Søg

Digital sikkerhed: Det er da meget godt med processer - men du får ikke god sikkerhed uden god teknologi

Klumme: Organisation og processer er vigtige, men informationssikkerheden halter, hvis vi ikke udnytter de tekniske sikkerhedsprodukter.

28. august 2015 kl. 14.30
Artikel top billede
Henrik Larsen Henrik Larsen Chef for DKCERT

Sikkerhedspolitik. ISO 27001. Ledelsesinvolvering.

Nogle gange kan det virke som om, informationssikkerhed udelukkende handler om regler, procedurer og organisation.

Men det er en misforståelse. Tekniske redskaber spiller stadig en vigtig rolle.

Faktisk er det ikke muligt at sikre informationer uden brug af teknologi.

Det seneste år har vi hørt om flere sager, hvor fortrolige persondata kom i de forkerte hænder.

Hos en af landets regioner havde alle autoriserede personalegrupper adgang til alle data om de patienter, regionen behandlede.

Piccoliner, præster og musikterapeuter kunne læse data om alle patienter, der blev behandlet.

Det lyder som et tilfælde, hvor der ikke var styr på, hvem der skulle have adgang til hvad.

Politikker er ikke nok

Det kan man prøve at styre med politikker: Regionen kan angive i ansættelsesaftalen, hvilke data hver enkelt type bruger har lov til at se.

Det hører med. Men det er ikke nok.

Regler og politikker er vigtige. Men de skal suppleres med tekniske tiltag, der gør det sværere at omgå dem.

Det aktuelle tilfælde handler om adgangskontrol.

Det er en af de ældste og mest gennemprøvede teknikker inden for informationssikkerhed: Begræns teknisk, hvad en bruger har adgang til.

Det kan være på filniveau: Brugeren med dette brugernavn må kun tilgå filer i disse mapper.

Eller det kan være på databaseniveau: Brugeren må kun tilgå disse felter i disse tabeller.

Adgangskontrol burde ikke udgøre en udfordring, når man udvikler et system til behandling af personfølsomme data.

Standard har kontroller

Jeg vil gerne understrege, at der ikke er tale om en konflikt mellem regel-tilgangen og den tekniske tilgang. Tværtimod.

ISO 27001-standarden har et helt afsnit med såkaldte kontroller.

Nogle af dem handler om regler og procedurer, men andre er praktiske teknologier, der kan bruges til at sikre, at en regel bliver håndhævet i praksis.

Adgangskontrol er et vigtigt element.

Men hvad nu, hvis den svigter, og de ansatte snager i data om patienter, de ikke har brug for at vide noget om?

Her er der brug for en anden teknisk kontrol: Logning.

Logning giver os mulighed for at følge op på, om reglerne bliver overholdt.
Hvis adgangskontrollen ikke er finmasket nok til at forhindre misbrug, kan loggen vise os, om misbrug finder sted.

Logning er vigtig. Det ved hackere også.

Det er ikke tilfældigt, at hackere gerne slår logningen fra som noget af det første, når de har kompromitteret et system.

Det sletter deres spor, så det bagefter er vanskeligt at afgøre, hvilke skader de har forårsaget.

Kig i logfilen

Så en logfil er et rigtig nyttigt redskab. Men det kræver, at den bliver brugt.

Rigtig mange organisationer kigger kun i logfilerne, når der er et problem. Så bliver loggen brugt til at finde ud af, hvornår problemet opstod og under hvilke omstændigheder.

Det er fint. Men det er ikke nok.

Skal loggen tjene et sikkerhedsmæssigt formål, skal den også analyseres, selvom der ikke er en umiddelbar anledning til det.

Loggen giver et overblik over, hvad der foregår i et it-system. Når vi kigger på det billede, kan vi opdage problemer.

Måske er der mange mislykkede forsøg på at logge ind på en bestemt tjeneste.

Det kan være anledning til at undersøge, hvor de forsøg stammer fra. Hvis de kommer ude fra internettet, skal man måske overveje at begrænse adgangen til login-systemet.

Nogle gange kan en log direkte vise, at et system er blevet kompromitteret. Logfilen fra en webserver kan afsløre en transaktion, der udnytter en sårbarhed til at inficere serveren.

De tre elementer

Informationssikkerhed opstår i en kombination mellem mennesker, procedurer og teknologi. Alle tre elementer skal være til stede, for at vi kan opnå den grad af sikkerhed, vi ønsker.

Vores valg af sikkerhedsniveau afhænger altid af en risikovurdering.

Her spiller rammeværker som ISO 27001 en vigtig rolle. De kan hjælpe os med at udvikle vores sikkerhedspolitik.

Men derefter skal teknologien i spil: Firewalls, adgangskontrol, antivirus, logovervågning, IDS (Intrusion Detection System) og hvad producenterne ellers tilbyder af værktøjer.

Så mit budskab er: Den ledelsesmæssige og organisatoriske del af sikkerhedsarbejdet er vigtig, men kan ikke stå alene.

Der skal konkret teknologi til at håndhæve reglerne og implementere politikkerne i praksis.

DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team, der håndterer sikkerhedshændelser på forskningsnettet. I samarbejde med tilsvarende organisationer over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT er en organisation i DeIC, DTU.

Henrik Larsen opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    IT-specialister til Forsvarets nye Digital Backbone - Et samfundkritisk IT-miljø

    Nordjylland

    SOS International

    Fagligt ambitiøs Scrum Master

    Midtjylland

    Netcompany A/S

    Microsoft Operations Engineer

    Nordjylland

    Netcompany A/S

    IT Consultant

    Københavnsområdet

    Se flere it-stillinger
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    Enterprise Architecture Day 2026: Sikker og strategisk suverænitet

    Infrastruktur | Horsens

    Enterprise Architecture Day 2026: Sikker og strategisk suverænitet

    Få ny inspiration til arbejdet med EA – fra sikkerhed og compliance til orkestrering, omkostningsoptimering og cloud governance i en usikker og ustabil tid.

    Executive roundtable: Cyberrobusthed i praksis

    Sikkerhed | Aarhus C

    Executive roundtable: Cyberrobusthed i praksis

    Cyberangreb rammer driften. NIS2 og DORA kræver dokumenteret gendannelse under pres. Få konkret metode til at teste, måle og bevise robusthed på tværs af cloud, SaaS og leverandører. Deltag i lukket roundtable med Commvault og Hitachi.

    Sådan etablerer du digital suverænitet

    Digital transformation | København Ø

    Sådan etablerer du digital suverænitet

    Digital suverænitet afgør kontrol over data, systemer og afhængigheder i Danmark. Computerworld samler Dansk Erhverv og IBM-eksperter om konkrete arkitekturvalg, governance og platforme, der sikrer reel kontrol. Få overblik og handlekraft.

    Se alle vores events inden for it

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    Thomas Nakai, Product Owner hos Carlsberg, har pr. 27. januar 2026 fuldført uddannelsen Master i it, linjen i organisation på Aarhus Universitet via It-vest-samarbejdet. Færdiggjort uddannelse

    Thomas Nakai

    Carlsberg

    netIP har pr. 20. januar 2026 ansat Mikkel Lykke Petersen som Datateknikerelev ved netIP Thisted/Aalborg. Han er uddannet håndværker og har arbejdet som både montør, mekaniker, tømrer og tagdækker. Nyt job

    Mikkel Lykke Petersen

    netIP

    Idura har pr. 5. januar 2026 ansat Arjuna Enait, 34 år, som software engineer. Han skal især beskæftige sig med videreudvikling af Verify-systemet samt arbejde på implementeringen af CIBA i Norsk BankID. Han kommer fra en stilling som software engineer hos Lasso X. Han er uddannet civilingeniør med speciale i geoteknik. Han har tidligere beskæftiget sig med at bygge microservices til dataindsamling og -processering, samt opdatere legacy-systemer. Nyt job

    Arjuna Enait

    Idura

    Sourcing IT har pr. 2. februar 2026 ansat Susanne Sønderskov som Salgsdirektør. Hun skal især beskæftige sig med at styrke Sourcing IT’s kommercielle fundament, skalere salgsindsatsen og øge tilstedeværelsen bl.a. hos jyske kunder. Hun kommer fra en stilling som Salgsdirektør hos Right People Group ApS. Hun har tidligere beskæftiget sig med salgsledelse inden for IT-freelanceleverancer og komplekse kundeaftaler, både privat og offentligt. Nyt job

    Susanne Sønderskov

    Sourcing IT

    Se mere fra navnenyt

    Mest læste

    1 Stein Bagger trækker igen overskrifter: Computerworld var med helt fremme i afdækningen af IT Factory - her er den dramatiske historie
    2 Test: Tilbuds-Tesla er selskabets nok bedste bil til dato: Ny Model Y giver uhørt meget bil for pengene
    3 Nørgaard: "Teal" er det sidste nye i det offentlige - kan gøre dig lykkelig og fylde dig med kærlighed
    4 Kører på gammel iPhone-processor: Men Apples billigste Macbook nogensinde er faktisk rigtig hurtig, viser de første test
    5 Stor nyhed fra Apple: Nu kommer iPhone 17 i en billig version - se, hvad den koster
    6 10 medarbejdere har brugt måneder på at kortlægge hundredetusindevis af produkter - nu åbner SKI for helt ny funktion: "Det er en verdensnyhed"
    7 Nyt gear til de unge: Apple lancerer sin MacBook Neo til denne studievenlige pris
    8 Proton Mail-data endte hos FBI: Oplysninger afslørede anonym protestkonto

    Se seneste uge