"Godt nok havde de hyrede sikkerhedskonsulenter ikke held med at trænge ind i datacenteret, men til gengæld kunne de efter få dage komme ind på hovedkontoret"

Annonceindlæg fra itm8

Virksomheder overser kontrol med privilegerede konti – det kan være en dyr fejl

Mange små og mellemstore virksomheder har ikke overblik over deres administrative konti. Det er en dyr blind vinkel, da adgangen nemt kan misbruges.

I sidste uge kunne Computerworld afsløre at Aula, efterfølgeren til Skoleintra-systemet, vil blive drevet på Amazons cloudtjenester. Den beslutning blev ikke modtaget med glæde hos landsformanden for foreningen Skole og Forældre, Mette With Hagensen.

”Som forældre ønsker vi at have de her data inden for landets grænser og i bund og grund allerhelst på et stykke papir i en aflåst skuffe,” fortalte hun og understregede, at tilliden til de offentlige it-systemer kunne ligge på et lille sted.

Det er nemt at fatte sympati for formandens synspunkt. For sporene skræmmer.

Læs også: Driften af Skoleintras afløser til danske skolebørn kommer til at ligge uden for Danmark - skal køres af Amazon et sted i Europa

CSC-hack og SE & Hør-sagen

Tænk bare på CSC-hacket af blandt andet kørekortregisteret eller Nets-oplysninger, som frit flød fra en central medarbejder til Se og Hør, uden at nogen i firmaet studsede over de mange opslag.

Så formandens bekymring er reel. Og de seneste historier om Facebook, Cambridge Analytica og udenlandsk online-indblanding i amerikanske valg viser, at it-anvendelsen for mange har en stor og mørk side.

Det ironiske er dog, at det sandsynligvis er sikrere at køre Aula fra Amazon-servere et sted i Europa end fra en server eller mainframe et sted i Danmark.

Som historien viser, er dansk it ikke lig med sikker it, og en skuffe eller en lokal maskine er langtfra en sikker løsning.

Det viser erfaringerne fra en større dansk softwarevirksomhed, som jeg for nyligt mødte på en konference.

Bekymret over Mærsk-nedbruddet havde virksomhedens bestyrelse igangsat en række initiativer, herunder en penetra­tionstest af både fysisk og digital sikkerhed.

Resultatet var ikke imponerende. Godt nok havde de hyrede sikkerhedskonsulenter ikke held med at trænge ind i datacenteret, men til gengæld kunne de efter få dage komme ind på hovedkontoret - hvor de i øvrigt kronede deres succes med at spise i kantinen flere dage i træk.

Det var en øjenåbner for virksomheden, som efterfølgende har investeret i området. Men mit bud er, at det langtfra er en unik oplevelse.

Læs også: Forældre bekymrede over planer om, at Amazon skal opbevare danske skolebørns data: "De data, der kommer til at ligge der, er vigtige og meget personlige"

GDPR er kun bundniveauet, resten er op til branchen

Så mens det er nemt for it-kyndige at trække på smilebåndet af formandens bekymring, er det op til os i it-branchen at få skabt den nødvendige tillid til de it-løsninger, som skal gøre vores hverdag lettere. Uden at give køb på privatlivets fred.

Det kan kun ske gennem flere gode eksempler, ærlig kommunikation og transparens – også når det går galt.

GDPR-lovgivningen er et skridt i den rigtige retning, men lovgivningen lægger kun bundniveauet – resten er op til os at forklare og forsikre forældre, borgere og brugere.

Læs også:Danske forældre bekymrede over Amazon-aftale - men Amazon garanterer for datasikkerhed: "Der er ingen gråzoner. Vi lever op til reglerne"