Foto: Kim Stensdal.

Tidligere PET-chef: Kulturen er det største it-sikkerhedsproblem i danske virksomheder

Interview: Sikkerheden skal gøres til et fælles projekt på tværs af afdelinger, hvis virksomheder skal have en chance for at beskytte sig mod voksende it-trusler som ransomware og CEO-fraud. Og der er lang vej endnu for det danske erhvervsliv, mener tidligere PET-topchef Jakob Scharf.

"Det kan være fuldstændig ligegyldigt at bruge store summer på firewalls, og hvad man ellers kan få, hvis man ikke har styr på, hvad der foregår bag murene og har etableret en fornuftig sikkerhedskultur. Og det har man ikke i mange danske virksomheder".

Sådan vurderer Jakob Scharf, der tidligere har stået i spidsen for Politiets Efterretningstjeneste, kortfattet det danske erhvervslivs helt store udfordring med it-sikkerhed.

I dag er han direktør i sikkerhedsfirmaet CERTA, som han stiftede efter at have forladt PET i 2013.

Med sig tog han en række folk fra forskellige grene af efterretningsapparatet, og CERTA hjælper blandt andet store danske virksomheder med at få overblik over, hvor godt (eller dårligt) det står til med it-sikkerheden.

Ifølge den tidligere PET-chef griber de danske virksomheder grundlæggende sikkerhedsspørgsmålet helt forkert an.

"Virksomhederne starter simpelthen det forkerte sted. Det giver ingen mening at købe it-sikkerhedsprodukter, hvis du ikke først sørger for at have et klart overblik over, hvad du skal beskytte, og hvad du skal beskytte det fra," siger Jakob Scharf til Computerworld.

"Investeringerne er spildt, hvis du ikke uddanner medarbejdere i at tænke over, hvad de deler på sociale medier, hvilke mails de klikker på, og hvem der bør have adgang til hvilke data. Den kultur skal etableres som det allerførste skridt," tilføjer Jakob Scharf.

It-sikkerhed? Mig?
Når Scharf og CERTA laver en gennemgang af danske virksomheders sikkerhed, er der særligt en ting, der altid får alarmklokkerne til at ringe og peger på, at den sandsynligvis er gal med sikkerheden: Når ledere og menige medarbejdere er uenige om sikkerhedsniveauet i virksomheden.

"Jeg oplever meget ofte en enorm forskel på ledelsens opfattelse af medarbejdernes sikkerhedsbevidsthed og medarbejdernes oplevelse af deres egen rolle i forhold til informationssikkerheden," siger Jakob Scharf og uddyber:

"Den øverste ledelse vil som regel sige og forvente, at medarbejderne er meget sikkerhedsbevidste og tager alverdens forholdsregler. Men medarbejderne vil som regel have en opfattelse af, at it-sikkerhed er noget, de ordner ovre i it-afdelingen, og at det ikke har noget med dem at gøre. Og så du et problem".

Jakob Scharf erkender, at det kan lyde langhåret at snakke om kultur i stedet for konkret it-sikkerhed, når man nu driver et sikkerhedsfirma.

Men han påpeger, at de fleste brud på informationssikkerheden i større organisationer bunder i, at nogen internt i virksomheden har gjort noget forkert.

Det er interne personer, der klikker på den forkerte mail og får installeret ransomware. Det er ansatte der i god tro reagerer på en falsk email fra chefen og overfører penge fra virksomheden til kriminelle.

Det bedste forsvar er derfor, ifølge Scharf, at skabe en bevidsthed på alle niveauer i virksomheden om, at sikkerhed er vigtigt, ligesom der skal etableres fuldstændig klare arbejdsgange og regler for, hvem der har adgang til hvad fra hvilke enheder. Først derefter bliver det relevant at tale om, hvilken it-sikkerhed man eventuelt bør købe.

"Jeg tror sådan set, at NSA har meget godt styr på den tekniske it-sikkerhed. Men pointen er, at hvis en medarbejder bare kan sætte et USB-stik i en computer og tage informationer med ud af organisationen, så kan det jo være lige meget," siger Jakob Scharf og refererer til, hvordan Edward Snowden kunne stjæle og lække fortrolige NSA-dokumenter og værktøjer.




Premium
Test: Kæmpestort gaming-headset er perfekt til dine lange Teams-møder - men har også nogle besværligheder
Længe før vi andre blev slået hjem til hjemmekontorets endeløse webmøder har gamerne gennemskuet behovet for komfortabelt grej. Så vi tog danske EPOS top gamingheadset med på arbejde. Læs testen her.
Computerworld
Biden sender skjult besked til kode-folket: "Hvis du læser dette, har vi brug for din hjælp”
En stående invitation er blevet opdaget i kildekoden på Det Hvide Hus' hjemmeside. Men den er kun til de eksperter, der selv kan finde den.
CIO
Podcast: Hos Viking Life-Saving Equipment er it gået fra at være backend til at være noget, som kunderne spørger aktivt efter
Podcast, The Digital Edge: Viking leverer en stadig større del af deres produkt som en tjeneste. Som en del af tjenesten tager Viking ansvar for sikkerheden ved at levere, dokumentere og vedligeholde det nødvendige sikkerhedsudstyr. Hør hvordan Henrik Balslev senior digital director hos Viking har løftet den opgave.
White paper
Ryk SAP-workloads i skyen – og tag alle de kendte fordele med
SAP-kunder verden over har gennem de seneste 15 år draget fordel af løsninger baseret på NetApps ONTAP-data management-platform. Herunder en mere sikker og stabil drift samt forenklet administration, hvilket er afgørende for at gennemføre projekter effektivt og for at reducere deres risikoprofil. Gennem de seneste år er det i høj grad også blevet muligt at rykke SAP-workloads i skyen, og det ønsker mange virksomheder rimeligvis at drage fordel af – men uden at sige farvel til mulighederne med NetApp ONTAP. I dette whitepaper stiller vi skarpt på mulighederne for at indarbejde NetApp Cloud Volumes ONTAP and Azure NetApp Files som del af en SAP-strategi baseret på Microsoft Azure.