Du skal stille krav, hvis du vil have god sikkerhed

Klumme: Truslerne fra internettet bliver stadig mere avancerede, og vi kan ikke nøjes med at læne os tilbage og stole på, at andre, eller produkter, beskytter os. Det er nødvendigt at tage ansvar og stille krav til vores leverandører.

Artikel top billede

(Foto: Computerworld US/CIO)

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

For nylig så vi, hvordan den globale trussel Log4Shell rullede ud i hele verden, og vi har endnu ikke set alle konsekvenserne af den.

For fra den blev opdaget, til den blev patchet, gik der flere dage, og dermed var der mere end rigelig tid til at inficere sårbare servere.

Nu skal denne klumme ikke handler om Log4Shell, for den er der blevet snakket rigtig meget om.

Men Log4Shell er en ny type sårbarhed, som viser, at det ikke længere er nok med en firewall og et antivirus-produkt; vi er nødt til at have styr på, hvad der sker på vores netværk.

Den viste med al ønskelig tydelighed, at vi ikke længere er beskyttet på vores egne netværk, og den viste, at vi bør have en plan, så vi har en chance for at kæmpe mod sårbarheder som Log4Shell og fremtidens lignende trusler.

De små og mellemstore har et problem

For hvor de store virksomheder måske nok har råd til at have it-sikkerhedsfolk ansat, der kan overvåge netværk og installationer 24/7, så gælder det ikke for hovedparten af danske virksomheder.

Vi er et land af små og mellemstore virksomheder, der i meget høj grad gør brug af at outsource it-løsninger.

Men det løser ikke vores udfordringer.

For de fleste serviceudbydere har en traditionel forretningsmodel. De leverer den nødvendige plads i et datacenter, de opdaterer software og patcher, når det er nødvendigt, men i forhold til kundernes netværk er de ikke nødvendigvis proaktive, når det kommer til sikkerhed.

De overvåger nok deres eget netværk omkring sikkerhed og adfærd, men ikke kundernes – det er nemlig ikke en del af deres – nuværende – forretningsmodel.

Det bringer mig tilbage til min indledning – vi er nødt til at tage et ansvar selv. De små og mindre virksomheder bør have, eller kigge sig om efter, en serviceudbyder, der kan mere end bare drifte en installation.

De skal stille krav til deres udbyder om, at de overvåger netværket, og at de har en plan for, hvad de gør, hvis sårbarheder som Log4Shell bliver opdaget.

De skal kunne overvåge, om der sker noget unormalt på servere og netværk, og de skal holde øje med, at data ikke bliver sendt ud til steder, den normalt ikke bliver sendt hen.

Stil krav om menneskelig ekspertise og hands-on

I de tilfælde, hvor en udbyder siger, at det klarer de via automatiske løsninger, så er det vigtigt, at der stilles krav om, at de kan levere en løsning/ydelse, der også indeholder menneskelig ekspertise og hands-on.

Der kan godt være en automatik, der rejser et flag, men det er nødvendigt manuelt at undersøge, hvad der sker, når en advarsel dukker op, og ikke mindst hvordan denne advarsel håndteres.

Det er vigtigt at få en persons erfarne øjne og viden ind over processen, fordi automatik enten vil tillade trafikken eller blokere, og begge dele kan være forkert - du er nødt til at finde ud af, præcis hvad der sker.

Og med sårbarheder som Log4Shell er det tydeligt blevet nødvendigt med den manuelle behandling og overvågning.

Tag ansvar

Jeg er slet ikke i tvivl om, at outsourcing og brug af datacentre er en god ide, ikke mindst for små og mellemstore virksomheder, der ikke har det store it-budget. Men de nye sårbarheder viser vigtigheden i, at vi stiller krav til vores udbyder i servicekontrakten.

De krav er blandt andet, at de skal overvåge deres kunders netværk og installationer 24/7, at de kan reagere inden for et givet antal minutter, at de kan implementere et logging-system samt scanne kundernes netværk for uønsket trafik og adfærd.

Det koster naturligvis penge, men her kommer stordriftsfordelen ind, når samme system kan benyttes til flere kunder, og ikke mindst så er det en fremtidig forretningsmodel for serviceudbydere og datacentre.

Jeg har sagt det før, og jeg gentager det her i begyndelsen af 2022: Det er vigtigt, at vi også selv tager et ansvar for vores it-sikkerhed, så vi kan stille de rigtige krav til vores leverandør.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.

Politiets Efterretningstjeneste

Chef Enterprise Arkitekt i PET - Form PET's Digitale Fremtid

Københavnsområdet

Forsvarets Efterretningstjeneste

IT-direktør til Forsvarets Efterretningstjeneste

Københavnsområdet

Quadsat ApS

Software Developer

Fyn

Annonceindlæg fra Barco

Er jeres mødelokaler sikre nok?

Den moderne arbejdsplads er i stigende grad afhængig af mødelokaler til at fremme samarbejde, men dette skift medfører også stigende sikkerhedsudfordringer.

Navnenyt fra it-Danmark

Steen Marquard,  Jabra, er pr. 15. juni 2026 udnævnt som Regional President for Norden og UK. Han er uddannet HD(O). Han beskæftiger sig med I sin nye rolle får Steen ansvar for at videreudvikle salget af virksomhedens professionelle lyd- og videoløsninger, samt styrke samarbejdet med channel teams og partnere på tværs af regionen. Udnævnelse
Comsystem A/S har pr. 15. april 2026 ansat Iver Jakobsen som Technical Key Account Manager. Han skal især beskæftige sig med teknisk løsningssalg. Iver Jakobsen har 25 års erfaring fra TelCo-branchen. Han kommer fra en stilling som Key Account Manager hos E.ON Drive ApS. Han har tidligere beskæftiget sig med rådgivning og løsningssalg. Nyt job

Iver Jakobsen

Comsystem A/S

Renewtech ApS har pr. 1. april 2026 ansat Boris Sudar som Senior IT Specialist. Han skal især beskæftige sig med at sikre, at Renewtech cloudbaseret infrastruktur fortsætter på sit højeste niveau, mens han også skal drive system udvikling. Han kommer fra en stilling som Senior IT Specialist hos Eurowind Energy. Han har tidligere beskæftiget sig med Microsoft 365, Intune og sikker endepunktsstyring for hybrid og cloudbaseret infrastrukturer. Nyt job

Boris Sudar

Renewtech ApS

Netip A/S har pr. 1. juni 2026 ansat Kristina Svingel Jeppesen som bogholder ved netIP's kontor i Thisted. Hun kommer fra en stilling som Kontorassistent hos DFI Geisler. Nyt job