En række amerikanske statslige sikkerhedsorganisationer med Forsvarsministeriet i spidsen har skabt en liste med 20 sikkerhedspunkter, der skal forbedre virksomhedernes it-sikkerhed.
Listen modtages positivt blandt danske kollegaer.
"Godt arbejde," lyder det samstemmende fra to danske sikkerhedseksperter, der hilser de 20 punkter velkommen.
Listen, der har det knap så mundrette navn "Twenty Most Important Controls and Metrics for Effective Cyber Defense and Continuous FISMA Compliance" blev offentliggjort i går og bag arbejdet står sikkerhedsorganisationer som NSA, US-Cert, US Department of Defense og Sans Institute.
De 20 punkter sammenfatter og forklarer, hvordan man opretholder cyber-sikkerheden i virksomheden, og den kommer godt omkring emnet, lyder vurderingen.
"Den bør man læse i it-afdelingen," siger Peter Kruse fra sikkerhedsfirmaet CSIS. "Der er mange gode anbefalinger, og listen kommer godt rundt i krogene."
"Den ser rigtig spændende ud," lyder det fra seniorkonsulent Carsten Jørgensen fra Devoteam Consulting.
"Det der gør den god er, at der er trukket en række hovedpunkter ud. De forklares i et forståeligt og konkret sprog, hvilket ofte mangler i forbindelse med sikkerhedsstandarder, der i reglen er blødt formuleret."
"Overholdes punkterne øges sikkerheden væsentligt, og med listen i hånden er man godt på vej," vurderer Carsten Jørgensen.
Spring et punkt eller to over
Selv om de 20 tjekpunkter modtages med glæde, er det ikke alle, der kan følge den slavisk.
"Listen er udarbejdet til større organisationer end den gennemsnitlige danske virksomhed," siger Peter Kruse fra CSIS.
Det betyder ikke, at den ikke kan bruges, men den lidt mindre virksomhed kan springe et par punkter over.
"Alle sikkerhedsfolk bør gøre sig den ulejlighed at kigge listen igennem. Store og mellemstore virksomheder kan bruge den direkte. De lidt mindre firmaer kan komme til at drukne i data, hvis den følges slavisk, og de kan derfor fravælge punkter som Incident Respons Teams," siger Peter Kruse.
"Det nytter ikke noget, at man bruger alle kræfterne på respons teams, hvis sikkerheden halter på mere afgørende punkter."
"Generelt er det dog en række rigtig fine retningslinjer," vurderer han.
Kom med forslag i 30 dage
Ekspertgruppen bag listen påbegyndte arbejdet i 2008 efter en serie af ekstreme datatab i den amerikanske forsvarsindustri.
Se de 20 tjekpunkter
Projektet er blevet ledet af John Gilligan, der har været it-chef i både det amerikanske luftvåben og - energiministerium.
I en pressemeddelelse i forbindelse med udgivelsen betegner han listen som "idiot-sikker" og et nødvendigt arbejdsredskab.
"Hvis man er bekendt med, at der foregår angreb, er man forpligtet til at prioritere sikkerheden for at stoppe dem," lyder det fra John Gilligan.
De 20 punkter er udkommet i er 30-dages betaversion, hvor sikkerhedseksperter inviteres til at kommentere forslagene eller komme med nye ideer.
I sidste måned udgav amerikanske sikkerhedsorganisationer i samarbejde med Sans Institute en liste med de 25 værste kodefejl i sikkerheds-software.
Tjekliste til sikkerhed
De 20 kontrolpunkter ser således ud:
Kontrol 1: Inventory of authorized and unauthorized hardware.
Kontrol 3: Secure configurations for hardware and software on laptops, workstations, and servers.
Kontrol 4: Secure configurations of network devices such as firewalls, routers, and switches.
Kontrol 5: Boundary Defense.
Kontrol 6: Maintenance, Monitoring and Analysis of Complete Audit Logs.
Kontrol 7: Application Software Security.
Kontrol 8: Controlled Use of Administrative Privileges.
Kontrol 9: Controlled Access Based On Need to Know.
Kontrol 10: Continuous Vulnerability Testing and Remediation.
Kontrol 11: Dormant Account Monitoring and Control.
Kontrol 12: Anti-Malware Defenses.
Kontrol 13: Limitation and Control of Ports, Protocols and Services.
Kontrol 14: Wireless Device Control.
Kontrol 15: Data Leakage Protection.
Kontrol 16: Secure Network Engineering.
Kontrol 17: Red Team Exercises.
Kontrol 18: Incident Response Capability
Kontrol 19: Data Recovery Capability.
Kontrol 20: Security Skills Assessment and Appropriate Training To Fill Gaps.
