Artikel top billede

"Folk tror, at det kun er amerikanske firmaer, der er dumme nok til, at hackere kan tage deres data."

Interview: Rigtig it-sikkerhed kommer først, når du tvinger virksomheder til at tage stilling. Læs her, hvordan honningkrukker og tvungen åbenhed skal få it-sikkerheden i alle brancher op på mærkerne.

Rik Ferguson ved, at it-sikkerhed ikke kommer af sig selv. Du skal skubbe til folk, før de kommer ordentligt i gang.

Rik Ferguson er vicedirektør for sikkerhedsfirmaet Trend Micro's afdeling for sikkerheds research, og ser til daglig, præcis hvad de mørkere eksistenser på internettet får dagene til at gå med.

Og de kriminelle har travlt, så der er rigeligt med grunde til at stramme op.

Det kan man læse i de rapporter, som Rik Ferguson og hans kolleger jævnligt udgiver.

EU kommer til at ændre spillet

Men man når ikke i mål bare ved at vifte brancher om næsen med rapporter om hackere.

For europæere lider af en selvtilfreds vrangforestilling, som har forblændet os for situationens alvor, mener Rik Ferguson.

"Det kommer virkelig til at hjælpe på sikkerheden, når EU-dataforordningen træder i kraft. Der er en opfattelse af, at det kun er amerikanske firmaer, der er dumme nok til, at hackere kan komme helt ind og tage alle deres data."

Men intet kunne være fjernere fra virkeligheden, forklarer sikkerhedsmanden.

For i virkeligheden er europæiske virksomheder lige så udsatte som deres amerikanske kolleger.

De har bare aldrig behøvet at indrømme det offentligt.

"Der har ikke været et lovkrav om, at man skal gå ud og sige 'Hey, vi er blevet hacket, og vi har mistet alle de her data.' Når der kommer et krav om offentliggørelse, kommer vi til at se, hvor mange sager, der virkelig er."


Honningkrukker og tålmodighed

Selvom det hjælper at offentliggøre hacker-angreb, er det altid bedre, hvis man kan forebygge dem.

Det kræver bare, at man ved, hvordan de arbejder.

Det kan være svært at observere it-kriminelle, mens de arbejder, men det bliver lidt lettere, hvis man sætter en fælde op, som de ikke kan holde nallerne fra.

Eller som Rik Ferguson selv siger det:

"Vi bygger vores egne honningkrukker."

En honningkrukke er en replika af et miljø som for eksempel et vandværk eller en benzinstation.

Tricket er, at "komme til" at åbne for adgang til honningkrukken fra internettet, og så skal man ellers bare holde øjnene åbne.

For selvfølgelig kommer der skumle typer forbi.

"Vi byggede et falsk vandværk og lagde det på nettet og holdt løbende øje med, hvad der skete med det. Hvor ser angrebene ud til at komme fra, og hvad forsøger angriberne på?"

Pres på brancherne

Idéen med at lade hackere løbe amok gennem et simuleret vandværk er måske lidt mærkelig, men der er mening i galskaben.

For virksomheder er gode til de ting, der er vigtige for deres marked, og de færreste virksomheder er i sikkerhedsmarkedet. 

Derfor må man overbevise dem om, at de skal se nærmere på sikkerheden, forklarer Rik Ferguson.

"Når vi har lavet en honningkrukke udgiver vi jo rapporter med resultaterne. Dem kan vi så bruge til at lægge pres på de brancher, som bygger den slags teknologi, så de gør et bedre arbejde næste gang."

Det er tilsyneladende en strategi, som giver pote.

I hvert fald er det med til at øge markedet for sikkerhedsselskaber som Trend Micro.

"De firmaer, der bygger baggagehåndtering til lufthavne eller benzinstationer eller atomkraftværker er ikke sikkerhedseksperter. De er eksperter i industrielle processer. Men de er ved at indse, at det falder tilbage på dem, når der sker noget skidt. Så de er begyndt at investere i sikkerhedsekspertise."

Læs også: Sikkerheds-ekspert: Derfor duer statisk sikkerhed bare ikke - her er tre fif til at få bedre it-sikkerhed i virksomheden