Mærsks milliardtab på sikkerhedsbrud får virksomhedsledere til at vågne op - det skal du udnytte, før det er for sent

Klumme: Udnyt interessen for Mærsks tab på ransomware til at få ledelsen i tale, lyder opfordringen fra DKCERT.

Mellem 1,3 og 1,9 milliarder kroner. Så meget kommer en sikkerhedshændelse til at koste Mærsk.

Rederikoncernen blev et af ofrene for ransomware-ormen NotPetya, der ramte en række internationale virksomheder i slutningen af juni.

Jeg blev for nylig bedt om at holde et oplæg med titlen "Hvordan får sikkerhedsfolkene topledelsen i tale?" Svaret er oplagt: Jeg skal bare vise lederne overskriften om, hvor meget NotPetya koster Mærsk.

Virksomhedsledere har sjældent særlig meget forståelse for informationssikkerhed. Deres interesse er koncentreret om virksomhedens kerneforretning: Hvad producerer vi, og hvordan tjener vi penge på det?

Eksemplet med NotPetya demonstrerer, at vi ikke må opfatte it-risiko som et selvstændigt fænomen. I vore dage er en it-risiko identisk med en forretningsrisiko. Og forretningsrisici er noget, topledere beskæftiger sig med hver dag.

Flere milliardtab
Mærsk taber altså over en milliard på NotPetya. Konfekture- og snackfirmaet Mondelez International anslår et tab på omkring en milliard kroner. Entreprenørfirmaet Saint-Gobain har offentliggjort et samlet tab på 1,6 milliarder kroner.

Det er tal, som en ledelse kan forstå.

Der går gerne en tre måneders tid, før sådan en historie er glemt. Derfor er det nu, de sikkerhedsansvarlige skal udnytte muligheden for at få ledelsen i tale.

Er du ansvarlig for informationssikkerheden i jeres organisation, skal du forberede et indlæg til ledelsen. Tag udgangspunkt i Mærsks oplevelser og stil spørgsmålet: "Hvordan ville vi have klaret en lignende situation?"

Tag jeres it-chef med til mødet. Vær forberedt på, at ledelsen vil have sat tal på risikoen. Så tænk over, hvad omkostningerne ville være for jeres organisation.

Vurder risikoen
En risiko er konsekvensen af et sikkerhedsbrud set i forhold til sandsynligheden for, at det forekommer.

Når ledelsen kender risikoen, kan den foretage en risikovurdering. Der er fire måder at behandle en risiko på: I kan behandle elementerne i den, overføre risikoen til en anden, beslutte at leve med risikoen eller holde op med at bruge de systemer eller processer, risikoen er forbundet med.

Hvis ledelsen vælger at behandle risikoen, kan det fx ske ved at opdatere systemer, købe nyt sikkerhedsudstyr eller ansætte flere sikkerhedsmedarbejdere.

Den type investeringer har I bedre muligheder for at få på budgettet nu, mens Mærsk-historien er i frisk erindring.

Tiltag beskytter
Ledelsen vil utvivlsomt spørge, hvad I kan gøre for at sikre jer mod den type angreb, Mærsk var udsat for. Her er nogle enkle tiltag, man kan begynde med.

Begræns brugernes rettigheder til et minimum. De skal kunne udføre deres arbejdsopgaver, men ikke mere end det. Og det gælder også systemkonti.

NotPetya spredte sig blandt andet ved at afvikle programmer på andre computere på netværket via PsExec. Det får PsExec kun lov til, hvis den kører under en administratorkonto.

Hvis man ikke lader brugere køre som administrator, kan man derfor begrænse risikoen. Et segmenteret netværk kan også mindske skaderne af en angreb. Opdel netværket i segmenter, så skadelige programmer kun kan inficere en mindre del af computerne på nettet.

Som altid ved ransomware-angreb er en sikkerhedskopi uundværlig. Så brug anledningen til at tjekke, at I sikkerhedskopierer data, og at I kan gendanne data ud fra kopierne.

Applikations-whitelisting er også et effektivt redskab. Med whitelisting kan der kun køre applikationer, som er godkendt.

Min erfaring siger desværre også, at det er vanskeligt at få til at fungere i praksis. Ofte kender it-funktionen ikke alle de applikationer, som brugerne ønsker at anvende. Men er man i stand til at håndtere det, er whitelisting en meget effektiv teknologi.

Endelig er det vigtigt at holde software opdateret. Men lige i forbindelse med Mærsk-historien er det ikke den mest oplagte pointe at trække frem. Det ser nemlig ud til, at den skadelige software blev spredt via en automatisk opdatering af et program, som Mærsk og de øvrige ofre brugte.

Under alle omstændigheder: Hvis du savner opbakning til sikkerhedsarbejdet, så er det nu, du skal tage fat i ledelsen. Held og lykke!

DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team, der håndterer sikkerhedshændelser på forskningsnettet. I samarbejde med tilsvarende organisationer over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT er en organisation i DeiC (Danish e-Infrastructure Cooperation).

Henrik Larsen, der er chef for DKCERT og bestyrelsesmedlem i Rådet for Digital Sikkerhed, opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.


Læs også:

Indsigt: Seks vigtige konklusioner om det store hacker-angreb mod Mærsk efter nyt regnskab




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...
mest debaterede artikler

Premium
Mere end 1.000 CPR-numre på danske universitetsstuderende lå offentligt tilgængeligt i mere end tre år
En fejlplacering af to filer har betydet at CPR-numre på mere end 1.000 studerende har ligget offentligt tilgængeligt på nettet i mere end tre år.
Computerworld
Gratis wifi på vej i 15 danske byer: Disse danske byer bliver del af europæisk wifi-initiativ
Femten danske byer er blevet udvalgt til at deltage i et EU-initiativ, der betyder, at borger og turister i byerne i løbet af de kommende år vil få adgang til gratis wifi.
CIO
Tag med på Computerworlds store lederkonference og mød de danske top-CIO'er, som bygger de nye it-afdelinger
Anvendelsen af digital teknologi og organiseringen af it-afdelinger er under radikal transformation. På konferencen Digitaliseringsledelse 2.0 kan du møde de CIO'er fra Bankdata, Adform og Rockwool, som står i spidsen for teknologi-adoptionen.
Job & Karriere
Efter blodrødt regnskab: Nu fyrer Atea 20 medarbejdere i Danmark
Atea fyrer nu 20 medarbejdere. Det sker som en direkte konsekvens af, at den danske forretning er under pres, oplyser selskabets direktør.
White paper
Vil du snydes når du skal vælge printløsning?
Svaret er forhåbentlig/naturligvis nej, men sandheden er at det er et reelt problem for mange virksomheder. I langt de fleste tilfælde skrives der under på kontrakter, der binder virksomheder til unødigt kostbare og langvarige leasing og lejeforløb, og underskriften er desværre bindende. Derfor – der er mange penge at spare ved at få den rigtige rådgivning og sætte sig ind i aftalerne, og vi har samlet 5 gode råd i dette whitepaper.