Artikel top billede

"Jeg har været et dyrt bekendtskab for KMD, men jeg tænker også, at KMD har fået en del ud af det"

Interview: Rasmus Theede står i spidsen for Danmarks eneste private sikkerhedscenter - et center som har kostet KMD et to-cifret million-beløb. Computerworld har besøgt centeret i Ballerup til en snak om erfaring, sandboxing og hvorfor kampen mod sikkerhed hele tiden vokser.

Der er ikke meget i den anonyme lavloftede gang, som afslører, at kontorerne lige til venstre er hjemsted for KMD's it-sikkerhedscenter.

Ifølge KMD er sikkerhedscenteret Danmarks mest moderne og avancerede.

KMD kalder det for Security Analytics Center eller bare SAC´en.

Godt nok har jeg, med KMDs årvågne pressechef et par skridt foran, lige passeret en sikkerhedssluse, hvor mit gæstekort skal godkendes af maskinen.

Men med glasdøre, der slutter i hoftehøjde, er det sandsynligvis kun uvedkommende med hofte- eller rygproblemer, der for alvor ville blive udfordret af slusen.

Men det handler jo altså da også om it-sikkerhed, som  koncernsikkerhedschef Rasmus Theede for et par år siden blev hyret til at levere.

Ingen ridser i lakken

For i modsætningen til Nets, CSC og flere andre store virksomheder, som opbevarer eller behandler personfølsomme oplysninger for det offentlige - og dermed dig og mig - så er KMD tilsyneladende sluppet igennem uden ridser i lakken eller huller i sikkerheden.

Og det er ikke et resultat, som er kommet af sig selv, understreger Rasmus Theede, da vi sætter os ned omkring mødebordet i hans lille kontor i hjertet af KMD's it-sikkerhedscenter

"Jeg blev spurgt af KMD, hvad det ville koste at bygge en løsning op, som byggede på mine erfaringer fra Forsvaret, A.P. Møller-Maersk og NNIT og som var 'second-to-none'. Det endte på et to-cifret millionbeløb. Så jeg har været et dyrt bekendtskab for KMD, men jeg tænker også, at selskabet har fået en del ud af det."

Et hurtigt kig rundt i de lavloftede og lidt anonyme lokaler bekræfter, at pengene helt sikkert ikke er brugt på designermøbler.

I stedet sidder Rasmus Theede på et forholdsvist ydmygt kontor midt mellem de to sektioner, som udgør af KMDs sikkerhedscenter.

I den ene sektion sidder en række travle medarbejdere med headset og sikrer, at kun folk, som er godkendt, får adgang til følsomme informationer. 

Samtidig holder medarbejderne øje med indikationer, som kan vise, at der er et hul i sikkerheden. 

Det kan være hvis en bruger, som normalt ikke rejser, pludselig logger ind fra et andet land. Eller at en bruger logger ind fra København og 10 minutter senere fra Århus.

Det lyder måske basalt, men det er ifølge Rasmus Theede også pointen:

"Der er ingen grund til at købe en masse teknologi, hvis ikke du sørger for at skifte dine passwords. Min erfaring er desuden, at langt de fleste angreb vi ser, ikke har noget med avanceret teknologi at gøre. Det er fordi, folk glemmer at patche. Vi ser stadig angreb som SQL Slammer fra 2001. Det er en 13-14 år gammel patch, som stadig ikke er lagt på noglemaskiner et sted derude."

Samtidig understreger sikkerhedschefen, at folk i it-branchen sjældent i sig selv udgør at sikkerhedsproblem:

"På trods af tys-tys sagen [om de lækkede Dankort-oplysninger fra Nets til Se & hør, red.] ser vi ekstremt få datatab, som er forårsaget af folk i it-branchen. Det er under en procent af tab af data. Men i det offentlige er datatab forårsaget af menneskelige fejl i måske 25-30 procent af tilfældene - og fejlene sker nok primært grundet manglende kendskab til procedurer, systemunderstøttelse og lignende."

Udover at beskytte KMD mod angreb står sikkerhedscenteret også for KMD's interne revision af sikkerheden og uddannelsen i sikkerhed i hele koncernen.

"Selv vores direktion er blevet undervist i sikkerhed og skulle bestå en prøve. Og det virker. For nylig havde vi et målrettet angreb mod ni  personer med en falsk pakke-mail. Ingen klikkede på den.

Netop balancen mellem sikkerhed og en agil forretning er vigtig at have sig for øje, understreger Rasmus Theede, som refererer til KMD's administrerende direktør, Eva Berneke.

"I stedet for at blokere, så uddanner vi og løfter folk. Vi siger her, at forretning er guld - og sikkerhed følger efter. Forstået på den måde at sikkerhed er til for at beskytte forretningen, for ellers tjener vi ingen penge. Og bliver det hele for rigidt, opstår der skygge-it som modsvar."

Adskilt fra drift og salg

Selve KMD's sikkerhedscenter er fuldstændigt adskilt fra driften af KMD's øvrige systemer.

Det samme er salget af centerets ydelser og de mere drift-orienterede sikkerhedsopgaver som for eksempel vedligeholdelsen af antivirus.

Målrettede og sofistikerede angreb kommer derimod ind til den anden del af KMD's sikkerhedscenter - der, hvor sikkerhedsfolkene for alvor kommer under motorhjelmen på angrebene.

Rent sikkerhedsmæssigt har KMD over 20 forskellige lag til at beskytte koncernens mange løsninger. Tommelfingerreglen er, at hver løsning skal beskyttes af minimum tre aktive og virkende lag, før Rasmus Theede er helt tilfreds.

Der er også derfor at afdelingen på faste ugentlige møder - og når nye trusler opstår akut - mødes for at sikre, at der altid er tre lag af beskyttelse. Og at lagene virker.

Den viden kommer både fra erfaringen fra de - dyre - eksperter, som KMD har ansat i afdelingen og fra den viden, som sikkerhedsfolkene hele tiden får fra de aktive angreb.

"Vi fanger 20-30 angreb om dagen, som vi inspicerer i en sandbox", svarer Rasmus Theede på spørgsmålet om, hvor travlt centeret egentligt har.

Han understreger, at netop fraværet af drift gør, at der kan fokuseres på sikkerhed og læring.

"Historisk set bruger man 80 procent af sin tid på forsvar. Vi bruger nok en tredjedel på forsvar, en tredjedel på at kigge i log og en tredjedel på at forbedre vores kontroller - der hvor vi lærer af hvad der sker. "

Og opgaverne - og truslerne - er meget varierende og går fra at afvise angreb fra hvad Rasmus Theede lidt hånligt kalder script kiddies og wannabees til at ændre den måde, som KMD tilgår selskabets mainframes på.

Det er noget, som KMD endte med at måtte etablere uden IBM. og som har kostet hvad Rasmus Theede blot kalder "et millionbeløb." 

Men det er samtidig penge, som i lyset af CSC-sagen, hvor netop en ældre mainframe blev tappet for personfølsomme oplysninger, nok er givet godt ud.

Har Rasmus Theede et motto, så må det være, at sikkerhed koster.

Det er også sandsynligvis derfor, at der ifølge Rasmus Theede ikke findes et tilsvarende sikkerhedscenter i Danmark.

Og det faktum er en del af appellen, når KMD skal sælge sikkerhedscenterets ydelse til nye og eksisterende KMD-kunder.

Samtidig understreger koncernsikkerhedschefen, at lønniveauet på sikkerhedsområdet typisk er i et sådan leje, at kommuner og mange mindre virksomhed ikke altid kan følge med.

Ud over at have penge i banken, hvad skal man som virksomhed eller organisation så egentlig se efter, når man ansætter interne folk eller leder efter en leverandør?

"Erfaring tæller inden for det her område", understreger Rasmus Theede.

"Det er svært at finde kompetencerne til det her. Vi har heller ikke kunne finde et produkt, som kan alt det, som vi gerne vil. Der er man nødt til at stykke noget sammen af flere. Der er ingen one size fits alle. Vi siger heller ikke, at vi er helt sikre. Og hvis der er en leverandør som siger, at han er 100 procent sikker, så mener jeg, at man skal finde en anden," siger Rasmus Theede.

Læs også: Fem råd - Det skal du vide som it- og sikkerhedsansvarlig i virksomheden




Premium
EU forbereder stor satsning: Disse banebrydende teknologier skal gøre Europa til verdens første CO2-neutrale kontinent
Rene teknologier er nøgleordet i EUs nye grønne klimapagt. Se her hvilke teknologier, der konkret skal redde os ud af CO2-overforbruget inden 2050.
Computerworld
Ny skærmteknologi kan være på vej til iPhone: I fremtiden vil din skærm altid være tændt
Apple har store forventninger til den næste iPhone, der muligvis vil blive udstyret med en helt ny skærmteknologi. Selskabets leverandører har derfor fået at vide, at de skal øge produktionskapaciteten med 20 procent.
CIO
Årets CIO 2021: Nu skal Danmarks dygtigste CIO findes - er det dig? Eller kender du en, du vil indstille?
Det er den mest eftertragtede titel for danske it-chefer og CIO'er, der er på spil, når Årets CIO kåres 16. september 2021. Søg selv eller prik til en, som du kender - og læs mere om prisen her.
White paper
Når AI sætter sig ved rattet: Sådan passer infrastrukturen på sig selv
Selvkørende IT-infrastruktur styrker skaleringsmuligheder og ressourceudnyttelse. Dette whitepaper giver overblik over proces og muligheder.