Det var to it-medarbejdere fra Novo Nordisk og Handelshøjskolen i København, som onsdag i sidste uge blev anholdt af dansk politi som led i en international FBI-aktion.
Ifølge politiets sigtelser har de to it-medarbejdere, som kender hinanden privat, igennem et stykke tid misbrugt arbejdsgivernes it-udstyr og netværk til at oprette såkaldte IRC-chatservere og til at sprede piratkopier af film, spil og Microsoft-software.
Novo Nordisk vil kun bekræfte, at den ene af de to anholdte arbejder på virksomheden, men ønsker ikke at kommentere sagen yderligere.
På Handelshøjskolen i København vil man derimod gerne fortælle om sagen, blandt andet for at mane rygterne om, at der er tale en højtstående it-medarbejder, i jorden.
- Når vi udtaler os, er det, fordi vi ønsker fuldstændig åbenhed. Vi vil hellere udtale os, end at der løber rygter rundt, siger viceuniversitetsdirektør Leif Hansen fra Handelshøjskolen i København.
Godkendte privat server
Han oplyser, at den anholdte er en timeansat it-medarbejder, som med skolens vidende har brugt en ældre pc til at køre en IRC-server.
Det er den server, der ifølge politiets sigtelser har været brugt som sikkert kommunikationsforum for en international piratring, som FBI har jagtet gennem flere år.
På Handelshøjskolen er det normal praksis, at skolens it-ansatte som et led i at udvikle deres kompetencer får lov til at rode med egne projekter, og det var derfor med ledelsens accept, at den ansatte kørte en privat server.
- Vi synes selvfølgelig, at det er meget beklageligt, og under den bestemte forudsætning, at der er foregået noget klart ulovligt, så opfatter vi det som et groft tillidsbrud mellem os og den ansatte, siger Leif Hansen.
Handelshøjskolen har arbejdet sammen med politiet i den allersidste fase af efterforskningen, og den timeansatte it-medarbejder er nu på en slags suspension, i og med at han efter anholdelsen ikke får tildelt timer på skolen.
Leif Hansen mener ikke, at Handelshøjskolens udstyr er blevet brugt til at distribuere piratkopier af film og software, som politiet også sigter de to mænd for.
Bør opdages i tide
Hvis virksomhedernes servere er blevet brugt til at sprede piratkopier af film og software, burde en ordentlig it-sikkerhedspolitik og kontrol have ført til, at de selv havde opdaget det, mener to sikkerhedseksperter, som Computerworld Online har talt med.
- Er man it-medarbejder, så har man nøglen til systemet, og så kunne det være foregået hvor som helst. Men det er imponerende, at det ikke er blevet opdaget, og det er ikke godt nok, siger Peter Vestergaard, teknisk chef i it-sikkerhedsfirmaet Protego.
Han mener, at kontrol af it-systemerne og netværket bør føre til, at ledelsen i tide opdager, når systemerne bliver misbrugt.
- En kontrol vil vise, om der ligger store mængder data, som ikke bør ligge der. Man kan også finde ud af, hvilke forbindelser der er ud af huset, og der vil man hurtigt se, om der er noget galt, siger Peter Vestergaard.
Nødvendig it-sikkerhedspolitik
Han får støtte af sikkerhedsekspert Lars Neupart, som også mener, at en it-sikkerhedspolitik fulgt op af kontrol og netværksovervågning er den bedste måde at undgå misbrug af it-systemerne på.
- Redskabet hedder revision. Få nogle eksterne folk til at komme ind og kontrollere, om it-brugen er i overensstemmelse med den vedtagne politik, siger Lars Neupart.
Først og fremmest gælder det dog om at have en it-sikkerhedspolitik.
En undersøgelse fra Dansk Industris it-gren, ITEK, viste i januar, at kun 58 procent af 300 adspurgte virksomheder havde en it-sikkerhedspolitik. Blandt virksomheder med it-sikkerhedspolitik var det kun tre ud af fem, der i nogen eller høj grad førte den ud i livet.
- Hvis man bruger almindelig, god it-skik, så vil risikoen for misbrug i hvert fald være nedsat. Det er ikke ensbetydende med, at det kan undgås, for når det er en it-ansat med adgang, så kan det være svært at styre. Men det vil på et tidspunkt blive opdaget, siger Lars Neupart.
Flere eksempler på misbrug
Hos Protego har Peter Vestergaard flere gange oplevet, at it-udstyr er blevet misbrugt til ulovlige formål.
- Det hører til sjældenhederne, at man metodisk anvender servere til eksempelvis fildeling, men vi har for nyligt været ude andre steder og konstateret, at ansatte har været for kreative og anvendt systemer privat. Der har også været grove tilfælde, hvor politiet har været involveret, siger han.
På Handelshøjskolen i København har sidste uges anholdelse af en it-medarbejder ikke umiddelbart ført til ændringer, ud over at skolen nu vil kigge sine sikkerhedssystemer igennem.
Heller ikke princippet med at lade ansatte arbejde på egne projekter bliver ændret.
- Vi har ikke besluttet, om vi skal begynde yderligere at formalisere aftalerne med vores ansatte. Det virker underligt at bede folk skrive under på, at de ikke vil gøre noget ulovligt, men hvis man skal indskærpe det i den her verden, er vi selvfølgelig klar til det, sige viceuniversitetsdirektør Leif Hansen.
