”Som sikkerhedsmand kan man let få tunnelsyn og fokusere på, at alt kan gå galt, og man vil have serveren stående nede i kælderen, for så er den sikker. Nej – det er den ikke. Det er de færreste, der kan matche sikkerhedsteam på 5.000 mand hos Google, Amazon eller Microsoft.”
Thomas Kristmar er sikkerhedschef i Nordea og har den mundrette titel ”head of information security incident management operations”.
Han har stået i spidsen for både policy-afdelingen og net-sikkerhedstjenesten hos Center for Cybersikkerhed, og torsdag gav han 300 danske it-folk gode råd til konferencen Kompetera Solutionsday.
Fra scenen gjorde han blandt andet op med utopien om 100 procents beskyttelse og pointerede, at noget af det vigtigste er at have styr på, hvad man gør, når skaden er sket.
”Jeg vil opfordre til at tage udgangspunkt i, hvad hackerne gør, når de er kommet igennem dit forsvar. Alle hackere efterlader sig spor, men kan I se dem i jeres logs? Hvor mange her kigger deres logs ordentligt igennem?”
Efter en noget anspændt mumlen fra salen rakte nogle få tilhørere hænderne i vejret, og Thomas Kristmar kom med et konkret råd til, hvordan man kan opdage, at noget er galt.
”Det første mange hackere vil gøre, når de er kommet ind på jeres Windows-server, er at skrive kommandoen whoami. Så hvis man nu for eksempel opretter en alarm, der går af, når en bruge skriver det udenfor et servicevindue, så er man godt i gang,” sagde han med henvisning til kommandoen, der blandt andet viser en brugers rettigheder på en server.
”Det handler om at få defineret, hvad der typisk sker, når man har en sikkerhedshændelse.”
Få alle med
Efter mange år i det offentlige er det en noget anderledes måde at arbejde med sikkerhed på i Nordea, hvor Thomas Kristmar sidder i dag.
Banken har 33.000 ansatte, og ifølge den erfarne sikkerhedsmand er noget af det vigtigste i en stor organisation at få sikkerhed ind på radaren hos alle medarbejdere.
Kæden hopper af, hvis sikkerhed er isoleret til it-afdelingen.
”Hos os skal alle igennem to dages informationssikkerhedskursus, inden de får lov til at passe deres arbejde. Det er genialt, for det betyder, at der er klangbund for sikkerhed i hele virksomheden.”
Flotte produkter er ikke nok
Det seneste års store cyberangreb, datalækager og tilhørende kæmpe-regninger til blandt andre Mærsk har tydeliggjort, at it-sikkerhed er blevet forretningskritisk.
Den pointe understregede Thomas Kristmar også overfor de tilhørende it-folk denne torsdag.
”Sikkerhed er for alvor gået fra at være et teknologispørgsmål til at være et forretningsspørgsmål,” sagde han og slog fast, at det vigtigste er at få styr på organisationen.
Alle skal vide, hvem der gør hvad, når det uundgåelige sker, og der er ubudne gæster på netværket.
”Jeg ved godt, at I bliver tilbudt en masse fine produkter, I kan købe. Mit råd er: Vent nu til I er sikre på, at I har organisationen og ressourcerne til at drive det, I køber. Produkter vil ikke redde jer, det vil dygtige mennesker og processer.”