Denne klumme er et debatindlæg og er alene udtryk for skribenternes synspunkter.
I de seneste uger er stadig flere afsløringer dukket op om, at udenlandske efterretningstjenester - måske i mere eller mindre samarbejde med danske myndigheder - kan have lyttet med på vigtig dansk datatrafik.
Det må få mange danske virksomheder til at overveje, om de er "med på en lytter," eller om sikkerhedsskruen nu skal strammes.
Fiber og internet
Når danske virksomheder kobler sig på internettet, sender mail, overfører filer eller opdaterer websteder, så sker det via fiberkabler mellem lande og kontinenter.
I disse kabler overføres en enorm mængde trafik - mange terabit per sekund - og det er netop disse kabler, som er mistænkt for at være udsat for aflytning.
Selv om man ikke skulle tro det, og selv om man i en del år mente, at fiberkabler var umulige at aflytte, så har der de seneste 10 år eksisteret udstyr, der med største lethed er i stand til at genskabe en fuldstændig kopi af det, der overføres.
Ikke alene er det muligt, men det udstyr, der skal til, er forholdsvis simpelt og udnytter, at der slipper en lille smule af fiberens lys ud af kablet, når det bøjes.
Det lys, som slipper ud forstærkes op og kan så opsamles og sendes videre til filtrering og dataanalyse.
Som internet-kunde har man ingen mulighed for at påvirke hvilke kabler og hvilke veje, ens data sendes rundt i nettet, og faktisk har teleselskabet næsten lige så lidt indflydelse.
Når data har forladt det danske net, så sørger andre selskaber for transporten, og hele vejen frem til målet overføres data i et ukendt antal fiberforbindelser, som potentielt alle kan have ekstra medlytning fra diverse myndigheder.
Beskyt dine data
I dag findes der næppe nogen dansk virksomhed, som ikke er klar over, at egne data skal beskyttes, og vi har set, hvor galt det kan gå, hvis selv store virksomheder sløser med sikkerheden og angribes af hackere som kræver "løsepenge" for at frigive de data, som man har ødelagt ved at kryptere harddiske.
Senest gik det ud over amerikanske Garmin, og også danske virksomheder har været mål for sådanne ransomware angreb, eksempelvis Danish Agro
Derfor bruges der med god grund mange ressourcer på at sikre data, og heldigvis forstår virksomhederne nu alvoren.
Alligevel ser jeg ofte eksempler på, at virksomheder - også blandt dem der har datasikkerhed helt øverst på it-agendaen - er mere tøvende, når det gælder sikker transmission af data, og det er faktisk lidt af et problem - ja, rent faktisk er det et stort problem.
Teleselskabet er ikke din beskytter
Danske teleselskaber og bredbåndsudbydere kan i dag levere rigtigt kraftige internet-forbindelser til erhvervskunder og private.
I en sådan leverance indgår typisk udbyderens udstyr, f.eks. en fiberopkoblet router, som med passende installation sikrer virksomhedens livslinje til den digitale verden.
Og her slutter så leverandørens forpligtelser. Selv om udbyderen er forpligtet til en bestemt oppetid, en vis båndbredde og forsinkelse i overførslen, så gives der ingen garanti for, hvordan de øvrige omstændigheder i "produktet" er.
Det er med andre ord kundens egen hovedpine at sikre, at ingen kan få fat i virksomhedens - eller kundernes - fortrolige data, og i mange tilfælde sker det relativt smertefrit. Web browsere bruger i dag nærmest altid HTTPS så data mellem PC og server krypteres, og det samme gælder opkoblinger til mailservere og andre tjenester i nettet.
Problemet ligger et andet sted
Jeg ser typisk svagheder i virksomhedens egne interne forbindelser, for eksempel mellem filialer eller til medarbejderes hjemmearbejdspladser.
Selv om netværket er bas lås og slå, og godt beskyttet på alle arbejdssteder, så overlader mange virksomheder til teleselskabet at sørge for den sikre transport - og det er galt.
Virksomheden har ansvaret for alt data - uanset om det ligger på en server i huset, eller er på vej fra en filial til en anden, eller på vej til en medarbejder uden for huset.
Jeg møder fortsat mange virksomheder som bruger eksempelvis VPN-tunneller i offentlige MPLS-net i den tro, at data i dem er krypteret, og jeg møder lige dele skepsis og mistro, når jeg gennemgår sikkerhedsmekanismerne (eller rettere manglen på samme) i MPLS.
For selv om VPN-tunnellerne sørger for en præcis aflevering af data, så er alt, hvad der overføres, klartekst og kan dermed aflyttes på et hvilket som helst sted i nettet.
Hjemmearbejdspladsen, som kobles op m
ed ADSL, Coax eller fiber er ikke stort bedre. Internet-forbindelsen er ukrypteret, og det, der foregår i hjemmet, er ligeledes ukrypteret på lokalnetkablerne. På WiFi kan der sættes kryptering på forbindelserne men det er ikke en fuldstændig garanti imod aflytning, og påvirker ikke det der sendes ud af huset - det er fortsat ukrypteret.
Er der en nemmere løsning?
Internet-routere af en vis størrelse og pris indeholder enten krypteringsmuligheder som standard eller kan udstyres med krypteringsmoduler mod en merpris.
Her benyttes typisk IPSec, der er en internet-standard til sikring af trafik på netværkslaget, det vil sige uafhængigt af hvilke applikationer, som anvendes.
IPSec kræver manuel opsætning, som omfatter oprettelse (køb) af autoriserede nøgler (med mindre man bruger sine egne ikke-signerede). Det er en proces, som ikke er den store barriere for den trænede it-afdeling, men som kan være en både dyr og besværlig løsning at rulle ud i en større installation, og som kan være vanskelig at vedligeholde på en sikker måde i navnlig mindre virksomheder.
Man kan også vælge at bruge dedikerede krypteringsbokse, som anbringes mellem routeren og ens eget net.
Fordelen ved sådanne bokse er, at de typisk ikke kræver ekstern sikkerhedskonfiguration da nøgler og andre nødvendige parametre er indbygget i boksene.
Sådanne bokse var tidligere forbeholdt militære anvendelser, men de findes nu også i "civile" udgaver, som betyder, at man - uden forhåndsviden - kan etablere et sikkert net.
Sådanne bokse har i øvrigt typisk en sikkerhed som er mere robust end det der ses i civile routere, for eksempel kan de ikke omkonfigureres udefra, og de destruerer nøglerne, hvis boksene forsøges åbnet.
Det trusselsbillede som Center For CyberSikkerhed - CFCS - i dag tegner for Danmark, bør efter min mening betyde, at alle virksomheder bør overveje at indføre sikker kommunikation overalt i egne netværk internt som eksternt.
Merprisen er beskeden i forhold til de potentielle omkostninger et angreb mod infrastrukturen kan medføre, og desto længere man venter desto mere udsat gør man sig selv - for de kriminelle går altid efter de svageste ofre først.
Den seneste Cybertrussels vurdering fra CFCS kan ses her.
Neutral sikkerhed
Når virksomheder beskytter egne data på vej til og fra og igennem "skyen" med kryptering - hvad enten den er indbygget i applikationer, routere eller ligger i separate boxe - bliver man sikkerhedsmæssigt neutral i forhold til et hvilket som helst netværk.
Og da man som virksomhed ingen indflydelse har på teleselskabernes eller internettets leverandører, er en sådan neutral tilgang til datasikkerhed den eneste rigtige og reelle mulighed.
Og hvad "skyen" angår, så kan den få lov til fortsat at bestå af alle mulige sikre og usikre leverandører og forbindelser.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
