Statisk sikkerhed virker ikke, siger Microsofts chef for firmaets Threat Intelligence Center, John Lambert. Foto: Kaspersky Security Analyst Summit.

Sikkerheds-ekspert: Derfor duer statisk sikkerhed bare ikke - her er tre fif til at få bedre it-sikkerhed i virksomheden

Reportage: Her er Microsoft tre bud på den bedst mulige sikkerhed i dit netværk - samt et firma, der forsøger at bruge dem i praksis.

Kaspersky Security Analyst Summit: "Statisk sikkerhed virker ikke, vi skal have fokus på tre andre ting," fortæller Microsofts chef for firmaets Threat Intelligence Center, John Lambert, hvilket gør ham til en af det store firmas ypperste på sikkerhedsfronten.

Han deltager sammen med Microsoft på sikkerhedsselskabet Kaspersky Labs store konference, der i disse dage bliver afviklet på Tenerife.

Sikkerhedsmanden peger på, at massevis af firmaer sætter deres lid til, at man kan få god sikkerhed via antivirussoftware, hardware og ved at reagere på alarmer, der sættes op på logfiler i netværket, hvilket altså ikke er vejen frem.

"Hackere rammer dit netværk fra alle sider, alle svagheder bliver scannet, og derfor er alle maskiner, der har adgang til dit netværk i fokus. Det kan være rigtig mange maskiner, som du måske ikke engang har kontrol over."

Den sikkerhedsansvarlige skal derfor se sikkerhed på en helt anden måde.

Med hovedet under armen
John Lambert illustrerer det på denne måde:

"Hvis du har en teenager, kender du helt sikkert dette: Du stiller et spørgsmål, og han svarer, men tankerne er et helt andet sted. Det er lidt den måde sikkerheden drives på i mange firmaer. Der bliver kun reageret, når der er et angreb, men når det er overstået, så er tankerne et andet sted. Det virker ikke."

Han peger også på, at hvis der er fem huller i netværket, så er man lige vidt, hvis man kun lukker de fire.

Derfor skal fokus flyttes over på data og ikke mindst samarbejde.

"Du er tvunget til at følge med hele tiden, hvilket du kun kan gøre med statistik og analyse af data." sige han.

På den måde kan man bruge tidligere tiders viden til at opbygge forståelse for, hvad fremtiden byder på. En teknik, der også anvendes i mange andre sammenhænge, eksempelvis i detailhandlen.

Savner mere åben kultur
Han efterlyser også en langt mere åben kultur i sikkerhedsbranchen.

"Del information på tværs af industrier og konkurrenter," lyder hans gode råd til sikkerhedsfolket.

"Hvis der ikke sker en koordineret indsats, så taber vi slaget."

Der er et kæmpe behov for, at man taler om tingene og deler erfaringer.

Når et sikkerhedsproblem bliver offentligt, så kommer massevis af analytikere på banen med masser af forskellige erfaringer og synspunkter, som kan bruges i beskyttelsen.

eTrade sikkerhedschef: Vi arbejder med data
Steve Adegbite er sikkerhedschef for aktiehandelsfirmaet eTrade, der netop forsøger, at være på forkant med at have fokus på data.

"Hackerne vil have vores data. Derfor har vi selvfølgelig fokus på dem, og vi forsøger at gøre dem ubrugelige for alle andre end os selv."

Det handler om at lukke data inde i firmaet og så holde en stram disciplin.

"Der er en indbygget konflikt i forhold til ledelsen, der vil have alle data og sikkerhedsfolk, der vil holde på alle data. Men en dag bryder din firewall ned, og så skal dette kompromis være på plads."

Derfor bliver ledelsen nødt til at begrænse sig lidt i datadyngerne i eTrade.

"Hvis en chef eksempelvis kan nøjes med at få adgang til 25 procent af de data, som han har adgang til i dag, og stadig have de nødvendige informationer, så er man kommet langt i dette eksempel. Det kan man så gentage med alle i firmaet."

Ligeledes forsøger man at skabe regler for, hvordan data kan kommunikere med hinanden i netværket.

"Data kan eksempelvis ikke læse op i hierarkiet, og vi forsøger på denne måde at lægge regler ned over datakommunikation og transaktioner i netværket for derved at skærme for eksterne forespørgsler." fortæller han.

Teknologien halter bagefter
Men han fortæller også, at der er et stykke vej til, at det virkelig fungerer i praksis.

"Teknologien er der ikke helt endnu, så der er stadig god plads til at software- og sikkerhedsfolk kan byde ind med løsninger."

Men it-afdelingerne kan altså tage de første tiltag, ved at klassificere data og adgangen til dem i netværket.

"Vent ikke på teknologien, men brug forretningen aktivt, hold fokus på data og byg videre ud fra det udgangspunkt. Fokus på data bliver den største sikkerhedsudfordring i de næste 10 år, men det bliver også utrolig spændende," lyder det fra eTrade-manden.

Han beretter, at der også arbejdes med kryptering, men at det kun er et supplement.

"Kryptering er ikke bygget til moderne virksomheder, fordi det er besværligt og sætter hastigheden ned, så det kan ikke løse problemerne alene. Der skal ny teknologi til, og den glæder vi os stadig til at se."

Læs også:
Hackerne kommer - og du kan (næsten) intet gøre

Teknik er ikke nok mod ransomware-angreb: Her er fem veje til moden it-sikkerhed

Internet of things er på trapperne: Fem skridt mod bedre sikkerhed

Der skal turbo på it-projekterne: CIO vil have løsningerne leveret på få dage

Se listen: Her vil CIO'erne prioritere it-investeringerne i 2016




Computerworld
Alka lancerer eget mobilselskab - trykker priserne helt i bund: "For os handler det ikke om at tjene penge"
Forsikringsselskabet Alka lancerer eget mobilselskab, der ifølge selskabet bliver Danmarks billigste.
CIO
Podcast: Hos Viking Life-Saving Equipment er it gået fra at være backend til at være noget, som kunderne spørger aktivt efter
Podcast, The Digital Edge: Viking leverer en stadig større del af deres produkt som en tjeneste. Som en del af tjenesten tager Viking ansvar for sikkerheden ved at levere, dokumentere og vedligeholde det nødvendige sikkerhedsudstyr. Hør hvordan Henrik Balslev senior digital director hos Viking har løftet den opgave.
Job & Karriere
Se Waoos forklaring: Derfor har selskabet fyret topchef Jørgen Stensgaard med omgående virkning
Waaos bestyrelse opsiger fiberselskabets topchef, Jørgen Stensgaard, der fratræder med omgående virkning. Se hele forklaringen fra Waao her.
White paper
Sådan kan du arbejde effektivt uanset tid, sted og type af enhed
Hvad nu hvis dit arbejde, din information, dine processer og teknologien bag ved, var organiseret på en måde så det passede til din organisation – alt sammen guidet af en intelligent udgave af det digitale arbejdsrum? Det er visionen bag Atea og Citrix´s samarbejde med digital workspace – en smartere og mere effektiv måde at arbejde på. I dette whitetpaper kan du derfor læse om, hvordan du kan skabe et mere effektivt og brugervenligt arbejdsrum uanset tid, sted og enhed. En løsning der på en gang er både enkel og som sætter brugeren i centrum.