Denne klumme er et debatindlæg og er alene udtryk for skribenternes synspunkter.
Nu tænker du nok: ”Nej Leif, DET mener du bare ikke!” Og indrømmet, overskriften kræver en forklaring, og den får du så her:
Ransomware er ikke noget nyt i Danmark, og der er absolut ingen undskyldning for ikke at være bedre beskyttet mod denne type angreb, end de fleste virksomheder er i dag.
Stort set alle virksomheder har de samme to basale elementer i deres it-forsvar: En firewall og endpoint-beskyttelse. Problemet er bare, at det altså ikke er alle produkter, der er lige gode til at beskytte mod ransomware.
I dag bliver mere end halvdelen af danske virksomheder ramt af en eller anden form for cyberangreb, og størstedelen af disse er ransomware. Det viser tydeligt, at beskyttelsen hos virksomhederne bare ikke er god nok.
Så hvad er undskyldningen?
Den kan ikke være, at de ikke ved, at ransomware er derude, eller hvor slem den kan være. I 2017 blev verden ramt af WannaCry-ransomware, og senere ramte NotPetya blandt andet danske Mærsk.
I begge tilfælde var der stor mediebevågenhed, og der var ingen, der var i tvivl om, at alle kunne rammes, og ikke mindst at det koster dyrt, både i tabte data og i den efterfølgende oprydning i systemerne.
Hvad betyder det så?
Det er din egen skyld
Jo, det betyder, at hvis din virksomhed bliver ramt af ransomware, er det i høj grad din egen skyld.
Tilbage i 2017 var angrebene simple, og siden har vi været utrolig gode til at gå på konferencer og læse whitepapers, men hvad hjælper det, når vi ikke bruger den viden, vi tilegner os? Når vi stadig ikke kan beskytte os mod de simpleste ransomware-angreb?
Den helt gennemgående fejl, jeg ser i branchen, er, at der ikke bliver stillet krav til sikkerhedsleverandøren om, at sikkerhedsløsninger skal beskytte mod de aktuelle trusler.
I stedet stilles der krav om features, specifikationer, og at brugergrænsefladen skal have et bestemt udseende, og så – helt fair – om prisen.
Men det er dér, at de it-ansvarlige i virksomhederne fejler. De glemmer at stille krav om det vigtigste, nemlig at den sikkerhedsløsning, de investerer i, også skal kunne beskytte dem mod kendt og ukendt ransomware, og at leverandøren skal kunne dokumentere det.
De glemmer også at få dokumentation for, at deres sikkerhedsleverandør forsker i sikkerhed, så de er beskyttet mod fremtidige angreb. For det er det, det hele handler om: Stil krav, så du bliver beskyttet.
Glemmer også evaluering
Hvis du ikke kan få den dokumentation, der - i klart, tydeligt og almindeligt sprog - viser, at din sikkerhedsleverandør kan beskytte dig, så er det ikke dig, men leverandøren, der har fejlet, og så skal du løbe skrigende bort, så hurtigt du kan.
Jeg oplever desværre også ofte, at virksomheder glemmer at evaluere deres leverandør af it-sikkerhed løbende, og hvorfor?
Det er helt almindeligt at vurdere advokat, revisor, rengøringsselskab og så videre, så hvorfor ikke it-sikkerhedsleverandøren? Er det loyalitet?
I så tilfælde så spørg lige jer selv: ”Hvis katastrofen sker, gælder den loyalitet så også den anden vej? Vil jeres leverandør tage ansvaret på sig, eller ender aben hos jer?”
Og det er et retorisk spørgsmål – jeg kender godt svaret. Loyaliteten kommer garanteret ikke tilbage, hvis du rammes af ransomware.
Så hvis du ikke stiller krav, skal du ikke pege fingre ad din leverandør. Du bærer selv en stor del af skylden.
For prisniveauet på endpoint-sikkerhed varierer ikke ret meget, men der er noget, der tyder på, at evnen til at beskytte gør.
Så husk nu at stille krav...
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.