Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.
Cybersikkerhed har langt om længe fået sit gennembrud på den politiske dagsorden herhjemme. Og det skal vi takke NotPetya og Wannacry i foråret 2017 for.
Dér gik alvoren op for mange, det kostede mange penge på bundlinjen for blandt andet Mærsk. Sidenhen har vi også set andre store cyberangreb, eksempelvis ransomwareangrebene på Norsk Hydro i marts sidste år, Demant i efteråret 2019, ISS her i februar 2020.
En lang række store og små virksomheder har oplevet det ubehagelige at vågne op til en dag, hvor de virkelig får afprøvet deres kriseberedskab. Hvis de ellers har et.
De fleste nyhedsmedier beskæftiger sig med angreb og hændelser på store virksomheder og samfundsvigtige funktioner. Og det med rette, fordi det er der, der er størst samfundsmæssig konsekvens, mest drama og de fleste læsere, lyttere og seere til historierne.
Der er ikke noget så godt for opmærksomheden som en hændelse. Også fra politikernes side. Og når man tilmed kan pege på en ydre fjende, så er det endnu bedre, for så kan vi stå sammen om at være imod nogen.
I den kontekst er det helt på sin plads at tale om cybersikkerhed og truslen udefra. Men er det nu nok?
Cyber-, it- eller informationssikkerhed?
I mange år har ordet på bjerget været it-sikkerhed, selv om vi var mange inden for faget, der sagde informationssikkerhed.
Men det er nemmere at sige it-sikkerhed, det er mere fremmedgørende for den daglige forretning og dermed snarere et problem, som teknikere skal løse. Og derfor har det været svært at komme op på dagsordenen hos presse, politikere, virksomhedsledere og borgere.
Nu taler vi om cybersikkerhed, der i cyber- og informationssikkerhedsstrategien fra 2018 defineres som beskyttelse imod ”..de sikkerhedsbrud, der opstår som følge af angreb mod data eller systemer via en forbindelse til et eksternt net eller system”.
Med cybersikkerhed beskytter vi os mod en udefra kommende fjende. Men er det nu dem eller os, der er vores værste fjende?
Jeg kan godt frygte, at vi atter kommer til at skubbe problemet væk fra os. At vi som almindelige borgere og medarbejdere ikke behøver at beskæftige os med cybersikkerhed, fordi ”..det med cyber kun har noget at gøre med udenlandske aktører og kriminelle, og de er jo ikke interesseret i min lille virksomhed, min familie.”
Menneskelige fejl
Men det er en helt forkert antagelse.
Det vigtigste er hverken cyber- eller it-sikkerhed, men informationssikkerheden, altså det at sikre informationer i forhold til fortrolighed, integritet (ændring af data) og tilgængelighed.
Det er et anliggende for alle, der arbejder med information, og det gør alle. Informationer har en værdi og er dermed også interessant for både de onde og de gode.
I januar faldt kursen på NNIT-aktien på en enkelt dag med 16-17 procent, fordi et foreløbigt regnskab blev sendt ud ved en fejl. En menneskelig fejl. Her var der tale om tab af informationers fortrolighed, som efter det oplyste ikke skete som følge af cyberangreb.
Uden at kende de nærmere detaljer om den menneskelige fejl hos NNIT, kan man for eksempel forestille sig, at en medarbejder hos NNIT kan have sendt et regnskab til en forkert e-mailadresse.
På samme måde som det skete for nogle år siden, da en medarbejder ved en kommune på Fyn kom til at sende fortrolige og følsomme personoplysninger til det lokale dagblad frem for en kollega. Fordi emailadresserne på journalisten og kollegaen tilfældigvis lignede hinanden(!).
Det var næppe sket med en telefaxmaskine endsige brevpost, om end det naturligvis ikke kan udelukkes.
Det er møgærgerligt, men har intet med cybersikkerhed at gøre.
Jeg er med på, at kompromittering af fortrolighed af denne type næppe ville være sket uden en hurtig kommunikationsforbindelse som internettet giver. Det er blot et udtryk for, at informationer er det, der er noget værd.
Det er informationer, vi skal passe på, uanset om de udveksles i samtaler over telefonen, i toget eller i fortrolige rum, ligger på papir i printeren eller i noteform, er lagret på en harddisk, i et sagssystem, på en usb-nøgle, et smartwatch eller mellem ørerne på medarbejdere.
Sikkerhedshygiejne
Bliver fortrolige data blotlagt, uanset hvordan, kan det koste milliarder for en virksomhed og dens aktionærer. Er et forretningskritisk system for en virksomhed utilgængeligt, kan den ikke producere sine varer.
Og bliver der ændret ved data af uvedkommende, kan det gå ud over produkters kvalitet, virksomheden eller forskningsinstitutionens omdømme. I alle tre tilfælde koster det på bundlinjen. Ligesom der var fare for hos julemanden fornylig, hvilket jeg skrev om her: Cybersikkerhed i nisseland: Et fængslende juleeventyr (der heldigvis ender godt).
Alt sammen kan dette ske som følge af menneskelige fejl, som uden konkurrence er den hyppigste årsag til brud på informationssikkerheden.
Aktive fejl som ved NNIT-hændelsen, eller det vi kan kalde inaktive fejl, fordi man ved et tilfælde, skødesløshed eller lignende bliver ubevidst insider, fordi man undlader at lukke en sprække, som cyberkriminelle mv. kan udnytte.
Derfor er det så afgørende, at grundlæggende sikkerhedshygiejne gennemsyrer en organisation, for man kan ikke forhindre mennesker i at begå fejl. Derfor er det også så vigtigt at have nogle forretningsprocesser, systemer og principper, der tager højde for beskyttelse af informationer.
En forretningsproces behøver ikke at have med hverken it eller cyber at gøre. At låse en dør op til et lokale med fortrolige papirer med en nøgle er fx en forretningsproces, vi har anvendt lige siden opfindelsen af låsen.
Bliver låsen oven i købet automatisk slået til, når vi lukker døren, har vi security by design. Det er hverken it, cyber eller anden uforklarlig hokus-pokus, men simpel logik med en god praksis, som understøtter informationssikkerhed. Den forståelse kunne være god at bringe ind i den offentlige debat.
Selv om der er kommet mere cybersikkerhed og mindre it-sikkerhed på manges læber, skal vi ikke glemme informationssikkerheden. Det er stadig den og har til alle tider været den, der er på spil.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.