Søg

Du skal stille krav, hvis du vil have god sikkerhed

Klumme: Truslerne fra internettet bliver stadig mere avancerede, og vi kan ikke nøjes med at læne os tilbage og stole på, at andre, eller produkter, beskytter os. Det er nødvendigt at tage ansvar og stille krav til vores leverandører.

2. marts 2022 kl. 12.40
Artikel top billede

(Foto: Computerworld US/CIO)

Leif Jensen Leif Jensen Landechef hos Eset Norden

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

For nylig så vi, hvordan den globale trussel Log4Shell rullede ud i hele verden, og vi har endnu ikke set alle konsekvenserne af den.

For fra den blev opdaget, til den blev patchet, gik der flere dage, og dermed var der mere end rigelig tid til at inficere sårbare servere.

Nu skal denne klumme ikke handler om Log4Shell, for den er der blevet snakket rigtig meget om.

Men Log4Shell er en ny type sårbarhed, som viser, at det ikke længere er nok med en firewall og et antivirus-produkt; vi er nødt til at have styr på, hvad der sker på vores netværk.

Den viste med al ønskelig tydelighed, at vi ikke længere er beskyttet på vores egne netværk, og den viste, at vi bør have en plan, så vi har en chance for at kæmpe mod sårbarheder som Log4Shell og fremtidens lignende trusler.

De små og mellemstore har et problem

For hvor de store virksomheder måske nok har råd til at have it-sikkerhedsfolk ansat, der kan overvåge netværk og installationer 24/7, så gælder det ikke for hovedparten af danske virksomheder.

Vi er et land af små og mellemstore virksomheder, der i meget høj grad gør brug af at outsource it-løsninger.

Men det løser ikke vores udfordringer.

For de fleste serviceudbydere har en traditionel forretningsmodel. De leverer den nødvendige plads i et datacenter, de opdaterer software og patcher, når det er nødvendigt, men i forhold til kundernes netværk er de ikke nødvendigvis proaktive, når det kommer til sikkerhed.

De overvåger nok deres eget netværk omkring sikkerhed og adfærd, men ikke kundernes – det er nemlig ikke en del af deres – nuværende – forretningsmodel.

Det bringer mig tilbage til min indledning – vi er nødt til at tage et ansvar selv. De små og mindre virksomheder bør have, eller kigge sig om efter, en serviceudbyder, der kan mere end bare drifte en installation.

De skal stille krav til deres udbyder om, at de overvåger netværket, og at de har en plan for, hvad de gør, hvis sårbarheder som Log4Shell bliver opdaget.

De skal kunne overvåge, om der sker noget unormalt på servere og netværk, og de skal holde øje med, at data ikke bliver sendt ud til steder, den normalt ikke bliver sendt hen.

Stil krav om menneskelig ekspertise og hands-on

I de tilfælde, hvor en udbyder siger, at det klarer de via automatiske løsninger, så er det vigtigt, at der stilles krav om, at de kan levere en løsning/ydelse, der også indeholder menneskelig ekspertise og hands-on.

Der kan godt være en automatik, der rejser et flag, men det er nødvendigt manuelt at undersøge, hvad der sker, når en advarsel dukker op, og ikke mindst hvordan denne advarsel håndteres.

Det er vigtigt at få en persons erfarne øjne og viden ind over processen, fordi automatik enten vil tillade trafikken eller blokere, og begge dele kan være forkert - du er nødt til at finde ud af, præcis hvad der sker.

Og med sårbarheder som Log4Shell er det tydeligt blevet nødvendigt med den manuelle behandling og overvågning.

Tag ansvar

Jeg er slet ikke i tvivl om, at outsourcing og brug af datacentre er en god ide, ikke mindst for små og mellemstore virksomheder, der ikke har det store it-budget. Men de nye sårbarheder viser vigtigheden i, at vi stiller krav til vores udbyder i servicekontrakten.

De krav er blandt andet, at de skal overvåge deres kunders netværk og installationer 24/7, at de kan reagere inden for et givet antal minutter, at de kan implementere et logging-system samt scanne kundernes netværk for uønsket trafik og adfærd.

Det koster naturligvis penge, men her kommer stordriftsfordelen ind, når samme system kan benyttes til flere kunder, og ikke mindst så er det en fremtidig forretningsmodel for serviceudbydere og datacentre.

Jeg har sagt det før, og jeg gentager det her i begyndelsen af 2022: Det er vigtigt, at vi også selv tager et ansvar for vores it-sikkerhed, så vi kan stille de rigtige krav til vores leverandør.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Cyberdivisionen søger en IT-supporterelev til lokal IT servicecenter i Brabrand

    Midtjylland

    AP Pension

    Løsningsarkitekt

    Københavnsområdet

    KMD A/S

    Senior Full Stack Developer

    Københavnsområdet

    Netcompany A/S

    Erfaren Linux Operations Engineer

    Københavnsområdet

    Se flere it-stillinger
    Tillid i en Zero-Trust verden

    Annonceindlæg fra Trustworks

    Tillid i en Zero-Trust verden

    Med voksende trusler, nye EU-krav og øget kompleksitet er cybersikkerhed nu en central ledelsesopgave på linje med strategi og økonomi.

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    netIP har pr. 1. januar 2026 ansat Simon Kramer Sørensen som Key Account Manager ved netIP's kontor i Herning. Han kommer fra en stilling som Business Manager hos Azend A/S og tidligere hos ATEA og ITM8. Nyt job

    Simon Kramer Sørensen

    netIP

    netIP har pr. 1. januar 2026 ansat Jens Horsager Rasmussen som Systemkonsulent ved netIP's kontor i Thisted. Han kommer fra en stilling som Cloud Infrastructure Specialist hos ITM8. Nyt job

    Jens Horsager Rasmussen

    netIP

    Idura har pr. 1. januar 2026 ansat Lars Mørch, 54 år, som VP of Sales. Han skal især beskæftige sig med Iduras salgsorganisation, implementere en ny go-to-market-model og sikre udviklingen af virksomhedens identitetsplatform. Han kommer fra en stilling som Regional Vice President hos Avallone. Han er uddannet på CBS og har en BA i Organization & Innovation. Han har tidligere beskæftiget sig med internationalt SaaS-salg og forretningsudvikling fra både scale-ups og globale teknologivirksomheder. Nyt job

    Lars Mørch

    Idura

    Adeno K/S har pr. 2. februar 2026 ansat Rikke Badsberg som ServiceNow Specialist. Hun kommer fra en stilling som ServiceNow administrator and developer hos Kamstrup. Nyt job

    Rikke Badsberg

    Adeno K/S

    Se mere fra navnenyt

    Mest læste

    1 Anthropic nægter at bøje sig for Pentagon - nu ulmer et opgør i AI-industrien
    2 Vinder DR-kontrakt i million-klassen for næsen af rivalerne Dustin og Ed
    3 Som 55-årig havde tidligere top-CIO Jesper Kingo svært ved at få nyt it-fuldtidsjob: Nu flytter han til Fyn og bliver oberstløjtnant
    4 Twitter-stifter skifter halvdelen af staben ud med AI – nu stiger aktien med 24 procent
    5 Google er i al stilhed ved at stramme grebet om Android: Store open source-organisationer dybt bekymrede
    6 Morgen-briefing: Danmark vinder europæisk sølv i mobilnet / Digitaliseringsminister sætter barsel i bero – skal føre valgkamp / Google opgraderer ’Nano Banana’ billedgeneratoren
    7 It-sikkerhed får topprioritet i offentlige it-indkøb: "Vi er fedtet ind, og det gør os ekstremt sårbare," siger SKI-direktør Signe Lynggaard Madsen
    8 Nørgaard: Fy Mogens - det er for galt, at du ikke har betalt en regning, som du ikke har fået

    Se seneste uge