CIO Premium Job & Karriere Eksperten IT-Kurser Events Søg
Cookie ikon

It-chefer skal slå i bordet med det samme: It-sikkerhed er også bestyrelsens problem

Der er ikke nogen teknologisk løsning på sikkerhedsudfordringen i it. Derfor skal ansvaret ud af it-afdelingen og ind i bestyrelsen. Det mener Symantecs regionale direktør, Morten Efferbach.

18. november 2014 kl. 15.15
Mikkel Wenzel Andreasen

Advanced Persistent Threats, spearphishing, malware og ransomware.

Det er blot nogle af den type angreb, som virksomheder bliver mødt af dagligt.

Og angrebene vil kun blive flere og mere kvalificeret de næste år.

Sådan lyder den kedelige prognose fra Symantecs nordiske direktør, Morten Efferbach, da Computerworld mødte ham under en sikkerhedskonference i København med talere fra blandt andre FBI.

Derfor nytter det heller ikke, at virksomheder sparer på it-afdelingerne, bare fordi det er svært at se det rentable i dem.

"Beskyttelsen af en virksomheds data er ikke et it-problem, det er et forretningsproblem," siger Morten Efferbach.

It-afdelingerne skal på den anden side blive bedre til at komme med klare, letforståelige pointer overfor en ledelse, som måske ikke ved hvorfor RACF-filer er vitale for et z/OS, eller hvorfor de skal tage stilling til it-sikkerhed.

It-sikkerheden skal jo bare virke.

Sikkerhed er ikke et teknologisk quick-fix
Behovet for at trække it-sikkerhed ud af it-afdelingen opstår, fordi ingen teknologier er bedre end de mennesker, der betjener sig af den.

Helt lavpraktisk, så opstår langt størstedelen af de farlige situationer, hvor en virksomhed bliver udsat for et angreb, når en almindeligt ansat, en såkaldt inside man, vidende eller ud af uvidenhed, åbner systemerne op for hackerne.

"Dine ansatte er den bedste måde at forebygge angreb på og i sidste ende også det bedste forsvar. Det gælder alle, fra topchefer til receptionister. Men alt for ofte bliver opgaven og ansvaret alene placeret hos en it-manager, som så står tilbage med aben," siger Peter Schjøtt, som er teknisk pre-sale direktør hos Symantec.

Læs også: Farlige hacker-fif: Her er hackernes hemmelige metoder

Et eksempel på, hvordan uvidenheden, eller de bedste intentioner, underminerer sikkerheden, havde Chuck Esposito, FBI's Cyber Crime kontakt i Danmark.

Han fortalte om en hacker, der ringede til kundeservice med historien om, at han havde glemt sit password. Medarbejderen var kritisk og stillede en række sikkerhedsspørgsmål, men til trods for, at hackeren svarede forkert på alle spørgsmål, fik han alligevel udleveret passwords. Medarbejderen var bare venlig og stolede på det bedste i manden i røret.

Pointen er, at it-sikkerhed også er noget så lavpraktisk, som at følge almindelige protokoller. Men det kræver en massiv bevidsthed omkring det, på alle niveauer i organisationen.

Danske virksomheder er umodne
En ting er mennesker, den anden store it-udfordring, som danske virksomheder står over for, er deres manglende evne til at samle, sammenholde og handle på de små tegn der kan være på, at systemerne ikke er så vandtætte, som det kunne ønskes.

Hvis en hacker snuser rundt i systemerne, efterlader vedkommende oftest et spor: En logfil, et lille udslag på et virus-scan eller bare at data er redigeret. Små ting, som enkeltvis ikke får en it-mand til at råbe vagt i gevær. For de har overordnet ikke betydning for driften.

Læs også: Forsvarets Efterretningstjeneste: Denne type it-angreb er den største trussel lige nu - otte it-advarsler fra efterretningstjenesten

"Virksomhedernes største trussel lige nu, er deres egen umodenhed. Al informationen om indtrængen i systemerne ligger der, men så længe intet går i stykker, så bliver der ikke reageret," siger Peter Schjøtt.

"Et angreb er ikke bare forstyrrelse og ødelæggelse. Der er en grund til, at du er på markedet med dit produkt, du har en særlig viden eller evne, og hvis du mister den til hackere eller konkurrenter, så er det svært at komme tilbage som virksomhed."

Små virksomheder er lavthængende frugter og et springbræt
Det er kun blevet vigtigere, at holde fokus på de små ting. Hackerne er nemlig blevet meget mere tålmodige.

De er blevet til Advanced Persistent Threats, APT.

APT er den særlige type hack, som sagtens kan tage flere år, fra start til slut. Det kan starte med, at en underleverandør finder en usb-nøgle på parkeringspladsen og sætter den i computeren. Så er der malware i systemet.

Herfra kan hackeren få adgang til partnere, som ellers er meget mere sikre virksomheder. Og så starter den langsomme inficering, infiltrering og eksfiltrering af virksomhedshemmeligheder.

"Mange firmaer tager stadig ikke sikkerheden seriøst. Og netop de små virksomheder er et let bytte, fordi de tror, at de er for ubetydelige, til at være interessante for hackere. Men halvdelen af målrettede angreb er mod mindre virksomheder," siger Peter Schjøtt.

Læs også:

Seks ting du kan lære af den seneste tids vilde hacker-sager

Derfor er det så svært at fange malware-svindlere



Eksklusivt Premium-indhold for abonnenter

0 Premium-indhold

Her er Microsofts planer med Windows for 2021: Pønser på fire nye versioner
0 Premium-indhold

Mere end 70.000 adresser lækket i kæmpehack af TDC-virksomhed: Hackerne kræver løsepenge
0 Premium-indhold

KMD siger farvel til et halvt hundrede ansatte i fyringsrunde: "Vi tilpasser løbende organisationen"
Bliv medlem nu

Få adgang til eksklusivt Premium-indhold, kun for abonnenter

12 måneder for kun 2.195kr

Læs mere om Premium
Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »

Henrik Larsen

Christian Pedersen

Eigil Mølgaard

Jesper Lund Hedegaard

Mikkel Heltborg Terp

Jacob Georg Naur

Dan Rose

Leif Jensen
opinion
Henrik Larsen
Derfor er videnssektoren (næsten) lige så kritisk som de kritiske sektor
Læs indlæg
mest debatterede artikler
4
Microsoft åbner tre kæmpe datacentre i Sverige i 2021 - kommer til at køre helt på bæredygtig energi med splinternyt system
Microsoft åbner tre store datacentre i Sverige til næste år. De tre datacentre vil som de allerførste blive bæredygtige. Se debat

3
Sikkerheds-ekspert: Derfor skal du være yderst forsigtig når du downloader ny kørekort-app
”Fristet til at få kørekortet på mobilen? Nej, ikke mig.” Sikkerhedsekspert Leif Jensen er bekymret for sikkerheden i den nye populære kørekort-app. Se debat

3
Det digitale kørekort lagt ned efter voldsom trafik
Opdateret: Det nye digitale kørekort er ramt af store opstartsproblemer på lanceringsdagen. Der opleves lige nu så stor trafik, at det for flere ikke er muligt at oprette sit digitale kørekort i appen. Se debat

2
Morgen-briefing: Nu går det løs med black friday – men pas på alle kopiprodukterne / Danske virksomheder i stor cyber-sikkerhedsøvelse / Teleselskaber går glip af milliarder / Udenlandske webshops kan gå fri for ny pakkeafgift
Nu går det løs med black friday – men pas på alle kopiprodukterne. Danske virksomheder i stor cyber-sikkerhedsøvelse. Teleselskaber går glip af milliarder. Udenlandske webshops kan gå fri for ny pakkeafgift. Dansk forsker: Stor tillid til Airbnbs børsnotering, og så er det i dag, at du kan hente et digitalt kørekortet ned på din smartphone. Se debat

2
Stein Bagger gør comeback i ny branche: "De lignede et mafiahold, førte sig frem som nyrige og plaprede løs om urealistiske drømme"
Stein Bagger har skiftet navn og fører sig nu frem i store biler i en helt ny branche, skriver en dansk avis. Se debat

Mest læste klummer og blogs
Skal jeg vælge SharePoint standard eller intranet-in-a-box til mit intranet?
Klumme: Rigtig mange organisationer, som lige nu står overfor at skulle digitalisere den interne kommunikation og samarbejde og skabe en digital arbejdsplads, står overfor valget mellem at bruge SharePoint standard eller at tilkøbe et produkt. I denne artikel gennemgår vi fordele og ulemper ved de to modeller, for at hjælpe med beslutningen.
Af: Eigil Mølgaard
Pas på med vindmøllerne - bæredygtig energi er en af de mest udsatte sektorer, når det handler om it-sikkerhed
Klumme: Produktionen af bæredygtig energi er en af de mest udsatte sektorer, når det handler om it-sikkerhed. Enhederne er i udgangspunktet ofte designet til at fungere i et lukket system og benytter ofte helt andre protokoller, end vi kender fra vores typiske enterprise-systemer. Det kan blive farligt.
Af: Jesper Lund Hedegaard
Software-leverandørerne skal meget tættere på kunderne
Klumme: I fremtiden bliver hele procesflowet automatiseret. Indkøb af komponenter og materialer til specifikke projekter vil ske automatisk og endda i forhold til udsving i råvarepriserne.
Af: Christian Pedersen
opinion
Mikkel Heltborg Terp
Derfor er det tvingende nødvendigt at du køber noget ny elektronik hele tiden
opinion Christian Pedersen
Software-leverandørerne skal meget tættere på kunderne
Læs indlæg

Premium
Her er Microsofts planer med Windows for 2021: Pønser på fire nye versioner
Windows 10 vil udkomme i et væld af nye afskygninger i det kommende år. Få overblikket her.
Læs mere »
Mere end 70.000 adresser lækket i kæmpehack af TDC-virksomhed: Hackerne kræver løsepenge
KMD siger farvel til et halvt hundrede ansatte i fyringsrunde: "Vi tilpasser løbende organisationen"
Coop ansætter ny digital direktør: Her er hans vigtigste opgave
Se alle »
Computerworld
Stein Bagger gør comeback i ny branche: "De lignede et mafiahold, førte sig frem som nyrige og plaprede løs om urealistiske drømme"
Stein Bagger har skiftet navn og fører sig nu frem i store biler i en helt ny branche, skriver en dansk avis.
Læs mere »
Det digitale kørekort lagt ned efter voldsom trafik
It-virksomheder forsøger at standse nyt Google-værktøj: Nu går myndighederne ind i sagen
Dele af internettet lagt ned: AWS ramt af stort nedbrud
Se alle »
CIO
Podcast: Her er seks gode råd om ledelse og digitalisering fra danske top-CIO'er
The Digital Edge: Vi har talt med 17 af Danmarks dygtigste digitale ledere - og samlet deres seks bedste råd om digitalisering og ledelse. Få alle rådene på 26 minutter i denne episode af podcasten The Digital Edge.
Læs mere »
Podcast: Hos Viking Life-Saving Equipment er it gået fra at være backend til at være noget, som kunderne spørger aktivt efter
Se alle »
Job & Karriere
Se Waoos forklaring: Derfor har selskabet fyret topchef Jørgen Stensgaard med omgående virkning
Waaos bestyrelse opsiger fiberselskabets topchef, Jørgen Stensgaard, der fratræder med omgående virkning. Se hele forklaringen fra Waao her.
Læs mere »
Her er Danmarks fem bedste CIO'er lige nu: Disse fem top-CIO'er er nomineret til titlen som Årets CIO 2020
Her er de mest eftertragtede danske it-folk : "Folk får så mange henvendelser, at de må slette deres profil på LinkedIn"
Det nye MitID er et tigerspring for bedre cybersikkerhed
Se alle »
White paper
Sådan sælger du nemt IT-sikkerhed og backup som en service – og styrker din indtjening
Den klassiske forhandlermodel med salg af produkter er under pres. Som IT-forhandler er du enormt konkurrenceudsat og de kunder der køber, er ikke altid loyale. Den hårde konkurrence giver samtidig stærkt begrænsede margener. For kunden er det er mere besværligt købe produkter end det er at købe services og du risikerer derfor, at kunden smutter over til en nemmere og mere fleksibel løsning - det vil sige til nogen, der sælger services. Nøglen til vækst er ofte at påtage sig rollen som managed service provider. Her tilbyder du en pakke af services, der komplementerer primærproduktet og løser en udfordring for kunden – og styrker dit salg og din indtjening. Du opnår en løbende indtægt, en tættere relation til dine kunder og en fleksibilitet og skalerbarhed, som kun skyen kan tilbyde. Et oplagt eksempel er en kombination af salg af services som cyberbeskyttelse og backup. I denne hvidbog får du konkrete råd til, hvordan du kommer i gang med at optimere din forretningsmodel.
Læs mere »
Sådan outsourcer du effektivt – og undgår fælderne
Optimér produktiviteten og lad din printer følge med ud i skyen
Sådan kan du arbejde effektivt uanset tid, sted og type af enhed
Se alle »

Events
Flere events »
White papers
Flere white papers »
Uddannelse
Se alle kurser »