Læs også:
Anonymous: Vi har adgang til alle danske CPR-numre
Forslag: Bøder til danske firmaer for dårlig it-sikkerhed
Læskedrikfabrikanten Coca Cola fik den 15. marts 2009 besøg af det amerikanske forbundspoliti FBI.
Formålet med besøget var, at ordensmagten ville oplyse Coca Cola om, at selskabet var blevet hacket, og de it-kriminelle havde været nede og rode i yderst fortrolige filer om selskabets forestående køb af det kinesiske selskab China Huiyuan Juice Group for omkring 14 milliarder kroner.
Faktisk havde hackerne stjålet flere sensitive dokumenter fra Coca Colas netværk.
Coca Colas handel med kineserne kollapsede tre dage senere. Handlen ville ellers på daværende tidspunkt have været et historisk stort amerikansk opkøb af en kinesisk virksomhed.
Cola-giganten har siden undgået at delagtiggøre omverdenen i hackerangrebet, hvor selskabet mistede følsomme dokumenter, hvilket givetvis har spillet ind på den mislykkede handel.
Det skriver Bloomberg.
Skal fortælle om hackerangreb
It-historien har mange eksempler på, at store, internationale selskaber bliver hacket og forsøgt støvsuget for fortrolige forretningshemmeligheder.
Blandt andet blev Kina for godt et år siden beskyldt for at stå bag et af verdenshistoriens største serie af hackerangreb, hvor forsvarsfirmaer, stålindustrien og forskellige it-sikkerhedsfirmaer side om side med Den Olympiske Komite og FN var blevet angrebet.
Alligevel er der givetvis mange, mange flere eksempler på, at sådanne skandaler bliver forsøgt tysset ihjel.
Men sådan bliver det næppe ved med at være.
Amerikanske myndigheder er nemlig allerede ude med et lovgrundlag, som skal sikre, at eksempelvis investorer er helt opdateret på, hvorvidt deres investeringsobjekt har rent netværk at trutte i.
Den amerikanske handelsmyndighed har således sidste år påbudt landets selskaber at oplyse om data-angreb.
Endnu er den amerikanske Data Protection Law ikke fuldt udrullet, men eksempelvis forsyningsenheder kan få dagbøder på op mod en million dollar for at fortie hackerangreb.
Hot i USA
Sikkerhedsekspert Peter Kruse fra sikkerhedsselskabet CSIS er netop kommet hjem fra en rundrejse USA.
Danske virksomheder risikerer bøder fremover
Han kan fortælle, at åbenhed omkring dataangreb er et hot diskussionsemne på sikkerhedskonferencerne på den anden side af Atlanterhavet.
"Flere virksomheder er blevet pålagt at skulle fortælle om hændelser vedrørende datakriminalitet, fordi den slags har jo indflydelse på, hvordan investorerne vil placere deres penge. Det svarer jo lidt til, at man holder et kæmpe lagerindbrud skjult for omverdenen," forklarer Peter Kruse.
På vej til Danmark
Den danske sikkerhedsspecialist fortæller, at private virksomheder traditionelt har været ganske karrige med at oplyse om hackerangreb.
Tys-tysheden skyldes normalt to ting:
"Dels så ligner angrebne virksomhederne jo nogen, der ikke har styr på sikkerheden, dels har bestjålede selskaber jo ingen interesse i at fortælle om episoderne, fordi investorerne jo kigger med."
Men netop investor-beskyttelsen er altså årsagen til, at amerikanske virksomheder fremover bliver tvunget til at oplyse om "hændelser", som Peter Kruse formulerer det.
"EU har vist meget interesseret i den amerikanske dataåbenhed, og det betyder altså, at det også kan blive meget aktuelt for danske virksomheder," siger Peter Kruse og hentyder til en mulig stramning af det europæiske Databeskyttelsesdirektiv.
Han forventer derfor, at der fremover kommer flere saftige historier frem, om virksomheder i både udlandet og i det ganske land, som har haft ubudne gæster til at kravle over firewallen.
"I USA koster det mange penge, hvis man fortsat er tavs om indbruddene, og derfor kan det også blive rigtig dyrt, hvis en dansk virksomheder fortier sine oplysninger om et hackerangreb," lyder det fra Peter Kruse.
Han erkender dog, at der kan være tilfælde, hvor virksomheden slet ikke ved, at den er blevet ramt, og der må myndighederne så ind og vurdere fra sag til sag, ifølge sikkerhedseksperten.
"Jeg vil dog forvente, at en virksomhed som ved fysiske indbrud skal anmelde hackerangrebet til politiet, hvorefter oplysningerne til myndighederne om "hændelsen" kan komme i spil," siger Peter Kruse.
Trækker i langdrag
It-chef hos Datatilsynet, Sten Hansen, bekræfter, at EU er i gang med at erstatte det nuværende Databeskyttelsesdirektiv med en ny forordning, der vil have direkte retsvirkning i medlemsstaterne - herunder Danmark.
Men danske virksomheder behøver dog ikke at ryste i bukserne for at være tvunget til at afsløre net-indbrud.
Endnu.
"Forhandlingerne mellem medlemslandene og EU-Kommissionen er lige nu kun i en indledende fase, og det tyder på, at forhandlingerne bliver langvarige og svære. Hvor det ender, er på nuværende tidspunkt umuligt at sige noget kvalificeret om," forklarer Sten Hansen.
Han fortæller samtidig, at Datatilsynet på nuværende tidspunkt derfor heller ikke kan vurdere, hvilke konsekvenser den nye forordning vil få af betydning for danske virksomheder.
Læs også:
Anonymous: Vi har adgang til alle danske CPR-numre
Forslag: Bøder til danske firmaer for dårlig it-sikkerhed
