Ramt af ransomware? Det er din egen skyld...

Klumme: I dag bliver mere end halvdelen af danske virksomheder ramt af en eller anden form for cyberangreb, og størstedelen af disse er ransomware. Det viser tydeligt, at beskyttelsen hos virksomhederne bare ikke er god nok. Hvad er undskyldningen?

Denne klumme er et debatindlæg og er alene udtryk for skribenternes synspunkter.

Nu tænker du nok: ”Nej Leif, DET mener du bare ikke!” Og indrømmet, overskriften kræver en forklaring, og den får du så her:

Ransomware er ikke noget nyt i Danmark, og der er absolut ingen undskyldning for ikke at være bedre beskyttet mod denne type angreb, end de fleste virksomheder er i dag.

Stort set alle virksomheder har de samme to basale elementer i deres it-forsvar: En firewall og endpoint-beskyttelse. Problemet er bare, at det altså ikke er alle produkter, der er lige gode til at beskytte mod ransomware.

I dag bliver mere end halvdelen af danske virksomheder ramt af en eller anden form for cyberangreb, og størstedelen af disse er ransomware. Det viser tydeligt, at beskyttelsen hos virksomhederne bare ikke er god nok.

Så hvad er undskyldningen?

Den kan ikke være, at de ikke ved, at ransomware er derude, eller hvor slem den kan være. I 2017 blev verden ramt af WannaCry-ransomware, og senere ramte NotPetya blandt andet danske Mærsk.

I begge tilfælde var der stor mediebevågenhed, og der var ingen, der var i tvivl om, at alle kunne rammes, og ikke mindst at det koster dyrt, både i tabte data og i den efterfølgende oprydning i systemerne.

Hvad betyder det så?

Det er din egen skyld
Jo, det betyder, at hvis din virksomhed bliver ramt af ransomware, er det i høj grad din egen skyld.

Tilbage i 2017 var angrebene simple, og siden har vi været utrolig gode til at gå på konferencer og læse whitepapers, men hvad hjælper det, når vi ikke bruger den viden, vi tilegner os? Når vi stadig ikke kan beskytte os mod de simpleste ransomware-angreb?

Den helt gennemgående fejl, jeg ser i branchen, er, at der ikke bliver stillet krav til sikkerhedsleverandøren om, at sikkerhedsløsninger skal beskytte mod de aktuelle trusler.

I stedet stilles der krav om features, specifikationer, og at brugergrænsefladen skal have et bestemt udseende, og så – helt fair – om prisen.

Men det er dér, at de it-ansvarlige i virksomhederne fejler. De glemmer at stille krav om det vigtigste, nemlig at den sikkerhedsløsning, de investerer i, også skal kunne beskytte dem mod kendt og ukendt ransomware, og at leverandøren skal kunne dokumentere det.

De glemmer også at få dokumentation for, at deres sikkerhedsleverandør forsker i sikkerhed, så de er beskyttet mod fremtidige angreb. For det er det, det hele handler om: Stil krav, så du bliver beskyttet.

Glemmer også evaluering
Hvis du ikke kan få den dokumentation, der - i klart, tydeligt og almindeligt sprog - viser, at din sikkerhedsleverandør kan beskytte dig, så er det ikke dig, men leverandøren, der har fejlet, og så skal du løbe skrigende bort, så hurtigt du kan.

Jeg oplever desværre også ofte, at virksomheder glemmer at evaluere deres leverandør af it-sikkerhed løbende, og hvorfor?

Det er helt almindeligt at vurdere advokat, revisor, rengøringsselskab og så videre, så hvorfor ikke it-sikkerhedsleverandøren? Er det loyalitet?

I så tilfælde så spørg lige jer selv: ”Hvis katastrofen sker, gælder den loyalitet så også den anden vej? Vil jeres leverandør tage ansvaret på sig, eller ender aben hos jer?”

Og det er et retorisk spørgsmål – jeg kender godt svaret. Loyaliteten kommer garanteret ikke tilbage, hvis du rammes af ransomware.

Så hvis du ikke stiller krav, skal du ikke pege fingre ad din leverandør. Du bærer selv en stor del af skylden.

For prisniveauet på endpoint-sikkerhed varierer ikke ret meget, men der er noget, der tyder på, at evnen til at beskytte gør.

Så husk nu at stille krav...

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.






Premium
Spareplan har udløst voldsomme protester: Her er regeringens forklaring på planlagte it-besparelser
Regeringens planer om at skære ned for blandt andet Datatilsynet, Digitaliseringsstyrelsen og Styrelsen for It og Læring skyldes blandt andet 'bevillings-udløb' og 'løbende tilpasninger,' lyder det i et skriftligt svar, som Finansministeriet har sendt til Computerworld - tre uger efter vi bad om en begrundelse.
Computerworld
Så kom der pris og dato på de nye PlayStation 5-modeller
Sony slipper de nye PlayStation 5 konsoller løs blot halvanden uge efter lanceringen af Microsofts Xbox-kollektion.
CIO
Podcast: Pandoras CIO Peter Cabello afslører sine tre vigtigste mål for digitaliseringen
Podcast, The Digital Edge: Hør Pandoras CIO Peter Cabello Holmberg fortælle om, hvordan et af verdens største smykkefirmaer arbejder med innovation og digitalisering af et traditionel offline salg, og hvordan Pandora udnytter data til at skabe en bedre kundeoplevelse.
Job & Karriere
På jagt efter et it-job i Jylland? Her er 10 stillinger fra Aabenraa til Aalborg, der ledige netop nu
Vi har fundet en række spændende stillinger til dig, der jagter et it-job. Her kan du vælge og vrage mellem ledige stillinger lige fra Aabenraa til Aalborg.
White paper
Find den rette model til din organisation: Ny guide til outsourcing er fyldt med tips & tricks
Mængden af outsourcede it-opgaver er steget støt over de sidste 10 år. Det giver mening, for samtidig er kompleksitet og forretningens forventninger til hastighed også steget. Men outsourcing er også et strategisk valg. For skal du hyre direkte, gennem en leverandør eller skabe dit eget sourcingselskab? Og hvad er fordele - og ulemper ved hver model? Det får du en række konkrete bud på hvor 5 relationship modeller og 3 prismodeller gennemgås og evalueres.