Artikel top billede

(Foto: Dan Jensen)

Sikkerhedsfirmaer er fyldt med tomme løfter: Find da selv dine sikkerhedshuller og spar kassen

Reportage: Sikkerhedsbranchen er fyldt med tomme løfter og dårlige undskyldninger, mener sikkerhedsekspert. Her er en stribe god råd, der kan højne sikkerheden i netværket, uden det koster en krone.

Kaspersky Security Analyst Summit: "Sikkerhedsbranchen gør ikke dens arbejde ordentligt, og det betyder, at folk ikke får den nødvendige sikkerhed på deres maskiner og i netværket."
 
Så kontant udlægger David Jacoby, der er sikkerhedsforsker i sikkerhedsfirmaet Kaspersky, tingenes tilstand.

"Branchen er fyldt med tomme løfter og dårlige undskyldninger," siger han til Computerworld.

Kan du give et konkret eksempel?

"Der er eksempelvis myter om, at passwords er svære at huske og om, at it-sikkerhed koster en masse penge. Det koster langt fra så meget, som folk går og tror. Firmaerne bruger for mange penge, fordi de ikke ved, hvad de skal bruge pengene på," fortæller han.

Kan du give et eksempel på det?

"Hvis du hyrer et hold penetrationstestere, så koster det eksempelvis et sted mellem 1.500 og 2.000 kroner i timen. Du sætter dem til at hacke dit netværk eller nogle udvalgte maskiner og efterfølgende udarbejde en rapport," begynder han.

"Men tænk engang, hvis de ansatte i virksomheden dokumenterede al deres viden om netværket på forhånd. Det er trods alt dem, der kender netværket. Giv dem en flaske vin for hver svaghed, de finder, så skal du bare se løjer."

Det er win-win

Men behøver således ikke at sætte sikkerhedsfolk til alt. Der er meget, du selv kan gøre for at øge sikkerheden i netværket, lyder hans pointe.

"Jeg har foretaget penetrationstests i 15 år og hver gang, vi har afleveret en rapport, var der folk i ledelsen eller it-teamet, der sagde, at flere af problemerne allerede var kendt. Du betaler altså for noget, som du allerede ved. Lad os sige, du finder halvdelen selv, så kan du spare halvdelen af udgiften eller få ny viden for pengene."

Så man kan altså spare penge ved at åbne øjnene på de folk, man allerede har?

"Ja. Samtidig spilder du konsulenterne deres tid. Så det er win-win. Når du ansætter konsulenterne, kan du give dem den rapport, som du selv har lavet, så kan de tage fat på ukendte problemer."

Er almindelige ansatte gode nok til det?

"De er måske ikke hardcore testere, men de kender netværket, og det er en god start i fejlfinding. Ligeledes er det god uddannelse af dit eget personale, der får et ejerskab til netværket."

Kan du give andre eksempler på, hvordan virksomheder kan spare penge?

"Masser af firmaer køber både software og hardware, men de aner ikke, hvordan det virker eller skal konfigurereres. Så læs manualen, skift default password og andre lavt hængende frugter. Det kan du spare mange penge på."

Og bare et stærkt password kan betyde forskellen mellem at blive hacket eller ej, mener den svenske sikkerhedsekspert.

Læs også: Danskerne er de dårligste i Europa til password: Sådan får du en sikker adgangskode

"Skab nogle gode regler for dine password. Det skal være nemt at huske for dig og svært at gætte for andre. Og brug ikke det samme password til Facebook og til din admin-konto."

Gammel viden bringes videre

Hvorfor tror du så, at virksomhederne køber software?

"Der er et kæmpeproblem i branchen. Du får altid at vide, hvad produkterne kan, men aldrig hvad de ikke kan. Og det er jo her problemerne opstår."

Men der er vel en grund til, at tingene er, som de er?

"Sikkerhedsfolk har hjernevasket folk i gennem årtier med gammeldags information. Ligeledes skriver journalisterne bare hvad, sikkerhedsfolkene siger, så folk ikke møder andre synspunkter. "

Ansvaret er vel i sikkerhedsbranchen?

"Helt sikkert. Sikkerhedsfolk er nok ikke de bedste til at kommunikere uden nødvendigvis at sælge produkter eller services. Det skal selvfølgelig læres."

Er det fordi, det er kompliceret stof?

"Det er ikke kompliceret at skabe et password. Det kan enhver. Men hvis du giver dit password væk, så er der intet sikkerhedsprogram i verden, der kan beskytte dig mod, at andre kan logge ind på din konto. Så simple er de basale færdigheder. Det er bare at gå i gang."

Læs også:
Teknik er ikke nok mod ransomware-angreb: Her er fem veje til moden it-sikkerhed

Internet of things er på trapperne: Fem skridt mod bedre sikkerhed

Der skal turbo på it-projekterne: CIO vil have løsningerne leveret på få dage

Se listen: Her vil CIO'erne prioritere it-investeringerne i 2016




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Advania Danmark A/S
Hardware, licenser, konsulentydelser

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere