Af Redaktionen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Det er ikke tit, vi anmelder bøger her i AOD. Men den nye antologi Cybertrusler – Det digitale samfunds skyggeside er den første fagbog om it-sikkerhedssituationen set med danske briller og skrevet på dansk.
Ikke kun giver bogen på en spredt måde – sådan er antologier – et ganske godt overblik over, hvor mange ansigter den aktuelle cybertrussel har. Den forsøger også at præcisere det ”sprogbrug, der omgærder mange af diskussionerne om cybertruslerne om Danmark” – og den vil skabe en ”klarere sondring mellem de forskellige cybertrusler”, som ”muliggør en mere oplyst samtale”.
Alt dette er der brug for. I pressen og på sociale medier blandes forskellige former for trusler fra nettet ofte sammen, og begreberne flyder. Det skyldes, at netop cybertrusler i deres nuværende form er et ret nyfødt fænomen, selvom det har en lang historie.
Allerede i 1960’erne dukker de første hackere op, kan man læse i bogen. Men de første ”moderne” angreb er rettet mod Unix-systemer sidst i 80’erne. Personligt husker nærværende anmelder, at vi dengang blev advaret mod inficerede floppydisketter. Men det er selvfølgelig internettet, der fra midten af 90’erne giver kriminelle, spioner, anarkister og andre med slette hensigter en genvej til at forstyrre liv, samfund, stat og virksomhedsøkonomier over hele kloden.
Bogen dækker bredt
Antologien dækker vidt forskellige emner som militæroperationer, informationskrig, cyberterrorisme, cyberspionage, cyberkriminalitet, politisk hacktivisme, efterretningstjenester, medarbejderadfærd, EU’s sikkerhedsstyring og resiliens (dvs. modstandskraft). Alle artiklerne er faktuelle i deres indhold og dokumenterede med en fyldig litteraturliste. Men flere af forfatterne tillader sig i antologiens ånd at komme med vurderinger og anbefalinger. Det bidrager positivt til det udbytte, man kan få af bogen.
Bogen er skrevet af førende fagfolk og forskere inden for cybersikkerhed i bred forstand og er derfor informationstæt – dvs. fyldt med masser af god information. Det lykkes de fleste af bidragyderne at skrive i et forholdsvis tilgængeligt sprog, og alle med en vis interesse for it-sikkerhed kan finde masser af guldkorn og få det overblik, der måske mangler i hverdagen.
Adfærd for medarbejdere
Ikke alle artikler vil forekomme lige relevante for alle læsere. Det er jo en antologi. Men bogen må nærmest være pligtlæsning for alle danske it-ansvarlige, embedsmænd inden for området, undervisere og politikere. Plus selvfølgelig studerende på højere læreanstalter.
Tilmed er bogen så opdateret, som bøger kan være. Redaktionen er sluttet i marts i år, så der er også en række overvejelser om krigen i Ukraine og den stats¬understøttede cyberkrig, der foregår parallelt med begivenhederne på slagmarken.
For virksomhedsledere er der flere relevante artikler. En af dem handler om adfærdsregulering af medarbejdere, hvilket der er kommet meget fokus på det seneste par år.
Årsagen er, at organisationers medarbejdere ifølge sikkerhedseksperter er det svageste led i virksomheders og andre organisationers cybersikkerhed. Denne erkendelse kan bruges på en negativ måde til at pege fingre ad medarbejderne, men den kan også vendes om, så man i stedet forsøger at forberede medarbejdere på de trusler (for eksempel ”falske” mails), som de konkret møder.
Ifølge bogen bør organisationer prioritere adfærdsindsatser, fordi disse bidrager til at nedbringe risici, som andre typer foranstaltninger ikke er i stand til at gøre noget ved. God adfærd er med andre ord en lavthængende frugt i kampen mod cybertrusler.
Hvad med tvangsforsikring?
Måske kalder stormfloden af cybertrusler på en helt ny opfattelse af, hvad vi skal sikre os imod. Og hvad vi skal forsikre os imod. I hvert fald argumenteres der i en af bogens sidste artikler for, at alle smv-virksomheder bør have en cyberforsikring – ja, at en sådan forsikring skal gøres obligatorisk i Danmark.
Alle store virksomheder har i dag en cyberforsikring eller også er sikkerhed en del af den samlede virksomhedsforsikring. Men de fleste smv’er har ikke nogen forsikring mod for eksempel at miste alle data i et ransomwareangreb. De små virksomheder har ikke fokus på cybersikkerhed, og forsikringsselskaberne jagter ikke denne type kunder, da præmierne er lave.
På det seneste er prisen for en cyberforsikring dog stormet i vejret på grund af de mange ransomwareangreb, læser man i bogen. Spørgsmålet er så, om smv’erne har råd til denne ekstra forsikring, eller om forsikringsselskaberne overhovedet vil godkende alle små virksomheder til en obligatorisk forsikring. De skal jo kunne betale præmien, tvang eller ej.
Bogen giver altså anledning til en masse inspirerende tanker og må lige nu siges at være standardværket om it-sikkerheden i Danmark 2022 – trods antologi-formen.