Du skal stille krav, hvis du vil have god sikkerhed

Annonceindlæg tema

Forsvar & beredskab

Cybersikkerhed, realtidsdata og robuste it-systemer er blevet fundamentet for moderne forsvar.

Leif Jensen

CBO hos ESET Nordics.

It-sikkerhed påvirker alle om vi vil det eller ej. Private som virksomheder er konstant i risikogruppen for at blive ramt af malware, ransomware eller et af de mange andre cyberangreb der florerer på det store internet.

Derfor er det vigtigt at vi alle forholder os til såvel it-sikkerhed, som de cybertrusler der findes, og ikke stikker hovedet i busken og forventer at andre løser problemerne for os.

Det er også vigtigt at huske, at ikke alle problemer skyldes de cyberkriminelle. Vi bærer selv en del af ansvaret, og dermed også skylden når det går galt. Det er emner jeg beskæftiger mig meget med, både her i mine klummer og i min dagligdag i ESET. For hvis vi skal skabe en robust it-sikkerhedskultur, så er det vigtigt at vi kigger på alle aspekter – ikke kun de tekniske – og det er vigtigt at vi forstår, hvad det er vi snakker om.

It-sikkerhed har været en integreret del af min hverdag i over 30 år. Allerede som ganske ung, hvor jeg var ivrig amatørprogrammør, fangede denne verden min interesse, og den har aldrig forladt mig.

I de sidste 20 år har jeg beskæftiget mig professionelt med it-sikkerhed. Blandt andet som nordisk direktør for Kaspersky Lab.

Læs mere

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

For nylig så vi, hvordan den globale trussel Log4Shell rullede ud i hele verden, og vi har endnu ikke set alle konsekvenserne af den.

For fra den blev opdaget, til den blev patchet, gik der flere dage, og dermed var der mere end rigelig tid til at inficere sårbare servere.

Nu skal denne klumme ikke handler om Log4Shell, for den er der blevet snakket rigtig meget om.

Men Log4Shell er en ny type sårbarhed, som viser, at det ikke længere er nok med en firewall og et antivirus-produkt; vi er nødt til at have styr på, hvad der sker på vores netværk.

Den viste med al ønskelig tydelighed, at vi ikke længere er beskyttet på vores egne netværk, og den viste, at vi bør have en plan, så vi har en chance for at kæmpe mod sårbarheder som Log4Shell og fremtidens lignende trusler.

De små og mellemstore har et problem

For hvor de store virksomheder måske nok har råd til at have it-sikkerhedsfolk ansat, der kan overvåge netværk og installationer 24/7, så gælder det ikke for hovedparten af danske virksomheder.

Vi er et land af små og mellemstore virksomheder, der i meget høj grad gør brug af at outsource it-løsninger.

Men det løser ikke vores udfordringer.

For de fleste serviceudbydere har en traditionel forretningsmodel. De leverer den nødvendige plads i et datacenter, de opdaterer software og patcher, når det er nødvendigt, men i forhold til kundernes netværk er de ikke nødvendigvis proaktive, når det kommer til sikkerhed.

De overvåger nok deres eget netværk omkring sikkerhed og adfærd, men ikke kundernes – det er nemlig ikke en del af deres – nuværende – forretningsmodel.

Det bringer mig tilbage til min indledning – vi er nødt til at tage et ansvar selv. De små og mindre virksomheder bør have, eller kigge sig om efter, en serviceudbyder, der kan mere end bare drifte en installation.

De skal stille krav til deres udbyder om, at de overvåger netværket, og at de har en plan for, hvad de gør, hvis sårbarheder som Log4Shell bliver opdaget.

De skal kunne overvåge, om der sker noget unormalt på servere og netværk, og de skal holde øje med, at data ikke bliver sendt ud til steder, den normalt ikke bliver sendt hen.

Stil krav om menneskelig ekspertise og hands-on

I de tilfælde, hvor en udbyder siger, at det klarer de via automatiske løsninger, så er det vigtigt, at der stilles krav om, at de kan levere en løsning/ydelse, der også indeholder menneskelig ekspertise og hands-on.

Der kan godt være en automatik, der rejser et flag, men det er nødvendigt manuelt at undersøge, hvad der sker, når en advarsel dukker op, og ikke mindst hvordan denne advarsel håndteres.

Det er vigtigt at få en persons erfarne øjne og viden ind over processen, fordi automatik enten vil tillade trafikken eller blokere, og begge dele kan være forkert - du er nødt til at finde ud af, præcis hvad der sker.

Og med sårbarheder som Log4Shell er det tydeligt blevet nødvendigt med den manuelle behandling og overvågning.

Tag ansvar

Jeg er slet ikke i tvivl om, at outsourcing og brug af datacentre er en god ide, ikke mindst for små og mellemstore virksomheder, der ikke har det store it-budget. Men de nye sårbarheder viser vigtigheden i, at vi stiller krav til vores udbyder i servicekontrakten.

De krav er blandt andet, at de skal overvåge deres kunders netværk og installationer 24/7, at de kan reagere inden for et givet antal minutter, at de kan implementere et logging-system samt scanne kundernes netværk for uønsket trafik og adfærd.

Det koster naturligvis penge, men her kommer stordriftsfordelen ind, når samme system kan benyttes til flere kunder, og ikke mindst så er det en fremtidig forretningsmodel for serviceudbydere og datacentre.

Jeg har sagt det før, og jeg gentager det her i begyndelsen af 2022: Det er vigtigt, at vi også selv tager et ansvar for vores it-sikkerhed, så vi kan stille de rigtige krav til vores leverandør.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.