Læren i 'Panama Papers' for enhver it-ansvarlig: Ingen af dine data er sikre

ComputerViews: Den store lækage af fortrolige data i de såkaldte Panama Papers er en alvorlig sag for enhver it-ansvarlig: Ingen data er sikre.

ComputerViews: Offentliggørelsen af en hel stribe interne dokumenter fra det panamanske advokatfirma Mossack Fonseca har vakt betydeligt opsigt i weekenden.

Dokumenterne afslører, hvordan firmaet har hjulpet tusinder af selskaber og personer med at få bragt penge i skattely - herunder (ifølge Børsen) Stein Bagger, der fortsat aldrig har gjort redde for 200 millioner kroner, som kurator i konkursboet efter IT Factory ikke kan finde, den islandske statsminister, flere kendte sportsfolk (herunder danske) og mange andre.

Den alvorlige konklusion
På Island demonstreres der i disse timer uden for parlamentet af en meget stor skare islændinge, der forlanger statsminister Sigmundur Davíð Gunnlaugsson afgang for skatte-fuskeriet

Holder oplysningerne i Panama Papers vand, er harmen selvfølgelig velbegrundet.

Men samtidig illustrerer offentliggørelsen af de mange dokumenter det, som it-chefer og direktører godt er klar over, men som alligevel giver dem grå hår i hovedet: Ingen data er sikre i dag.

Alle dine interne dokumenter - med fortrolige forretnings-oplysninger, kundeforhold, kontrakter, produktoplysninger, medarbejderforhold og alt muligt andet - risikerer alle at blive offentliggjort på samme måde.

Problemet skyldes flere ting:

- Vi gemmer i dag alle vores data på servere - enten i kælderen eller i forskellige versioner af cloud'en. Det gør det nemt at massekopiere dokumenter - ofte endda uden at nogen opdager det - og samtidig transportere dem hurtigt over store afstande og til mange samtidige modtagere.

- Alle vores data og it-systemer hænger sammen på kryds og tværs. Så en indgang i et hjørne af infrastrukturen, kan ofte bane vejen til data i den anden ende af systemet.

- Hacker-miljøerne er i dag blevet uhyre professionelle og automatiserede. Antallet af forskellige angrebsformer og indgangsveje er steget markant, og de er blevet vældigt avancerede.

Det kan du læse mere om her: Hackerne kommer - og du kan (næsten) intet gøre.

Du kan ikke købe dig til sikkerhed
It-sikkerhedsbranchen har på den anden side udviklet sig kraftigt i de senere år. Her udvikles der hele tiden avancerede værktøjer - i dag satser mange på avanceret monitoriering, beskyttelse og avanceret overvågning, der kan afsløre, når der er noget alvorligt på fære.

Det sker i erkendelsen af, at det alligevel ikke kan lade sig gøre at beskytte sig mod alt - heller ikke selv om it-sikkerheds-teknologierne i er dag avancerede og effektive (men jo altid et skridt bagefter hackerne).

Intet af dette hjælper dog, når data bliver kopieret af betroede medarbejdere. Her er det umuligt at købe sig til at god it-sikkerhed ved investering i teknologi.

Det handler om mennesker, procedurer, loyalitet, hvilket på sin vis er langt sværere discipliner end håndtering af selv avanceret it.

Det er bemærkelsesværdigt, at flere af nutidens store datalæk, der for alvor har haft jordskælvs-effekt, har haft en intern medarbejder i hovedrollen - ofte en it-mand.

Se bare på Cablegate, som tog fart, da soldaten Bradley Manning sendte en kvart million fortrolige dokumenter til Wikileaks og Edward Snowden, der lækkede dokumenter om NSA's overvågning.

Det kan du læse mere om her: Gør dig klar til 'New IT' - her er fem hovedtemaer for it-chefen i det kommende år

Ingen ved hvem kilden er
Ingen ved med sikkerhed, hvem der har leveret data fra det panamanske advokatfirma Mossack Fonseca.

Oplysningerne stammer fra en anonym kilde, som tyske Süddeutche Zeitungs har kontakt til. Denne kilde har sendt store mængder krypterede, interne dokumenter fra Mossack Fonseca til avisen.

Vi ved ikke, hvordan vedkommende har fået adgang til oplysningerne, men noget tyder på, at der er tale om en betroet medarbejder, der har fået moralsk kvababelse.

Ingen er sikker
Kunne det samme ske for dig?

Ja, det kunne det.

Vi vil uden den mindste tvivl mange gange i fremtiden komme til at se lignende sager - i større eller mindre målestok - hvor virksomheders fortrolige data bliver lækket.

I tilfældet med Panama Papers er det selvfølgelig godt (hvis oplysningerne altså holder vand).

Men hvad når det gælder dit eget firma? Har du helt orden i alle data? Og sager? Kan alle dine data tåle at se offentlighedens lys og blive eksponeret i medier?

EU's persondataforordning
EU er på trapperne med den store persondata-forordning, der blandt andet har som mål at tvinge virksomheder og organisationer til at få styr på deres it-sikkerhed - herunder beskyttelse, beredskabsplaner og håndtering af data.

Der trues med store bøder, hvis data lækkes. Men virksomhederne frygter faktisk mere reglen om, at de selv skal kontakte alle ramte og fortælle dem om skaden, hvis den opstår.

Denne tvangsmelde-pligt kan skade omdømme og brand uopretteligt og derved true virksomhedens eksistens langt mere end en given bøde.

Du kan læse mere om persondata-forordningen her: Overblik: Få styr på EU's nye persondata-forordning - her er alt du behøver at vide

Hvad skal man gøre?
Det kan det selvfølgelig ikke lade sig gøre at svare entydigt på. Men indførelsen af gode sikkerheds- og kontrol-procedurer kan altid hjælpe lidt på sagen og supplere de udadvendte sikkerheds-systemer.

Ved virksomhedens it-organisation nok om it-sikkerhed? Er der styr på kompetencer, riscisi og løsninger? Eller er det noget, der nok bare 'kører af sig selv.'? Det er væsentlige spørgsmål for dig som CIO.

Et godt eksempel er Rigspolitiets koncern-it, der for halvandet år modtog lammende kritik fra Rigsrevisionen for sin it-sikkerhed - primært på grund af problemer med mandskabs-procedurerne.

Det kan du læse mere om her: Efter lammende kritik af politiets it-sikkerhed: Sådan vil it-chefen løse problemerne

Det er ligeledes en udbredt fejl, at organisationer og virksomheder giver alt for mange medarbejdere adgang til alt for mange data - og glemmer at inddrage tilladelserne, når medarbejderne stopper i virksomheden.

Det kan du læse eksempler på her: Medarbejdere afslører alvorlig brist: Vi har fri adgang til forbudte data

Hertil kommer, at rundspørger (ganske vist globale) har indikeret, at rigtigt mange medarbejdere - helt op til hver syvende - er villig til at sælge deres adgangskoder for helt ned til 150 dollar til fremmede mennesker.

Så grelt er det næppe herhjemme. Og dog. For husker vi ikke alle Se & Hør-sagen fra foråret 2014, hvor en betroet dansk medarbejder solgte fortrolige kreditkort-informationer fra Nets om kendte danskere til sladderbladet?

Det var et scenarie, der ifølge sikkerhedsorganisationen DK-Cert kunne få 'det til at løbe koldt ned ad ryggen på enhver sikkerhedsansvarlig.'

"Hvem har adgang til hvilke data? Hvad må de gøre med dem? Hvordan bliver adgangen logget? Er der personsammenfald mellem dem, der har adgang, og dem, der tjekker logfilerne? En god tilgang her er den såkaldte "separation of duties"," skrev DK-Cert dengang.

Der har på samme måde gentagne gange været historier fremme om, hvordan medarbejdere i danske organisationer uden videre kan gemme arbejdsdokumenter i deres Dropbox eller lignende.

Det kan du læse mere om i denne blot et par måneder gamle undersøgelse: Kritik: Hver femte offentligt ansatte bruger privat Dropbox-konto til arbejds-filer

Det er selvfølgelig en vældigt praktisk løsning for mange.

Men alene det, at det kan lade sig gøre, stiller krav om, at organisationen har fuld tillid til medarbejderne.

Samt at alle dokumenter kan tåle at blive spredt ud under offentlighedens søgelys, hvis en medarbejder (eller en hacker) skulle få anledning til det.

Og kan de lige det?

Har du styr på din sikkerhed? Og dine data? Hvad mener du er løsningen? Giv dit besyv med i debatfeltet herunder.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Edgemo A/S
Salg af hardware, software, konsulentydelser og services inden for virtualiseret infrastruktur, cloud, datacenteret og unified communication.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Træf det rigtige cloud-valg: Hør om mulighederne med hybrid- og multi-cloud

Vi kan ikke komme udenom, at cloud-teknologien bare vokser og vokser. Den giver adgang til store fordele for din virksomhed, men det kræver at virksomheden træffer strategiske, arkitektoniske og teknologiske vælg. Få indblik i, hvordan ud kan få sikkerhed, release cycles og andet til at gå op i en højere enhed.

09. december 2020 | Læs mere


Er du klar til at rekruttere de attraktive it-talenter i 2021?

Hvad betyder aller mest for danske it-kandidater, og har corona været med til at skubbe til it-kandidaternes værdisæt? Det gennemgår vi på denne times webinar, hvor der naturligvis også vil være plads til spørgsmål og mulighed for videre dialog.

10. december 2020 | Læs mere


Datadrevet forretning 2020: Sæt data på den strategiske dagsorden

Forretningspotentialet i data er enormt og vil på mange måder være den udløsende faktor mellem succes og fiasko for mange virksomheder i de kommende år. På denne konference gennemgår vi en række vinder-cases med virksomheder, der i både det små og store har indtænkt data og digitalisering på nye måder i deres dagligdag.

11. december 2020 | Læs mere






Premium
Test: Huaweis Matebook X er særlig laptop med en svaghed, som du skal være opmærksom på
Huawei beviser endnu en gang, at de sagtens kan mingle sig med de bedste pc-producenter. Men alligevel skyder selskabet lidt ved siden af, med sin nyeste maskine.
Computerworld
Bitcoinen nåede lige at kulminere igen – men så kom krakket
Der blev sat en ny rekord for bitcoinens værdi i år – men godt 24 timer efter blev der høvlet næsten 20.000 kroner af den.
CIO
Podcast: Her er seks gode råd om ledelse og digitalisering fra danske top-CIO'er
The Digital Edge: Vi har talt med 17 af Danmarks dygtigste digitale ledere - og samlet deres seks bedste råd om digitalisering og ledelse. Få alle rådene på 26 minutter i denne episode af podcasten The Digital Edge.
Job & Karriere
Se Waoos forklaring: Derfor har selskabet fyret topchef Jørgen Stensgaard med omgående virkning
Waaos bestyrelse opsiger fiberselskabets topchef, Jørgen Stensgaard, der fratræder med omgående virkning. Se hele forklaringen fra Waao her.
White paper
Digital transformation tvinger organisationer til at nå deres digitale mål på nye måder
Allerede for to år siden hævdede nordiske virksomheder, at virksomhedernes konkurrenceevne og sågar overlevelse var afhængig af en vellykket digitalisering. De var klar, fulde af håb og på vej mod det digitale paradis. Hvordan gik det så? Hvor er de nu? For at finde ud af det, interviewede DigiPlex og Norstat 377 forretningsledere og IT-beslutningstagere fra organisationer fordelt over hele Danmark, Sverige og Norge om deres digitaliseringsfremskridt, om hvordan de har håndteret pandemien, og om hvordan IT understøtter eller står i vejen for indfrielsen af deres bæredygtighedsmål. DigiPlex kan nu dele en rapport med resultaterne fra undersøgelsen samt tanker om, hvordan man håndterer dem. De deler også nogle nyttige tips til, hvordan man skaber en pålidelig infrastruktur, der kan tilskynde til og understøtte ambitioner i den digitale økonomi. Læs mere i rapporten Nordic Data Center Trends 2020: Riding out the Storm.