Artikel top billede

64-årig kvindes svindel med Socialstyrelsens satspuljemidler er et lærebogseksempel på, hvordan et it-miljø ikke skal administreres

Klumme: Svindlen med satspuljemidlerne er et eksempel på, hvor galt det kan gå, når der ikke er styr på, hvem der kan gøre hvad i organisationens it-systemer.

Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.

Det er næppe gået nogens næse forbi, at en betroet medarbejder i Socialstyrelsen er mistænkt for at have begået svindel for 111 millioner kroner.

Det er penge, som skulle være gået til Danmarks mest udsatte borgere, men som kvinden i stedet overførte til sine private konti.

Sagen er et skræmmeeksempel på, hvor galt det kan gå, når der ikke er styr på kontrolprocesserne og på hvem, der har hvilke rettigheder i organisationens systemer. Kvinden udnyttede nemlig sin status som superbruger i it-systemerne til at slette sine spor.

Allerede i 2007 kritiserede Rigsrevisionen Socialstyrelsens it-anvendelse og konstaterede, at det ikke altid var muligt at identificere, hvem der havde arbejdet som systemadministrator.

I 2015 påpegede revisionen problemer med styrelsens it-sikkerhed, da alt for mange havde fået tildelt særlige it-adgange.

Det er ganske enkelt et lærebogseksempel på, hvordan et it-miljø ikke skal administreres.

Den største trussel kommer indefra

Nu er det fristende at læne sig tilbage og pege fingre ad it-sikkerheden i Socialstyrelsen.

Men det er også for let. Jeg vil vove den påstand, at udfordringen gælder langt flere organisationer, end vi går og tror - i det offentlige, men bestemt også i det private. Mange har simpelthen ikke fået de processer, som stigende digitalisering kræver, ordentligt på plads.

Ingen skal kunne alt i organisationens it-systemer og de, der kan mest skal løbende overvåges. Så simpelt kan det siges. Og det var det, der var/er problemet i Socialstyrelsen.

I dag har alle travlt med at beskytte sig mod hackerangreb og trusler i cyberspace. Trusler, der lurer uden for organisationen, forstås. Gang på gang ser vi desværre, at de interne trusler i organisationen nedprioriteres i sikkerhedsstrategien.

Dette sker ikke nødvendigvis af modvilje fra virksomheden, men på grund af simpel prioritering.

Det er enormt ærgerligt, for en ting vi må og skal lære fra denne sag er, at indvendige trusler kan være mindst lige så alvorlige som de eksterne.

Insidere er involveret i hele 28 procent af cyberangreb ifølge Verizons seneste Data Breach Investigation Report, og sagen er et klokkeklart eksempel på, hvor udsat organisationen er, når en it-superbruger handler i ond tro.

En medarbejder, som uforvarende kommer til at skade organisationen via sine handlinger, er dog en lige så nærværende trussel.

Ifølge Verizon er menneskelige fejl kilden til hele 17 procent af cyberangreb, og de fleste opstår pga. godtroenhed eller sløset omgang med data. Derfor er det så afgørende at begrænse den skade, som medarbejderne kan udrette – ligegyldigt om der er tale om overlagte handlinger eller ej.

Men hvordan gør man så det? Ved at kontrollere insiderne.

Den proces begynder først og fremmest med at få overblik over organisationens data. Overblikket er først komplet, når man har styr på, hvem der har adgang til hvad, hvorfor de har den adgang, og hvad adgangen bliver brugt til.

Kort sagt: Overvåg løbende hvem, der har gjort hvad i it-systemerne og sørg for, at de rette kontrolinstanser og funktionsdelinger er på plads.

Når det kommer til it-sikkerhed og at holde insidertruslen i skak, så er kontrol ganske enkelt det bedste forsvar.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.