Det seneste års mange og store sager om datalæk og sikkerhedshuller har skabt en helt ny og anderledes opmærksomhed om betydningen af datasikkerhed.
Og det skal vi være glade for, for det er på høje tid, at vi strammer op på vores omgang med data, lyder det fra Morten Boel Sigurdsson, direktør og stifter af it-sikkerhedsvirksomheden Omada.
Man kan kalde det skandaler eller afsløringer.
Men sagerne om whistlebloweren Edward Snowden og Se og Hørs overvågning af kendte menneskers meget private liv har sendt spørgsmålet om datasikkerhed meget højt op på dagsordenen i virksomheder både herhjemme og i udlandet. Så der er ikke noget, der er så skidt, at det ikke er godt for noget.
Men Morten Boel Sigurdsson mener dog, at danskerne har brug for at ændre dele af vores kultur, hvis vi skal operere sikkert og effektivt i en globaliseret og digitaliseret verden.
"Danmark er sådan et tillidsland, hvor man grundlæggende stoler på hinandens gode hensigter. Det ligger dybt i vores kultur. Der er den der landsbymentalitet. Når alle kender alle, snyder man ikke hinanden. Problemet er bare, at i en globaliseret verden kender alle ikke alle," siger han.
"Vi bryster os af, at vi er gode til at samarbejde på tværs. Men det er også en svaghed, som kan blive rigtig dyr for en virksomhed. Det handler om at finde den rigtige balance, så man ikke bare åbner, så alle i en virksomhed har adgang til alt. Og så er det ikke et spørgsmål, om det går galt, men hvornår det går galt. Der må man som virksomhed være løsningsorienteret i forhold til, hvordan man kan minimere den risiko."
Flere og større udfordringer
De aktuelle sager, som har været fremme i offentligheden, har langt hen ad vejen handlet om personfølsomme data. Men Omada-direktøren peger på, at også virksomheder i dag står over for en stribe udfordringer omkring datasikkerhed, som kan have store konsekvenser for virksomheden.
Det har også påvirket holdningen til sikkerhed blandt Omadas kunder.
"Helt grundlæggende stiger datamængden massivt. Og ofte ved folk ikke, hvor deres data egentlig ligger henne. Der sker en øget udveksling af data på tværs af juridiske enheder (virksomheder, red.), og der er en øget brug af big data. Så der er nogle massive drivere både i markedet og i teknologien, som lige nu skaber "The perfect storm " for os som leverandør af løsninger på det her område."
For mange gummistempler
"Vi ser enkelthistorier poppe op: Med læger og sygeplejersker, der uberettiget har adgang til patienternes medicinoplysninger, Ebays brugerkonti er blevet blottet. Og så er der hele sagen omkring Edward Snowden. Selv moster Oda ved, at der findes en person med det navn."
På en skala fra et til ti: Hvor sårbar er danske virksomheder generelt?
"Min vurdering er, at de ligger rimeligt højt på den skala. Mange har i dag en anmærkning fra deres revision om, at de ikke lever op til gældende sikkerhedskrav. Spørger man virksomhederne selv siger de, at de arbejder hårdt på at leve op til revisionens krav. Men hvis ikke du får løst problemerne ved at involvere din forretning, bliver det bare til en masse arbejde, som kun handler om at gøre revisoren glad."
"Et eksempel er en manager, der godkender, hvad hans medarbejdere skal have adgang til uden at forholde sig seriøst til det. Han siger bare ja, ja, ja for at komme videre med andre opgaver og for at gøre revisoren tilfreds. Så bliver godkendelsen reelt kun et gummistempel."
Beskyt renommeet
Den manglende seriøsitet i forhold til databeskyttelse kan ifølge Morten Boel Sigurdsson have store konsekvenser for dag-til-dag forretningen, men også for værdien af virksomheden og sidst men ikke mindst firmaets omdømme.
"Der sker lige nu en transition i virksomhedernes forståelse af de her problemer. Der er en klar tendens til, at man erkender, at de her udfordringer handler om kroner og øre. Har man ikke styr på det, kan det blive rigtig dyrt," siger Morten Boel Sigurdsson og peger på Nets/Se og Hør-sagen som et eksempel.
"Nets er lige blevet solgt til en kapitalfond, og man kan da meget vel forestille sig, at den købende part ville have en holdning til, hvordan den sag, der nu er kommet frem, skulle påvirke prisen og virksomhedens værdi."
"Et klassisk fokus har været at hindre besvigelser, hvor man har arbejdet med "four eye principle", hvor det kræver to personers godkendelse for at foretage betalinger, så man undgår uberettigede pengestrømme ud af virksomheden. Men jeg tror, der nu er en højere grad af erkendelse af, at sikkerhed ikke bare handler om flere omkostninger for at imødekomme nogle revisionskrav. Men at det handler om at beskytte virksomhedens renommé og virksomhedens viden."
Det skal CIO'en gøre
Men hvordan skal en virksomhed og dens CIO gribe sikkerhedsopgaven an, hvis man vil mere end bare at stille revision tilfreds og have ringbind fyldt med sikkerhedspolitikker, der aldrig bliver brugt i praksis?
"Man skal sætte ind to steder. På adfærden i organisationen, så politikker bliver kommunikeret og efterlevet. Det andet er teknologidelen. Og ingen af de to kan stå alene," siger Morten Boel Sigurdsson.
"En af de største kilder til lækager er medarbejdere, som enten i ond tro, men også tit i god tro begår fejl. Man skal lave en sikkerhedsstrategi, og så skal man sørge for, at den leves og kommunikeres ud. Den anden del er, at man skal gå igennem sit teknologilandskab og se, hvilke produkter man skal have - og så sørge for, at de er opdateret. Så der er to steder, man skal sætte ind," siger han.
"Uanset hvor mange sikkerhedsapplikationer, du har installeret, er der stadig nogle medarbejdere, som sidder med nogle sensitive data om for eksempel nye produkter. Hvis ikke medarbejderne har en forståelse for, hvem man kan dele dem med via en USB-stick, på papir eller mail, kan du have nok så meget teknologi."
"Og hvis man ikke har nogle teknologier, der kan løse komplekse opgaver og køre igennem enorme datamængder, så er det ligegyldigt, hvor mange politikker, man har nedfældet. Så der skal teknologi til at sørge for, at ting sker på de rigtige tidspunkter - for eksempel periodiske tjek af, om medarbejdere har adgang til for mange eller for få data."
Ude i virksomhederne fører det nye sæt af spilleregler for databeskyttelse ifølge Omada-stifteren til et øget pres på virksomhedernes CIO's for at undgå dårlige sager i pressen eller tab på bundlinien.
"CIO'en bliver afkrævet svar på, hvad han gør for at undgå sikkerhedsbrister. Men der er vores svar som rådgiver også, at det ikke bare handler om en it-løsning, men om en kultur i virksomheden," siger Morten Boel Sigurdsson.
Han mener, at der lige nu er en trend i retning af, at sikkerhed bliver et strategisk spørgsmål, der er tænkt ind i personalepolitikken og virksomhedens leverance-model.
"Eksemplet med Edward Snowden er i det lys helt grotesk. NSA er en virksomhed, der beskæftiger sig med spionage. Og de havde altså en person ansat, som havde helt absurde beføjelser til dataadgang."
Den øgede opmærksomhed på datasikkerhed flugter samtidig med kravene til CIO's om at agere "strategisk forretningspartner", mener Morten Boel Sigurdsson.
"CIO'ens berettigelse er at bidrage på innovationsdelen i forhold til, hvordan man kan få mere konkurrencekraft i virksomheden snarere end at få "knots and bolts" til at virke."
"Samtidig skaber outsourcing og brug af cloud udfordringer for sikkerhed og compliance. For hvordan håndterer man kompleksiteten i outsourcede løsninger? Det er stadig virksomhedens eget ansvar, som vi så i eksemplet med Nets. Selv om en proces er outsourcet, er det stadig Nets, der har ansvaret for at vide, hvem der har gjort hvad og hvornår," siger Morten Boel Sigurdsson og vender igen tilbage til de kulturelle forskelle på danske og udenlandske virksomheders tilgang til datasikkerhed.
"I USA har man en helt anden indbygget skepsis for, hvad man kan dele af information, når man er i en virksomhed. Der er en helt anden awareness og en helt anden måde at tænke i kontrolsystemer."
Læs også:
Dansk sikkerhedsfirma skovler penge ind
Dine pivåbne it-systemer kan hverken lappes eller opgraderes