Læren i 'Panama Papers' for enhver it-ansvarlig: Ingen af dine data er sikre

ComputerViews: Den store lækage af fortrolige data i de såkaldte Panama Papers er en alvorlig sag for enhver it-ansvarlig: Ingen data er sikre.

ComputerViews: Offentliggørelsen af en hel stribe interne dokumenter fra det panamanske advokatfirma Mossack Fonseca har vakt betydeligt opsigt i weekenden.

Dokumenterne afslører, hvordan firmaet har hjulpet tusinder af selskaber og personer med at få bragt penge i skattely - herunder (ifølge Børsen) Stein Bagger, der fortsat aldrig har gjort redde for 200 millioner kroner, som kurator i konkursboet efter IT Factory ikke kan finde, den islandske statsminister, flere kendte sportsfolk (herunder danske) og mange andre.

Den alvorlige konklusion
På Island demonstreres der i disse timer uden for parlamentet af en meget stor skare islændinge, der forlanger statsminister Sigmundur Davíð Gunnlaugsson afgang for skatte-fuskeriet

Holder oplysningerne i Panama Papers vand, er harmen selvfølgelig velbegrundet.

Men samtidig illustrerer offentliggørelsen af de mange dokumenter det, som it-chefer og direktører godt er klar over, men som alligevel giver dem grå hår i hovedet: Ingen data er sikre i dag.

Alle dine interne dokumenter - med fortrolige forretnings-oplysninger, kundeforhold, kontrakter, produktoplysninger, medarbejderforhold og alt muligt andet - risikerer alle at blive offentliggjort på samme måde.

Problemet skyldes flere ting:

- Vi gemmer i dag alle vores data på servere - enten i kælderen eller i forskellige versioner af cloud'en. Det gør det nemt at massekopiere dokumenter - ofte endda uden at nogen opdager det - og samtidig transportere dem hurtigt over store afstande og til mange samtidige modtagere.

- Alle vores data og it-systemer hænger sammen på kryds og tværs. Så en indgang i et hjørne af infrastrukturen, kan ofte bane vejen til data i den anden ende af systemet.

- Hacker-miljøerne er i dag blevet uhyre professionelle og automatiserede. Antallet af forskellige angrebsformer og indgangsveje er steget markant, og de er blevet vældigt avancerede.

Det kan du læse mere om her: Hackerne kommer - og du kan (næsten) intet gøre.

Du kan ikke købe dig til sikkerhed
It-sikkerhedsbranchen har på den anden side udviklet sig kraftigt i de senere år. Her udvikles der hele tiden avancerede værktøjer - i dag satser mange på avanceret monitoriering, beskyttelse og avanceret overvågning, der kan afsløre, når der er noget alvorligt på fære.

Det sker i erkendelsen af, at det alligevel ikke kan lade sig gøre at beskytte sig mod alt - heller ikke selv om it-sikkerheds-teknologierne i er dag avancerede og effektive (men jo altid et skridt bagefter hackerne).

Intet af dette hjælper dog, når data bliver kopieret af betroede medarbejdere. Her er det umuligt at købe sig til at god it-sikkerhed ved investering i teknologi.

Det handler om mennesker, procedurer, loyalitet, hvilket på sin vis er langt sværere discipliner end håndtering af selv avanceret it.

Det er bemærkelsesværdigt, at flere af nutidens store datalæk, der for alvor har haft jordskælvs-effekt, har haft en intern medarbejder i hovedrollen - ofte en it-mand.

Se bare på Cablegate, som tog fart, da soldaten Bradley Manning sendte en kvart million fortrolige dokumenter til Wikileaks og Edward Snowden, der lækkede dokumenter om NSA's overvågning.

Det kan du læse mere om her: Gør dig klar til 'New IT' - her er fem hovedtemaer for it-chefen i det kommende år

Ingen ved hvem kilden er
Ingen ved med sikkerhed, hvem der har leveret data fra det panamanske advokatfirma Mossack Fonseca.

Oplysningerne stammer fra en anonym kilde, som tyske Süddeutche Zeitungs har kontakt til. Denne kilde har sendt store mængder krypterede, interne dokumenter fra Mossack Fonseca til avisen.

Vi ved ikke, hvordan vedkommende har fået adgang til oplysningerne, men noget tyder på, at der er tale om en betroet medarbejder, der har fået moralsk kvababelse.

Ingen er sikker
Kunne det samme ske for dig?

Ja, det kunne det.

Vi vil uden den mindste tvivl mange gange i fremtiden komme til at se lignende sager - i større eller mindre målestok - hvor virksomheders fortrolige data bliver lækket.

I tilfældet med Panama Papers er det selvfølgelig godt (hvis oplysningerne altså holder vand).

Men hvad når det gælder dit eget firma? Har du helt orden i alle data? Og sager? Kan alle dine data tåle at se offentlighedens lys og blive eksponeret i medier?

EU's persondataforordning
EU er på trapperne med den store persondata-forordning, der blandt andet har som mål at tvinge virksomheder og organisationer til at få styr på deres it-sikkerhed - herunder beskyttelse, beredskabsplaner og håndtering af data.

Der trues med store bøder, hvis data lækkes. Men virksomhederne frygter faktisk mere reglen om, at de selv skal kontakte alle ramte og fortælle dem om skaden, hvis den opstår.

Denne tvangsmelde-pligt kan skade omdømme og brand uopretteligt og derved true virksomhedens eksistens langt mere end en given bøde.

Du kan læse mere om persondata-forordningen her: Overblik: Få styr på EU's nye persondata-forordning - her er alt du behøver at vide

Hvad skal man gøre?
Det kan det selvfølgelig ikke lade sig gøre at svare entydigt på. Men indførelsen af gode sikkerheds- og kontrol-procedurer kan altid hjælpe lidt på sagen og supplere de udadvendte sikkerheds-systemer.

Ved virksomhedens it-organisation nok om it-sikkerhed? Er der styr på kompetencer, riscisi og løsninger? Eller er det noget, der nok bare 'kører af sig selv.'? Det er væsentlige spørgsmål for dig som CIO.

Et godt eksempel er Rigspolitiets koncern-it, der for halvandet år modtog lammende kritik fra Rigsrevisionen for sin it-sikkerhed - primært på grund af problemer med mandskabs-procedurerne.

Det kan du læse mere om her: Efter lammende kritik af politiets it-sikkerhed: Sådan vil it-chefen løse problemerne

Det er ligeledes en udbredt fejl, at organisationer og virksomheder giver alt for mange medarbejdere adgang til alt for mange data - og glemmer at inddrage tilladelserne, når medarbejderne stopper i virksomheden.

Det kan du læse eksempler på her: Medarbejdere afslører alvorlig brist: Vi har fri adgang til forbudte data

Hertil kommer, at rundspørger (ganske vist globale) har indikeret, at rigtigt mange medarbejdere - helt op til hver syvende - er villig til at sælge deres adgangskoder for helt ned til 150 dollar til fremmede mennesker.

Så grelt er det næppe herhjemme. Og dog. For husker vi ikke alle Se & Hør-sagen fra foråret 2014, hvor en betroet dansk medarbejder solgte fortrolige kreditkort-informationer fra Nets om kendte danskere til sladderbladet?

Det var et scenarie, der ifølge sikkerhedsorganisationen DK-Cert kunne få 'det til at løbe koldt ned ad ryggen på enhver sikkerhedsansvarlig.'

"Hvem har adgang til hvilke data? Hvad må de gøre med dem? Hvordan bliver adgangen logget? Er der personsammenfald mellem dem, der har adgang, og dem, der tjekker logfilerne? En god tilgang her er den såkaldte "separation of duties"," skrev DK-Cert dengang.

Der har på samme måde gentagne gange været historier fremme om, hvordan medarbejdere i danske organisationer uden videre kan gemme arbejdsdokumenter i deres Dropbox eller lignende.

Det kan du læse mere om i denne blot et par måneder gamle undersøgelse: Kritik: Hver femte offentligt ansatte bruger privat Dropbox-konto til arbejds-filer

Det er selvfølgelig en vældigt praktisk løsning for mange.

Men alene det, at det kan lade sig gøre, stiller krav om, at organisationen har fuld tillid til medarbejderne.

Samt at alle dokumenter kan tåle at blive spredt ud under offentlighedens søgelys, hvis en medarbejder (eller en hacker) skulle få anledning til det.

Og kan de lige det?

Har du styr på din sikkerhed? Og dine data? Hvad mener du er løsningen? Giv dit besyv med i debatfeltet herunder.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Edgemo A/S
Salg af hardware, software, konsulentydelser og services inden for virtualiseret infrastruktur, cloud, datacenteret og unified communication.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
GDPR, status og overblik: Påbud og afgørelser strømmer nu ud fra Datatilsynet

Få styr på hvordan du kan sikre løbende overholdelse af GDPR-reglerne i fremtiden. Ved hjælp af de rigtige processuelle værktøjer og systemer kan du leve op til forventningen om, at din virksomhed har styr på reglerne og overholdelses af dem.

25. november 2020 | Læs mere


Hvordan bevarer du kontrollen, når målet er ultimativ frihed? Data Governance i en hybrid infrastruktur

Vores infrastruktur er i høj grad blevet ”sluppet løs”. Vi lever alle sammen med hybrid IT, hvor vores workloads er (eller skal ende) som frie og mobile entiteter, og hvor data kan bo overalt. Men hvordan bevarer du kontrollen, når målet er ultimativ frihed? I dette webinar retter vi fokus mod én af de måder, hvormed vi bedst bevarer balancen mellem frihed og kontrol over vores værdifulde data.

26. november 2020 | Læs mere


Simplificeret storage: Spar penge og besvær med software-defined storage fra Red Hat

Alle organisationer skal forholde sig til håndtering og lagring af hastigt stigende datamængder, hvilket igen øger behovet for en stabil, sikker og fleksibel måde at opbevare deres data på. Vel at mærke uden samtidig at presse økonomien unødigt. Når du har deltaget i Arrow’s webinar, har du viden om, hvordan din næste storageløsning skal se ud og hvorfor open source modellen fra Red Hat CEPH er det rigtige valg.

26. november 2020 | Læs mere





mest debatterede artikler

Premium
Nets risikerer at skulle betale bod efter stor forsinkelse af MitID Erhverv: Forhandler med Digitaliseringsstyrelsen
Kontrakten mellem Digitaliseringsstyrelsen og Nets rummer mulighed for, at Nets kan blive ramt af en bod på grund af forsinkelsen af MitID Erhverv.
Computerworld
Stein Bagger gør comeback i ny branche: "De lignede et mafiahold, førte sig frem som nyrige og plaprede løs om urealistiske drømme"
Stein Bagger har skiftet navn og fører sig nu frem i store biler i en helt ny branche, skriver en dansk avis.
CIO
Podcast: Her er seks gode råd om ledelse og digitalisering fra danske top-CIO'er
The Digital Edge: Vi har talt med 17 af Danmarks dygtigste digitale ledere - og samlet deres seks bedste råd om digitalisering og ledelse. Få alle rådene på 26 minutter i denne episode af podcasten The Digital Edge.
Job & Karriere
Se Waoos forklaring: Derfor har selskabet fyret topchef Jørgen Stensgaard med omgående virkning
Waaos bestyrelse opsiger fiberselskabets topchef, Jørgen Stensgaard, der fratræder med omgående virkning. Se hele forklaringen fra Waao her.
White paper
Gratis whitepaper: Hvad er EDI, og hvordan kan det styrke min forretning?
Overvejer du EDI, og ønsker du at undersøge, om EDI er den rette investering for din virksomhed? Har en af dine kunder eller leverandører for nyligt bedt dig om at udveksle elektroniske dokumenter (EDI)? Så hent dette whitepaper og få et overblik over, hvad EDI er, og hvilke fordele producenter og grossister som dig kan se frem til, når du investerer i EDI til din forretning.