It-chefer skal slå i bordet med det samme: It-sikkerhed er også bestyrelsens problem

Der er ikke nogen teknologisk løsning på sikkerhedsudfordringen i it. Derfor skal ansvaret ud af it-afdelingen og ind i bestyrelsen. Det mener Symantecs regionale direktør, Morten Efferbach.

Advanced Persistent Threats, spearphishing, malware og ransomware.

Det er blot nogle af den type angreb, som virksomheder bliver mødt af dagligt.

Og angrebene vil kun blive flere og mere kvalificeret de næste år.

Sådan lyder den kedelige prognose fra Symantecs nordiske direktør, Morten Efferbach, da Computerworld mødte ham under en sikkerhedskonference i København med talere fra blandt andre FBI.

Derfor nytter det heller ikke, at virksomheder sparer på it-afdelingerne, bare fordi det er svært at se det rentable i dem.

"Beskyttelsen af en virksomheds data er ikke et it-problem, det er et forretningsproblem," siger Morten Efferbach.

It-afdelingerne skal på den anden side blive bedre til at komme med klare, letforståelige pointer overfor en ledelse, som måske ikke ved hvorfor RACF-filer er vitale for et z/OS, eller hvorfor de skal tage stilling til it-sikkerhed.

It-sikkerheden skal jo bare virke.

Sikkerhed er ikke et teknologisk quick-fix
Behovet for at trække it-sikkerhed ud af it-afdelingen opstår, fordi ingen teknologier er bedre end de mennesker, der betjener sig af den.

Helt lavpraktisk, så opstår langt størstedelen af de farlige situationer, hvor en virksomhed bliver udsat for et angreb, når en almindeligt ansat, en såkaldt inside man, vidende eller ud af uvidenhed, åbner systemerne op for hackerne.

"Dine ansatte er den bedste måde at forebygge angreb på og i sidste ende også det bedste forsvar. Det gælder alle, fra topchefer til receptionister. Men alt for ofte bliver opgaven og ansvaret alene placeret hos en it-manager, som så står tilbage med aben," siger Peter Schjøtt, som er teknisk pre-sale direktør hos Symantec.

Læs også: Farlige hacker-fif: Her er hackernes hemmelige metoder

Et eksempel på, hvordan uvidenheden, eller de bedste intentioner, underminerer sikkerheden, havde Chuck Esposito, FBI's Cyber Crime kontakt i Danmark.

Han fortalte om en hacker, der ringede til kundeservice med historien om, at han havde glemt sit password. Medarbejderen var kritisk og stillede en række sikkerhedsspørgsmål, men til trods for, at hackeren svarede forkert på alle spørgsmål, fik han alligevel udleveret passwords. Medarbejderen var bare venlig og stolede på det bedste i manden i røret.

Pointen er, at it-sikkerhed også er noget så lavpraktisk, som at følge almindelige protokoller. Men det kræver en massiv bevidsthed omkring det, på alle niveauer i organisationen.

Danske virksomheder er umodne
En ting er mennesker, den anden store it-udfordring, som danske virksomheder står over for, er deres manglende evne til at samle, sammenholde og handle på de små tegn der kan være på, at systemerne ikke er så vandtætte, som det kunne ønskes.

Hvis en hacker snuser rundt i systemerne, efterlader vedkommende oftest et spor: En logfil, et lille udslag på et virus-scan eller bare at data er redigeret. Små ting, som enkeltvis ikke får en it-mand til at råbe vagt i gevær. For de har overordnet ikke betydning for driften.

Læs også: Forsvarets Efterretningstjeneste: Denne type it-angreb er den største trussel lige nu - otte it-advarsler fra efterretningstjenesten

"Virksomhedernes største trussel lige nu, er deres egen umodenhed. Al informationen om indtrængen i systemerne ligger der, men så længe intet går i stykker, så bliver der ikke reageret," siger Peter Schjøtt.

"Et angreb er ikke bare forstyrrelse og ødelæggelse. Der er en grund til, at du er på markedet med dit produkt, du har en særlig viden eller evne, og hvis du mister den til hackere eller konkurrenter, så er det svært at komme tilbage som virksomhed."

Små virksomheder er lavthængende frugter og et springbræt
Det er kun blevet vigtigere, at holde fokus på de små ting. Hackerne er nemlig blevet meget mere tålmodige.

De er blevet til Advanced Persistent Threats, APT.

APT er den særlige type hack, som sagtens kan tage flere år, fra start til slut. Det kan starte med, at en underleverandør finder en usb-nøgle på parkeringspladsen og sætter den i computeren. Så er der malware i systemet.

Herfra kan hackeren få adgang til partnere, som ellers er meget mere sikre virksomheder. Og så starter den langsomme inficering, infiltrering og eksfiltrering af virksomhedshemmeligheder.

"Mange firmaer tager stadig ikke sikkerheden seriøst. Og netop de små virksomheder er et let bytte, fordi de tror, at de er for ubetydelige, til at være interessante for hackere. Men halvdelen af målrettede angreb er mod mindre virksomheder," siger Peter Schjøtt.

Læs også:

Seks ting du kan lære af den seneste tids vilde hacker-sager

Derfor er det så svært at fange malware-svindlere




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

CIO
It-chef i dybet: "Hele vores it-infrastruktur er jo bygget op fra bunden, og alt - inklusive mig selv - forsvinder jo, når vi er færdige i 2018"
Interview: Martin Lauritsen er it-chef på Metro-byggeriet i København, hvor han skal holde internettet i gang og industrispioner ude af 22 byggepladser i hovedstaden. Det er noget af en opgave.
Comon
Sådan installerer du Googles bil-system, Android Auto, på din smartphone
Android Auto har indtil nu krævet en bil med indbygget computer med touchskærm for at kunne fungere. Nu kan du installere systemet på din Android-telefon og benytte den som bil-computer og navigations-system. Se her, hvordan du gør.
Channelworld
Tidligere Atea-boss Claus Hougesen er færdig som direktør i 3A-it: Her er årsagen
Claus Hougesen er stoppet som administrerende direktør for 3A-it og har i stedet overladt posten til Preben Jensen, der ligeledes har en fortid hos Atea.
White paper
Mobility - her er de aktuelle udfordringer
Hvad med sikkerheden? Mobility-bølgen fejer igennem danske virksomheder, og der er masser af muligheder og faldgruber. Sikkerheden halter, men det kan der gøres noget ved. Produceret af Computerworld.dk i oktober 2014.