It-chefer skal slå i bordet med det samme: It-sikkerhed er også bestyrelsens problem

Der er ikke nogen teknologisk løsning på sikkerhedsudfordringen i it. Derfor skal ansvaret ud af it-afdelingen og ind i bestyrelsen. Det mener Symantecs regionale direktør, Morten Efferbach.

Advanced Persistent Threats, spearphishing, malware og ransomware.

Det er blot nogle af den type angreb, som virksomheder bliver mødt af dagligt.

Og angrebene vil kun blive flere og mere kvalificeret de næste år.

Sådan lyder den kedelige prognose fra Symantecs nordiske direktør, Morten Efferbach, da Computerworld mødte ham under en sikkerhedskonference i København med talere fra blandt andre FBI.

Derfor nytter det heller ikke, at virksomheder sparer på it-afdelingerne, bare fordi det er svært at se det rentable i dem.

"Beskyttelsen af en virksomheds data er ikke et it-problem, det er et forretningsproblem," siger Morten Efferbach.

It-afdelingerne skal på den anden side blive bedre til at komme med klare, letforståelige pointer overfor en ledelse, som måske ikke ved hvorfor RACF-filer er vitale for et z/OS, eller hvorfor de skal tage stilling til it-sikkerhed.

It-sikkerheden skal jo bare virke.

Sikkerhed er ikke et teknologisk quick-fix
Behovet for at trække it-sikkerhed ud af it-afdelingen opstår, fordi ingen teknologier er bedre end de mennesker, der betjener sig af den.

Helt lavpraktisk, så opstår langt størstedelen af de farlige situationer, hvor en virksomhed bliver udsat for et angreb, når en almindeligt ansat, en såkaldt inside man, vidende eller ud af uvidenhed, åbner systemerne op for hackerne.

"Dine ansatte er den bedste måde at forebygge angreb på og i sidste ende også det bedste forsvar. Det gælder alle, fra topchefer til receptionister. Men alt for ofte bliver opgaven og ansvaret alene placeret hos en it-manager, som så står tilbage med aben," siger Peter Schjøtt, som er teknisk pre-sale direktør hos Symantec.

Læs også: Farlige hacker-fif: Her er hackernes hemmelige metoder

Et eksempel på, hvordan uvidenheden, eller de bedste intentioner, underminerer sikkerheden, havde Chuck Esposito, FBI's Cyber Crime kontakt i Danmark.

Han fortalte om en hacker, der ringede til kundeservice med historien om, at han havde glemt sit password. Medarbejderen var kritisk og stillede en række sikkerhedsspørgsmål, men til trods for, at hackeren svarede forkert på alle spørgsmål, fik han alligevel udleveret passwords. Medarbejderen var bare venlig og stolede på det bedste i manden i røret.

Pointen er, at it-sikkerhed også er noget så lavpraktisk, som at følge almindelige protokoller. Men det kræver en massiv bevidsthed omkring det, på alle niveauer i organisationen.

Danske virksomheder er umodne
En ting er mennesker, den anden store it-udfordring, som danske virksomheder står over for, er deres manglende evne til at samle, sammenholde og handle på de små tegn der kan være på, at systemerne ikke er så vandtætte, som det kunne ønskes.

Hvis en hacker snuser rundt i systemerne, efterlader vedkommende oftest et spor: En logfil, et lille udslag på et virus-scan eller bare at data er redigeret. Små ting, som enkeltvis ikke får en it-mand til at råbe vagt i gevær. For de har overordnet ikke betydning for driften.

Læs også: Forsvarets Efterretningstjeneste: Denne type it-angreb er den største trussel lige nu - otte it-advarsler fra efterretningstjenesten

"Virksomhedernes største trussel lige nu, er deres egen umodenhed. Al informationen om indtrængen i systemerne ligger der, men så længe intet går i stykker, så bliver der ikke reageret," siger Peter Schjøtt.

"Et angreb er ikke bare forstyrrelse og ødelæggelse. Der er en grund til, at du er på markedet med dit produkt, du har en særlig viden eller evne, og hvis du mister den til hackere eller konkurrenter, så er det svært at komme tilbage som virksomhed."

Små virksomheder er lavthængende frugter og et springbræt
Det er kun blevet vigtigere, at holde fokus på de små ting. Hackerne er nemlig blevet meget mere tålmodige.

De er blevet til Advanced Persistent Threats, APT.

APT er den særlige type hack, som sagtens kan tage flere år, fra start til slut. Det kan starte med, at en underleverandør finder en usb-nøgle på parkeringspladsen og sætter den i computeren. Så er der malware i systemet.

Herfra kan hackeren få adgang til partnere, som ellers er meget mere sikre virksomheder. Og så starter den langsomme inficering, infiltrering og eksfiltrering af virksomhedshemmeligheder.

"Mange firmaer tager stadig ikke sikkerheden seriøst. Og netop de små virksomheder er et let bytte, fordi de tror, at de er for ubetydelige, til at være interessante for hackere. Men halvdelen af målrettede angreb er mod mindre virksomheder," siger Peter Schjøtt.

Læs også:

Seks ting du kan lære af den seneste tids vilde hacker-sager

Derfor er det så svært at fange malware-svindlere




Computerworld
Alka lancerer eget mobilselskab - trykker priserne helt i bund: "For os handler det ikke om at tjene penge"
Forsikringsselskabet Alka lancerer eget mobilselskab, der ifølge selskabet bliver Danmarks billigste.
CIO
Podcast: Hos Viking Life-Saving Equipment er it gået fra at være backend til at være noget, som kunderne spørger aktivt efter
Podcast, The Digital Edge: Viking leverer en stadig større del af deres produkt som en tjeneste. Som en del af tjenesten tager Viking ansvar for sikkerheden ved at levere, dokumentere og vedligeholde det nødvendige sikkerhedsudstyr. Hør hvordan Henrik Balslev senior digital director hos Viking har løftet den opgave.
Job & Karriere
Se Waoos forklaring: Derfor har selskabet fyret topchef Jørgen Stensgaard med omgående virkning
Waaos bestyrelse opsiger fiberselskabets topchef, Jørgen Stensgaard, der fratræder med omgående virkning. Se hele forklaringen fra Waao her.
White paper
Cisco Umbrella: Sådan udvikler truslerne sig netop nu
Hver eneste dag håndterer de mere end 30 datacentre under Cisco Umbrella mere end 240 milliarder forespørgsler fra 190 lande. Det giver sikkerhedseksperter hos Cisco Talos et enestående datagrundlag for at kortlægge, hvordan cybertrusselsbilledet udvikler sig. I dette whitepaper kan du læse, hvordan trusselsbilledet har udviklet sig hen over 2020. Men – endnu vigtigere – om, hvordan din organisation bedst forbereder sig på at håndtere truslerne i tiden der kommer.