trussel - det er det oprustningskapløb, der finder sted. Alle de store lande opruster med cyber-våben."
"Hvis du bliver bombet, kan du kigge op på flaget på flyvemaskinen, og så ved du, hvem der gjorde det. Det kan du ikke ved cyberangreb," forklarede bruce Schneier, der fygter at den uvished kan eskalere en cyber-krig unødigt.
Trusler er ikke noget nyt
På spørgsmålet om, hvorvidt han kunne udpege en trussel eller to, man bør fokusere på som virksomhed, svarede Bruce Schneier, at "den største fare opstår, hvis man begynder at vælge."
"At fokusere på én ting er en fejltagelse. Du er nødt til at se på det hele og fokusere på, hvad det er, du vil beskytte, snarere end hvem det er, du vil beskytte dig imod."
Og selvom Bruce Schneiers tale umiddelbart burde betyde, at vi alle skal bygge et Fort Knox og top-sikre alle vores aktiver, er det ikke hans ærinde.
"I det den virkelige verden er der altid risici. Jeg ved ikke, hvor meget gadekriminalitet, der er i København - men det er ikke nul. Det ville være for dyrt," lød det fra Bruce Schneier tirsdag eftermiddag i København.
Læs også:
Fejl 40 er blandt de værste sikkerheds-mareridt
