Danmark er under it-angreb - men hvor slemt er det egentlig?

Danske it-sikkerhedsmyndigheder har så travlt med at holde øje med deres eget specifikke hjørne af virkeligheden, at ingen kender til det store, forkromede overbliksbillede af truslerne mod Danmark. Det manglende overblik giver plads til en hel del marketing-røg, siger it-sikkerhedsekspert.

DDoS-angreb, ransomware, virus-befængte filer og phishing-forsøg på stribe.

Ja, med internettet og flere netværksfundne enheder har danskere og danske virksomheder mødt et hav af trusler fra det internationale, digitale samfund, som vi er blevet tættere og tættere forbundet med i de seneste to årtier.

Men hvor farligt det store internet er for borgere og virksomheder i Danmark, er der ingen, der helt har overblik over.

Det viser en rundringning, som Computerworld har foretage til en række myndigheder og en medlemsorganisation som Dansk Industri, der har sikkerhedsforhold for erhvervslivet tæt inde på livet.

Politiets Nationale Cybercrime Center (NC3), beskæftiger sig med it-farligheder målrettet blandt andre borgere og virksomheder i Danmark, mens it-sikkerhedsrapporter fra Det Kriminalpræventive Råd anskuer problemstillingen fra et forebyggelsesperspektiv.

Og så er der en lang række andre myndigheder som DK CERT med fokus på sikring af forskningsnettet, kommunerne med blikket rette mod deres egen sikkerhed lige indtil kommunegrænsen samt private spillere som Nets, der kan oplyse om generelle trusler mod dankortet og NemID.

Dertil kommer en hel hær af privat sikkerhedsfirmaer, som man kunne mistænke for at puste til ilden, så de sælger flere af deres sikkerhedsprodukter.

"Vi har gentagende gange forsøgt at få fat i danske tal for angrebsmønstre, men det kan ikke lade sig gøre at få det fulde overblik," forklarer chefkonsulent Henning Mortensen fra Dansk Industris digitale afdeling, DI Digital.

"Hvis vi kunne få fat i de danske tal, kunne vi efterfølgende målrette sikkerhedskampagner mod udsatte virksomheder. Konsekvensen med de manglende tal er så, at vi må forlade os på de tal, som vi rent faktisk kan få fat i," forsætter Henning Mortensen fra DI Digital.

50 procent er ren røg 
Formand Rasmus Thede fra det uafhængige sikkerhedsråd, Rådet for Digital Sikkerhed, erkender, at det nuværende sikkerhedsbillede i Danmark bliver tegnet af en lang række forskellige aktører.

"Det rigtige tal for hændelser og det forkromerede overblik findes bare ikke. Det skyldes, at der er mange aktører, der har hver sine interesser, når det kommer til sikkerhed," siger Rasmus Theede, som starter som skandinavisk ansvarlig for it-sikkerhed hos CSC den 1.juli.

Han peger på, at der i det danske it-beredskab er en myndighed som Center for Cybersikkerhed under Forsvarets Efterretningstjeneste, der har fokus på trusler fra det store udland.

"Folk ude i virksomhederne er ved at være trætte af at høre om alle de spredte meldinger, der kommer om it-sikkerhed. 50 procent af truslerne er jo ramme alvor, mens 50 procent er ren røg," lyder det fra Rasmus Theede.

"De manglende tal og det samlede overblik over trusler mod Danmark er problematisk på den måde, at folk ikke kan håndtere de mange meldinger, de hører om. Det kan så i værste fald betyde, at de beskytter sig selv forkert ved enten at stikke hovedet i jorden som strudsen eller ved at købe de forkerte sikkerhedsløsninger, fortsætter han.

Sikkerhed trænger til servicetjek
En it-beslutningstager på nationens vegne er Venstre it-ordfører Torsten Schack Pedersen, som efterlyser et samlet overblik over reelle sikkerhedstrusler mod nationen Danmark, vores borgere og vores virksomheder.

Han anerkender dog, at det fuldkomne overblik kan være svært at fremskaffe, fordi mange virksomheder ikke ønsker at oplyse om, at de er blevet ramt.

"Som udgangspunkt vil jeg som politiker meget gerne have det bedst mulige datagrundlag inden for alle områder, så jeg kan være med til at træffe de bedst kvalificerede beslutninger," siger Torsten Schack Pedersen til Computerworld.

Han vurderer det til at være en relativ overkommelig opgave at indsamle alle tilgængelige sikkerhedsoplysninger, så man dermed kan præsentere folk som it-politikere for et mere fyldestgørende billede af it-sikkerhedsniveauet hertillands.

"Der er naturligvis mange mørketal ude hos virksomheder, som ikke ønsker at træde frem i lyset, fordi firmaerne så virker sårbare," lyder det fra Venstres it-politiker Torsten Schack Pedersen.

"Men som første skridt skal vi have udpeget en central myndighed til at tage sig af opgaven. Der er i hvert fald ingen tvivl om, at oversigten over it-trusler mod os trænger til et servicetjek," fortsætter han.

På Venstre-politikerens ønskeliste står et fint, spiralindbundet statistikkatalog ikke øverst på ønskelisten, som derimod toppes af, hvad han kalder et rapid alert-redskab i realtid.

"Man kan godt stille spørgsmålstegn ved, om statistik på den gammeldags facon er løsningen. Jeg ser hellere end gerne, at vi får et nutidsbillede af truslerne, så vi fremadrettet kan beskytte os bedst muligt i alle situationer," forklarer Torsten Schack Pedersen.

En usexet virkelighed
Flere kilder hos forskellige myndigheder fortæller til Computerworld, at de i lighed med it-politikeren også ønsker en konsolidering af diverse offentlige sikkerhedsdata, der som puslespilsbrikker kan hjælpe it-sikkerhedsansvarlige med at samle og se det store billede.

Sikkerhedsekspert og formand hos Rådet for Digital Sikkerhed, Rasmus Theede, forstår godt frustrationen med, at hvert sit domæne har hvert sit perspektiv på it-sikkerhed.

"Vi har brug en spiller i midten, der kan indsamle, analysere og formidle de reelle trusler, så vi kan skabe opmærksomhed omkring de reelle trusler og få slukket for noget af al den marketing-røg, som er derude på sikkerhedsområdet," siger han og fortsætter:

"Det kunne eksempelvis være en organisation under Justitsministeriet, som skal arbejde på tværs af alle de ansvarlige myndigheder, så virksomheder og borgere ikke skal søge informationer om it-sikkerhed mange, mange forskellige steder og somme tider også hos tvivlsomme kilder."

Han nævner i den sammenhæng, at der i kølvandet på EU's persondataforordning har vist sig en masse private selskaber på banen med et hav af løsninger, der er langt fra konkrete tiltag som udnævnelsen af en data protection officer og det med at få styr på sin egen persondata-politik.

"Virkeligheden er jo usexet, at ni ud af 10 sikkerhedshændelser sker på grund af manglende it-hygiejne som manglende patches, sløseri med adgangskoder og manglende uddannelse i, at man ikke skal klikke på potentielt farlige links i mails," siger Rasmus Theede.

It-sikkerhedsmanden tvivler på, hvorvidt en ny it-sikkerhedsfunktion i staten så også kan få ben at stå og gå på, hvis den skal fungere som en koordinerende enhed og give det reelle, fulde billede af it-(u)sikkerheden i Danmark.

"Det vil minimum kræve, at virksomhederne har et sted at melde om angreb, hvis de overhovedet er klar over, at de er blevet angrebet. Dernæst skal virksomheder have en lovning på, at deres anmeldte oplysninger forbliver fortroligt gemt," siger Rasmus Theede.

"For titusundvis af virksomheder tænker næppe så meget på de samfundsmæssige perspektiver som på, at angreb kan ramme netop deres virksomhed, og den enkelte kan blive fyret, hvis sådan et angreb bliver håndteret forkert. Meldepligten for virksomheder anser jeg derfor som den største udfordring."

Læs også:
Socialt eksperiment fastslår: Vores it-sikkerhed er til salg for gratis WiFi

Ransomware, sikkerhed i biler og DDoS-angreb: Her er de værste sikkerhedsplager lige nu




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
Facebook er virksomheden der kan eje verden, hvis den kommer helskindet igennem sin identitetskrise
Selvom Facebooks aktie er blevet sendt til tælling over sommeren, har den gode odds i fremtiden. Selvskabet har nemlig en unik evne til at navigere igennem kriser.
CIO
Forleden reparerede en mekaniker min bil: Det kostede 4.200 kroner, som min hjerne snød mig til at betale med et smil
De rationelle it-beslutninger du træffer er måske en illusion. Det lærte jeg da min bil gik i stykker og min hjerne snød mig til at tro, at alt var fint. Til gengæld fandt jeg tre fælder dine it-beslutninger kan falde i.
Job & Karriere
Her er syv job-annoncer der overrasker med helt usædvanlige overskrifter
Der er mange ledige it-job i øjeblikket. It-jobbank har her fundet syv spændende stillinger, der har det til fælles, at annoncen har en utraditionel overskrift.
White paper
Mobility - her er de aktuelle udfordringer
Hvad med sikkerheden? Mobility-bølgen fejer igennem danske virksomheder, og der er masser af muligheder og faldgruber. Sikkerheden halter, men det kan der gøres noget ved. Produceret af Computerworld.dk i oktober 2014.