Kære medier: Skru ned for sensationen

Klumme: Når vi informerer om nye trusler, skal vi undgå skræmmebilleder og dommedagsretorik, skriver Shehzad Ahmad i denne klumme.

Artikel top billede

"Eksperter: Det er et spørgsmål om uger, før Explorer-virus rammer danskerne."

Sådan lød en af overskrifterne om den sårbarhed i Internet Explorer, der var blandt de største sikkerhedshistorier i sidste måned.

Andre medier talte om "Kæmpehul i Explorer." Flere brugte ordet "virus."

Når sikkerhedseksperter opdager en alvorlig sårbarhed, stiller det krav både til os i sikkerhedsverdenen og til medierne. Vi skal i fællesskab sørge for at kommunikere ordentligt om sagen.

I dette tilfælde synes jeg, at nogle medier skruede rigeligt op for sensationen.

Ja, sårbarheden var alvorlig. Men der findes ingen virus, der udnytter den - forstået som et program, der automatisk spreder sig til sårbare computere.

Historien om et hul

Historien om hullet i Internet Explorer er denne:

I august var der meget fokus på et nyopdaget hul i Java. Det blev udnyttet aktivt til angreb.

Et af angrebene foregik fra en webserver, som en sikkerhedsforsker undersøgte nærmere. Her fandt han en mappe med nogle mystiske filer.

Det viste sig, at filerne udnyttede et hidtil ukendt hul i Internet Explorer.

Det skrev han om på sin blog. Dagen efter bekræftede Microsoft, at der ganske rigtigt var tale om en sårbarhed i Internet Explorer.

For at blive offer for sårbarheden skulle man altså besøge et websted, hvorpå der lå et program, som udnyttede den.

Der var ingen orm eller virus, der udnyttede den.

Det pågældende websted ser ud til at have været brugt i målrettede angreb. Det vil sige, at det sandsynligvis har ramt få, nøje udvalgte ofre.

Det skal folk vide

Samtidig med at sårbarheden blev kendt, udsendte folk fra Metasploit-projektet et angrebsprogram, der udnytter den.

Dermed blev det let at lave websider, der angriber besøgende med sårbare pc'er.

I Dk-Cert var vores udfordring derfor, at vi skulle formidle følgende oplysninger:

- Internet Explorer har en alvorlig sårbarhed.

- Den har hidtil kun været udnyttet til begrænsede angreb.

- Der er potentiale for, at den vil kunne udnyttes bredere.

- Man kan undgå at blive ramt, hvis man undlader at bruge Internet Explorer.

- Man kan beskytte sig ved at sætte sikkerhedsniveauet til "Høj" for zonen Internet.

Der manglede jo en oplysning

Der var også mere teknisk krævende beskyttelsesmetoder, men ovenstående var dem, som vi skønnede, at almindelige pc-brugere kunne håndtere.

De råd gav vi videre.

Og inden længe hørte jeg fra folk, der havde ændret sikkerhedsniveauet til "Høj."

Da de så opdagede, at deres netbank ikke virkede længere, satte de niveauet tilbage til "Mellem" - og var dermed ubeskyttede igen.

For det manglede jo en oplysning:

Hvis man vil bruge websider med aktivt indhold, efter at man har sat sikkerhedsniveauet for Internet-zonen til "Høj", skal man tilføje de websider til zonen Pålidelige websteder.

Vi vil få folk til at handle

Jeg nævner disse detaljer for at illustrere, hvor svært det er at informere dækkende om sikkerhedstrusler.

Det er nemt nok at sige: Katastrofe, verden går under!

Det er langt sværere at informere sagligt, så man får de nødvendige detaljer med, uden at det bliver uforståeligt.

Målet med kommunikationen er, at folk skal forstå, hvad truslen går ud på. De skal vide, om deres computer kan være i farezonen.

De skal vide, hvad de kan gøre for at beskytte sig.

Og allerhelst skal de også gøre det!

Udfordring vokser

At kommunikere virkningsfuldt om sikkerhedstrusler er en af de sværeste opgaver, vi sikkerhedsfolk har. Og den bliver større i fremtiden.

I dag er de fleste trusler stadig på pc-platformen.

Men vi har set de første eksempler på skadelige programmer til mobiltelefoner.

Det er kun et spørgsmål om tid, før der er sårbarheder i og trusler mod tavlecomputere, tv-apparater, harddiskoptagere, digitalkameraer, GPS'er og al den anden elektronik, vi omgiver os med.

Det stiller endnu større krav til os om at kommunikere sagligt, forsvarligt og forståeligt.

Når overdrivelse ikke fremmer

Til slut vil jeg indrømme, at jeg selv kan falde for fristelsen til at smøre for tykt på i min udmelding om en ny trussel.

Det er vi flere sikkerhedsfolk, der gør.

Årsagen er nok, at vi tror, det er nødvendigt at overdrive for at få opmærksomhed om en reel trussel.

I dag kan vi ikke klage over, at it-sikkerhed ikke får nok opmærksomhed. Så der er ingen grund til at overdrive, medierne skal nok dække de nye trusler.

Det er godt. Men både sikkerhedsbranchen og medierne skal blive bedre til at informere.

Vores mål skal være: Saglig, neutral og handlingsanvisende information, der får modtagerne til at handle.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.

DK-CERT er en tjeneste fra UNI-C, en styrelse under Ministeriet for Børn og Undervisning.

Shehzad Ahmad opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.

KMD A/S

Senior Solution Architect

Københavnsområdet

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Cyberdivisionen søger chef for Lokal IT i hovedstadsområdet

Københavnsområdet

Capgemini Danmark A/S

Finance Lead (SAP)

Københavnsområdet

Computerworld Events

Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

Sikkerhed | Online

NIS2 gjort enkelt - spar tid med Security Insights

Få styr på NIS2 uden manuelt kaos. Lær at automatisere security assessments, styrke dokumentation og prioritere indsats. TDC Erhverv viser konkrete greb, der sparer tid og løfter compliance. Tilmeld og få 2 måneders gratis Security Insights.

Digital transformation | Hellerup

Roundtable: Stærkere data og skarpere beslutninger i en AI-æra

AI kræver data, ledelsen kan stole på. Computerworld samler digitale ledere til en fortrolig rundbordssamtale om datagrundlag, beslutninger og skalering af AI i organisationen. Få konkrete erfaringer og nye perspektiver. Ansøg om en plads.

It-løsninger | Online

Kod smartere med GitHub Copilot

Få styr på GitHub Copilot og skriv bedre kode hurtigere. Se hvordan Copilot løser opgaver, sparrer på fejl og løfter komplekse workflows. Oplev live demo og lær hvordan du kommer i gang med licenser og opsætning.

Se alle vores events inden for it

Navnenyt fra it-Danmark

55,7° North (a Beautiful Things company) har pr. 2. februar 2026 ansat Philip Jacobi Zahle, 53 år,  som Partner & CSMO. Han skal især beskæftige sig med Ansvar for Salg, Marketing og Brandudvikling i Norden, som han tidligere har gjort med GoPro, Skullcandy og Insta360 m.fl. Han kommer fra en stilling som Marketing & Branding Manager hos Boston Group A/S. Han har tidligere beskæftiget sig med distribution og brand building gennem 26 år og er kendt fra mærker som GoPro, Skullcandy og Insta360. Nyt job

Philip Jacobi Zahle

55,7° North (a Beautiful Things company)

Norriq Danmark A/S har pr. 1. februar 2026 ansat Michael Benner som Senior Solution Architect. Han skal især beskæftige sig med Microsoft Fabric Accelerator Framework herunder videreudvikling af frameworket, kundeimplementeringer og pre-sales opgaver. Han kommer fra en stilling som løsningensarkitekt hos Columbus Data & AI. Han er uddannet Økonomistyring fra Aalborg Universitet. Han har tidligere beskæftiget sig med at være ansat i revisionsbranchen hos PwC Forensic og Deloitte Forensic. Nyt job

Michael Benner

Norriq Danmark A/S

Netip A/S har pr. 1. marts 2026 ansat Maria Lyng Refslund som Marketing Project Manager ved netIP Herning. Hun kommer fra en stilling som Marketing Project Manager hos itm8. Nyt job
Immeo har pr. 1. februar 2026 ansat Claes Justesen som Principal. Han kommer fra en stilling som Director hos Valtech. Nyt job