Artikel top billede

(Foto: Computerworld US/CIO)

Se kritisk på Patch Tuesday: Skal 2022 blive året, hvor vi gør en målrettet indsats mod hackerne?

Klumme: Er den mest kritiske sårbarhed overhovedet kritisk for netop din virksomhed, og er det overhovedet en sikkerhedsbrist, som hackerne benytter sig af?

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Danmark kan bryste sig af at være et af de mest digitaliserede samfund i verden.

Det kan vi være stolte af, men positionen gør os tillokkende for hackere over hele verden, der har de danske virksomheder i søgelyset i såvel den offentlige som den private sektor.

Senest kan man læse om hackerangrebet på it-leverandøren Support IT, som medførte, at over 70 ejendomsmægler-virksomheders hjemmesider og interne systemer var nede i mere end en uge.

Hackerangrebene sker på trods af, at der investeres enorme ressourcer på forebyggelse af cyberangreb og forsøg på at identificere og lappe sårbarheder i det software, der er modtagelig for malware eller let tilgængeligt for hackere.

Og netop prioriteringen af den forebyggende indsats, kan gøre en afgørende forskel for de danske virksomheder.

For med mere end 18.000 dokumenterede sårbarheder hvert år, er dét at forebygge samtlige it-trusler mere end en uoverskuelig opgave.

Den onde cirkel

En række større it-virksomheder som eksempelvis Microsoft udgiver hver anden tirsdag i måneden en såkaldt patch, hvor en liste over sårbarheder i deres produktversioner frigives. Sårbarhederne tildeles en CVS-Score - et udtryk for hvor kritisk hver enkelt sårbarhed er.

I mange virksomheder resulterer det i benhårdt arbejde på at lukke alle de sikkerhedsbrister, der har set dagens lys efter “Patch Tuesday”.

Det arbejde kan nemt tage op til to-tre uger at rette op på, og derefter er der en uge til næste “Patch Tuesday”, og så starter møllen forfra.

Men er den mest kritiske sårbarhed overhovedet kritisk for netop din virksomhed, og er det overhovedet en sikkerhedsbrist, som hackerne benytter sig af?

Slip lappeløsningerne og ret blikket mod en datadrevet tilgang

I stedet for at stole blindt på CVS-scores eller bruge enorme ressourcer på løbe rundt i endeløse lappeløsninger, bør man i stedet rette blikket mod en mere datadrevet tilgang til problemet.

Den amerikanske organisation Kenna Security indsamler og deler data, som bliver samlet i en database ved navn “Exploit Prediction Scoring System” (EPSS).

Databasen gør det muligt at fokusere indsatsen og forebyggelsen af hackerangreb ganske markant.

Data viser nemlig, at knap 40 procent af alle sårbarheder har under én procents risiko for at blive udnyttet.

Virksomhederne har altså med den datadrevne tilgang mulighed for at målrette indsatsen og forebyggelsen af hackerangreb langt bedre ved en benhård prioritering af de sårbarheder, der arbejdes på.

Digitaliseringen kommer kun til at accelerere i de kommende år, og det understreger blot vigtigheden af den intensivering og optimering af it-sikkerheden, der skal til for at holde hackerne fra fadet på tværs af alle sektorer i det danske samfund.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.




CIO
Årets CIO 2022: Nu skal Danmarks dygtigste CIO findes - er det dig? Eller kender du en, du vil indstille?