Artikel top billede

Tjeklisten: Her er de otte største it-trusler netop nu

Alle ansvarlige for it-sikkerheden bør stifte bekendtskab med disse otte trusler.

Nogle trusler bliver mindre, mens andre vokser. Og helt nye opstår.

Her vil du blive ført igennem et bud på hvilke it-sikkerhedstrusler, du skal være særligt opmærksom på i 2012.

Listen over de otte trusler stammer fra landechef Anders Greve fra it-sikkerhedsfirmaet Check Point.

Han var blandt oplægsholderne ved Computerworlds nyligt afholdte IT-Security Roadshow 2012 i Vejle, Aalborg og København.

Her gav tidligere efterretningschef Hans Jørgen Bonnichsen fra PET også en præsentation, der handlede om politiet og myndighedernes syn på truslerne. Ligesom en stribe forskellige aspekter af it-sikkerhed blev vendt og drejet med de tilsammen mere end 200 deltagere.

Imidlertid peger Anders Greve specifikt på otte trusler, som du kan shoppe rundt i og læse mere om præcis de trusler, du vil vide mere om.

1. Virtualisering og cloud computing

2. Trusselslandskabet

3. Consumerization

4. Konsolidering og kompleksitet

5. Datasikkerhed og -tab

6. Web 2.0 og sociale medier

7. Governance, Risk og Compliance

8. Reducerede omkostninger

1. Virtualisering og cloud computing

Vejen til himmeriget er belagt med cloud.

Sådan lyder det ofte i it-branhcen.

Fakta er da også, at cloud vinder frem, men giver samtidig den it-sikkerhedsansvarlige nogle alvorlige tanker at gruble over.

"Håndteringen af sikkerheden i virtualiserede miljøer og hermed også cloud-løsninger er behæftet med stor usikkerhed blandt it-beslutningstagere, it-auditører og lovgivere," fortæller Anders Greve.

Derfor mener han også, at området vil være afgørende for it-sikkerhedsansvarlige i de kommende år.

"Indtil denne usikkerhed er reduceret væsentligt, vil det være en barriere for udbredelsen af løsningerne - specielt de it-løsninger, som er forretningskritiske for organisationen," vurderer han.

2. Trusselslandskabet

Truslerne bliver stadig mere komplekse, og forskellige teknikker anvendes på nye måder og i nye kontekster.

Det betyder samtidig, at der ikke findes én magisk kur. 

"Det primære formål for cyberkriminelle er stadig at generere profit via mere og mere målrettede og forfinede metoder."

"Det vil sige, at truslerne er målrettede den målgruppe, der søges ramt, sådan at ‛hitraten' bliver højere, og samtidig benyttes stadigt nye kanaler, hvormed skadelig kode listes ind på slutbrugerens platform," forklarer Andres Greve.

Eksempelvis er en meget stor del af de succesfulde angreb sket via introduktion af et link på brugerens platform til et site med skadelig kode.

Enten via brugerens egen browsen rundt på nettet, eller aktivering via et link indlejret i en chat-besked, et videoklip eller tilsvarende.

"Derfor gælder det for en organisation om at være på omgangshøjde med brugernes adfærd - og dén skifter særdeles hurtigt i disse tider".

"På få uger eller måneder kan ét socialt netværk være skiftet ud med et andet - og pludselig er det andre typer trusler, der skal håndteres," fortæller Anders Greve.

Lagvis opbygning

En del af de nye teknologier går netop i dialog med brugeren omkring risiko-områderne, så brugeren ikke blot oplever et "adgang nægtet", men får en forklaring på, hvorfor det kan være kritisk at uploade information eksempelvis til Google+.

"Med kendskab til brugernes adfærd og en lagvis opbygning af sikkerheden står virksomheden særdeles godt rustet til at imødegå de nye trusler."

"Det handler for eksempel om at etablere et fler-lags kontrolsystem både på netværksniveau og på klient-siden, samt at begrænse informationsmængden til enheder, der pt. ikke tilbyder avancerede sikkerhedsfunktioner - såsom tabletcomputere og smartphones," siger Andres Greve.

Typisk vil disse lagvise løsninger dække alt fra omfattende applikationskontrol, lækagedetektering, malware-sikring til indholdskontrol og browservirtualisering, ifølge Anders Greve.

3. Consumerization

Hvad har katten slæbt ind? Eller hvad har de unge medarbejdere slæbt med af gadgets, mobiler, iPads og mobile decives hen på arbejdspladsen?

I dag volder det nogle steder hovedpine for it-sikkerheden at integrere de unges vane og forventning om at måtte bruge præcis det it-grej, som de selv bruger i dagligdagen.

Således stilles der fra medarbejderne store krav om at anvende egne enheder til at arbejde med forretningsdata, forklarer Anders Greve.

"Det giver en række specielle it-sikkerhedsudfordringer, som skal imødegås, hvis man skal opfylde brugernes krav," understreger han.

Principielt kan man bare lade være med at opfylde brugernes krav, men så kan det for eksempel blive svært at tiltrække de rette medarbejdere. Og vil kreativiteten blandt medarbejderne i stedet blive brugt på at omgå de begrænsninger, som medarbejderne er pålagt af it-afdelingen?

"Man skal heller ikke se bort fra, at der kan hentes gevinster ved at benytte forskellige devices til forskellige behov - one size doesn't fit all!" forklarer Anders Greve.

Derfor vil denne trend også være noget som den it-sikkerhedsansvarlige skal tage meget alvorligt.

Også fordi alt tyder på, at det ligeledes er en trend, der blot vil tage til i styrke.

4. Konsolidering og kompleksitet

Flere og flere it-sikkerhedsløsninger vinder indpas i organisationer i takt med de mange trusler, man står over for.

Men faktisk kræver det en del koordinering på kryds og tværs.

I mange tilfælde kan der opnås en forenkling og effektivisering samt et bedre rapporteringsgrundlag ved en konsolideret it-sikkerhedsløsning, mener Anders Greve.

Konsolidering ses både på den centrale netværkssikkerhedsside, i form af konsolideret firewall, malware-kontrol, brugeridentifikation, proxy-funktion og så videre. Men også på brugersiden forekommer der i stigende grad konsolidering af funktioner, der tidligere krævede multiple klienter.

For eksempel en centralt styret desktop firewall, antivirus, kontrol for ondsindede programmer, VPN, diskkryptering og så videre, forklarer Anders Greve.

"I dag er det tilmed muligt at centralisere logging og rapportering fra hele sikkerhedsmiljøet, så også sikkerhedsrevisionen bliver mere overskuelig på trods af den større kompleksitet," siger Anders Greve.

5. Datasikkerhed og -tab

Hvor mange bærbare computere og usb-stik har din organisations medarbejdere egentlig mistet i det forløbne år?

Spørg en tilfældig lufthavn, hvor mange bærbare computere der bliver glemt, når folk går igennem sikkerhedskontrollen.

Og så er slet ikke medregnet tyveri og indbrud i private hjem, hvor medarbejdere har taget deres it-grej med hjem for at give den en ekstra skalle.

"Tab og tyveri af data kan i mange tilfælde være skadeligt for organisationer, da tabte eller stjålne data kan have direkte indvirkning på organisationernes bundlinje," forklarer Anders Greve.

Kryptering med videre kan måske hjælpe, men et mere systematisk fokus på området er at fortrække i mange organisationer.

"Gennem analyser af datatrafikken i store danske organisationer kan man på meget kort tid konstatere datatab, som er i strid med lovgivningen eller interne regler, så når først problemet er erkendt, kan der gøres noget ved det," fortæller Anders Greve.

Og ingen behøver nævne, hvordan datamængderne eksploderer i dag. Herunder også data, der er vitale for forretningen.

6. Web 2.0 og sociale medier

Du er venner med en medarbejder fra den konkurrende virksomhed, der skriver, at mødet gik godt i Esbjerg Kommune.

Aftalen er så godt som i hus, skriver han.

Men hov. Hvad med lige at ringe til Esbjerg Kommune og spørge "Jeg kan forstå, at I står over for at skulle købe..."?

Jo, de sociale medier har forsider og bagsider. Widgets, netbaserede applikationer, fildelingstjenter, streaming med mere er alle en del af dagens internet, og alle kender Facebook, Linkedin og Twitter.

"Både sikkerhedsmæssigt og set fra et effektivitetssynpunkt udgør denne type tjenester et stort problem," siger Anders Greve.

Sikkerhedsmæssigt, fordi mange af de netbaserede tjenester stiller store krav såsom opdaterede værktøjer og plugins, hvilket medfører en langt mere stringent patchpolicy sammenlignet med traditionelle applikationer.

Tidsmæssigt, fordi medarbejdere bruger for meget arbejdstid på for eksempel YouTube og Facebook, ligesom det æder båndbredde og kapacitet fra organisationens it-systemer.

"Kun i meget få tilfælde har organisationen det fulde overblik over brugernes reelle internetbrug," fortæller Anders Greve, der mener, at også dette it-sikkerhedsdillemma bør få mere fokus.

7. Governance, Risk og Compliance

It-sikkerhedsansvarlige følger løbende med i ny lovgivning og standarder på området.

Og i stigende grad ser man, at krav og standarder styrer, hvilken vej man skal gå.

"Det er tit meget dyrt, og det tager lang tid, hvorfor det er vigtigt, at store organisationer følger arbejdet tæt og eventuelt deltager som part, når der laves nye love og standarder," lyder rådet fra Anders Greve.

"Det kunne for eksempel være gennem deltagelse i forskellige sikkerheds-fora, hvor man jævnligt kan komme i dialog med eksperter. Det kan være ESL-foreningen, DISIF eller lukkede virksomheds-ERFA-grupper, hvor man kan dele viden om lovgivningskrav og branchestandarder," lyder det videre.

De grundlæggende lovgivninger, der skal overholdes, er persondatalovgivning og PCI-direktivet, men senest er også EU begyndt at opruste i forhold til internetsikkerhed ud fra organisationen "ENISA", der i samarbejde med EU-parlamentet og medlemslandene vil kunne foranledige en mere stringent lovgivning.

"Kommende EU-lovgivning vil kunne få indflydelse på virksomhedernes forvaltning af data og it-sikkerhed," fortæller Anders Greve.

Eksempelvis er der initiativer i gang inden for infrastruktur- og forsyningssikkerhed, ligesom cloud-sikkerhed er et emne, som organisationen allerede har arbejdet med et stykke tid, forklarer Anders Greve.

8. Reducerede omkostninger

Finanskrisen.

Ordet der velsagtens vil gå over i historie-bøgerne som disse års mest brugte ord.

Men bag det ligger jo desværre en nedtur af de helt store. Hver en investeringskrone skal vendes og drejes.

Samtidig skal der direkte skæres og spares. Og hvor står it-sikkerhed i den ligning?

"Der forlanges mere for mindre, og generelt er der skåret i it-budgetterne, hvilket gør, at it- afdelingerne må anvende nye teknologier og metoder for at kunne levere den samme service," fortæller Anders Greve.

Dermed udgør det økonomiske pres i sig selv en it-sikkerhedstrussel.

Og udfordringen for den it-sikkerhedsansvarlige bliver tilsvarende at navigere bedst muligt og prioritere benhårdt og rigtigt.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
KEYBALANCE A/S
Udvikling og salg af økonomisystemer samt CRM og MPS. Systemer til blandt andet maskinhandlere, vvs-branchen, vognmænd, låsesmede,handelsvirksomheder

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere