It-chefer skal slå i bordet med det samme: It-sikkerhed er også bestyrelsens problem

Der er ikke nogen teknologisk løsning på sikkerhedsudfordringen i it. Derfor skal ansvaret ud af it-afdelingen og ind i bestyrelsen. Det mener Symantecs regionale direktør, Morten Efferbach.

Advanced Persistent Threats, spearphishing, malware og ransomware.

Det er blot nogle af den type angreb, som virksomheder bliver mødt af dagligt.

Og angrebene vil kun blive flere og mere kvalificeret de næste år.

Sådan lyder den kedelige prognose fra Symantecs nordiske direktør, Morten Efferbach, da Computerworld mødte ham under en sikkerhedskonference i København med talere fra blandt andre FBI.

Derfor nytter det heller ikke, at virksomheder sparer på it-afdelingerne, bare fordi det er svært at se det rentable i dem.

"Beskyttelsen af en virksomheds data er ikke et it-problem, det er et forretningsproblem," siger Morten Efferbach.

It-afdelingerne skal på den anden side blive bedre til at komme med klare, letforståelige pointer overfor en ledelse, som måske ikke ved hvorfor RACF-filer er vitale for et z/OS, eller hvorfor de skal tage stilling til it-sikkerhed.

It-sikkerheden skal jo bare virke.

Sikkerhed er ikke et teknologisk quick-fix
Behovet for at trække it-sikkerhed ud af it-afdelingen opstår, fordi ingen teknologier er bedre end de mennesker, der betjener sig af den.

Helt lavpraktisk, så opstår langt størstedelen af de farlige situationer, hvor en virksomhed bliver udsat for et angreb, når en almindeligt ansat, en såkaldt inside man, vidende eller ud af uvidenhed, åbner systemerne op for hackerne.

"Dine ansatte er den bedste måde at forebygge angreb på og i sidste ende også det bedste forsvar. Det gælder alle, fra topchefer til receptionister. Men alt for ofte bliver opgaven og ansvaret alene placeret hos en it-manager, som så står tilbage med aben," siger Peter Schjøtt, som er teknisk pre-sale direktør hos Symantec.

Læs også: Farlige hacker-fif: Her er hackernes hemmelige metoder

Et eksempel på, hvordan uvidenheden, eller de bedste intentioner, underminerer sikkerheden, havde Chuck Esposito, FBI's Cyber Crime kontakt i Danmark.

Han fortalte om en hacker, der ringede til kundeservice med historien om, at han havde glemt sit password. Medarbejderen var kritisk og stillede en række sikkerhedsspørgsmål, men til trods for, at hackeren svarede forkert på alle spørgsmål, fik han alligevel udleveret passwords. Medarbejderen var bare venlig og stolede på det bedste i manden i røret.

Pointen er, at it-sikkerhed også er noget så lavpraktisk, som at følge almindelige protokoller. Men det kræver en massiv bevidsthed omkring det, på alle niveauer i organisationen.

Danske virksomheder er umodne
En ting er mennesker, den anden store it-udfordring, som danske virksomheder står over for, er deres manglende evne til at samle, sammenholde og handle på de små tegn der kan være på, at systemerne ikke er så vandtætte, som det kunne ønskes.

Hvis en hacker snuser rundt i systemerne, efterlader vedkommende oftest et spor: En logfil, et lille udslag på et virus-scan eller bare at data er redigeret. Små ting, som enkeltvis ikke får en it-mand til at råbe vagt i gevær. For de har overordnet ikke betydning for driften.

Læs også: Forsvarets Efterretningstjeneste: Denne type it-angreb er den største trussel lige nu - otte it-advarsler fra efterretningstjenesten

"Virksomhedernes største trussel lige nu, er deres egen umodenhed. Al informationen om indtrængen i systemerne ligger der, men så længe intet går i stykker, så bliver der ikke reageret," siger Peter Schjøtt.

"Et angreb er ikke bare forstyrrelse og ødelæggelse. Der er en grund til, at du er på markedet med dit produkt, du har en særlig viden eller evne, og hvis du mister den til hackere eller konkurrenter, så er det svært at komme tilbage som virksomhed."

Små virksomheder er lavthængende frugter og et springbræt
Det er kun blevet vigtigere, at holde fokus på de små ting. Hackerne er nemlig blevet meget mere tålmodige.

De er blevet til Advanced Persistent Threats, APT.

APT er den særlige type hack, som sagtens kan tage flere år, fra start til slut. Det kan starte med, at en underleverandør finder en usb-nøgle på parkeringspladsen og sætter den i computeren. Så er der malware i systemet.

Herfra kan hackeren få adgang til partnere, som ellers er meget mere sikre virksomheder. Og så starter den langsomme inficering, infiltrering og eksfiltrering af virksomhedshemmeligheder.

"Mange firmaer tager stadig ikke sikkerheden seriøst. Og netop de små virksomheder er et let bytte, fordi de tror, at de er for ubetydelige, til at være interessante for hackere. Men halvdelen af målrettede angreb er mod mindre virksomheder," siger Peter Schjøtt.

Læs også:

Seks ting du kan lære af den seneste tids vilde hacker-sager

Derfor er det så svært at fange malware-svindlere




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Computerworld
De 30 største danske it-virksomheder: Her er antallet af ansatte - og hvor mange penge, der bruges på løn
Top 100: Computerworld har nærstuderet årsregnskaberne fra 499 danske it- og televirksomheder og kan her bringe listen med de 30 største arbejdspladser. Se antallet af ansatte og få et indblik i, hvor mange penge virksomhederne bruger på løn til medarbejderne.
CIO
Du risikerer at blive hægtet helt af, hvis ikke dit netværk bliver fremtidssikret - og det haster
Klumme: Hver dag går mere 168,1 petabyte gennem netværket hos AT&T, hvilket svarer til 130 millioner timers video i HD. Det viser, hvor store krav der i dag stilles til en virksomheds netværk. Er du klar til det?
Comon
Oversigt: Her er de bedste Android-smartphones der kan købes i Danmark
Det vrimler med spændende Android-smartphones på markedet. Vi har samlet en oversigt over de bedste Android-telefoner, du kan købe herhjemme netop nu.
Job & Karriere
Se listen: Disse it-folk bliver ansat på stedet - cheferne skriger efter helt bestemte it-kompetencer
Der er en markant mangel på it-folk med helt bestemte kompetencer samtidig med, at it-cheferne er i gang med at øge bemandingen i it-organisationerne. Se listen med de mest efterspurgte it-kompetencer netop nu.
White paper
Sådan anvender du Microsofts Assessment og Planning Toolkit i dit it-miljø
Dette whitepaper gennemgår hvordan du anvender du Microsofts Assessment og Planning Toolkit i dit it-miljø og kommer med specifikke råd og konkret vejledning til anvendelsen.