Artikel top billede

(Foto: Computerworld US/CIO)

Du skal stille krav, hvis du vil have god sikkerhed

Klumme: Truslerne fra internettet bliver stadig mere avancerede, og vi kan ikke nøjes med at læne os tilbage og stole på, at andre, eller produkter, beskytter os. Det er nødvendigt at tage ansvar og stille krav til vores leverandører.

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

For nylig så vi, hvordan den globale trussel Log4Shell rullede ud i hele verden, og vi har endnu ikke set alle konsekvenserne af den.

For fra den blev opdaget, til den blev patchet, gik der flere dage, og dermed var der mere end rigelig tid til at inficere sårbare servere.

Nu skal denne klumme ikke handler om Log4Shell, for den er der blevet snakket rigtig meget om.

Men Log4Shell er en ny type sårbarhed, som viser, at det ikke længere er nok med en firewall og et antivirus-produkt; vi er nødt til at have styr på, hvad der sker på vores netværk.

Den viste med al ønskelig tydelighed, at vi ikke længere er beskyttet på vores egne netværk, og den viste, at vi bør have en plan, så vi har en chance for at kæmpe mod sårbarheder som Log4Shell og fremtidens lignende trusler.

De små og mellemstore har et problem

For hvor de store virksomheder måske nok har råd til at have it-sikkerhedsfolk ansat, der kan overvåge netværk og installationer 24/7, så gælder det ikke for hovedparten af danske virksomheder.

Vi er et land af små og mellemstore virksomheder, der i meget høj grad gør brug af at outsource it-løsninger.

Men det løser ikke vores udfordringer.

For de fleste serviceudbydere har en traditionel forretningsmodel. De leverer den nødvendige plads i et datacenter, de opdaterer software og patcher, når det er nødvendigt, men i forhold til kundernes netværk er de ikke nødvendigvis proaktive, når det kommer til sikkerhed.

De overvåger nok deres eget netværk omkring sikkerhed og adfærd, men ikke kundernes – det er nemlig ikke en del af deres – nuværende – forretningsmodel.

Det bringer mig tilbage til min indledning – vi er nødt til at tage et ansvar selv. De små og mindre virksomheder bør have, eller kigge sig om efter, en serviceudbyder, der kan mere end bare drifte en installation.

De skal stille krav til deres udbyder om, at de overvåger netværket, og at de har en plan for, hvad de gør, hvis sårbarheder som Log4Shell bliver opdaget.

De skal kunne overvåge, om der sker noget unormalt på servere og netværk, og de skal holde øje med, at data ikke bliver sendt ud til steder, den normalt ikke bliver sendt hen.

Stil krav om menneskelig ekspertise og hands-on

I de tilfælde, hvor en udbyder siger, at det klarer de via automatiske løsninger, så er det vigtigt, at der stilles krav om, at de kan levere en løsning/ydelse, der også indeholder menneskelig ekspertise og hands-on.

Der kan godt være en automatik, der rejser et flag, men det er nødvendigt manuelt at undersøge, hvad der sker, når en advarsel dukker op, og ikke mindst hvordan denne advarsel håndteres.

Det er vigtigt at få en persons erfarne øjne og viden ind over processen, fordi automatik enten vil tillade trafikken eller blokere, og begge dele kan være forkert - du er nødt til at finde ud af, præcis hvad der sker.

Og med sårbarheder som Log4Shell er det tydeligt blevet nødvendigt med den manuelle behandling og overvågning.

Tag ansvar

Jeg er slet ikke i tvivl om, at outsourcing og brug af datacentre er en god ide, ikke mindst for små og mellemstore virksomheder, der ikke har det store it-budget. Men de nye sårbarheder viser vigtigheden i, at vi stiller krav til vores udbyder i servicekontrakten.

De krav er blandt andet, at de skal overvåge deres kunders netværk og installationer 24/7, at de kan reagere inden for et givet antal minutter, at de kan implementere et logging-system samt scanne kundernes netværk for uønsket trafik og adfærd.

Det koster naturligvis penge, men her kommer stordriftsfordelen ind, når samme system kan benyttes til flere kunder, og ikke mindst så er det en fremtidig forretningsmodel for serviceudbydere og datacentre.

Jeg har sagt det før, og jeg gentager det her i begyndelsen af 2022: Det er vigtigt, at vi også selv tager et ansvar for vores it-sikkerhed, så vi kan stille de rigtige krav til vores leverandør.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.




CIO
Årets CIO 2022: Nu skal Danmarks dygtigste CIO findes - er det dig? Eller kender du en, du vil indstille?