Artikel top billede

Tegning: Lene Sekjær.

Hvor sikker er sikkerhedsindustrien?

De digitale sikkerhedsvogtere har stor indsigt i datakriminalitet og benytter gerne frygtscenarier for at sælge software. Hvor troværdig er sikkerhedsbranchen egentlig?

De arbejder i en relativ ung industri, hvor de holder udkig efter it-kriminelle med hang til hurtige håndører og langsigtede botnet.

De maler gerne fanden på firewall'en og har ofte lige et produkt på hånden, der kan smide alle orme, virus-angreb, trojanere samt sorte katte og andre dæmoner på porten.

De rådgiver om digital tryghed og sælger sikkerhedssoftware, -konsulentbistand og -hardware, der ifølge analysehuset IDC årligt omsætter for omkring 2,1 milliarder kroner alene i Danmark.

De er sikkerhedsfolkene, der givetvis har ansvaret for den digitale arbejdsro i din virksomhed.

Men hvor sikker er den industri, der selv dagligt sidder begravet med fingrene i de onde sider af den digitale verden? Er det ikke fristende at gå over til den mørke side?

"Når man taler om sikkerhed, er der altid den fysiske sikkerhed i form af interne folk i et sikkerhedsfirma, der per definition udgør en sikkerhedsrisiko. På trods af enkelte brodne kar er det erfaringsmæssigt en branche, der er til at stole på herhjemme," vurderer research manager Anders Elbak fra analysehuset IDC.

It-kriminel står til 60 år i skyggen

Et af de brodne kar - tidligere sikkerhedskonsulent Max Ray Vision med tilnavnet "Iceman - blev i mandags fundet skyldig i snyd med ikke færre end to millioner kreditkortnumre, som han havde lænset for omkring 450 millioner kroner.

Iceman blev fanget af en FBI-agenten J. Keith Mularski, der havde infiltreret et af de sorte markeder på nettet i to år, og nu står ismanden til 60 år i skyggen ifølge cnet.com.

Datakriminalitet må og bør ikke ske på det danske sikkerhedsmarked, mener direktør Peter Kruse fra sikkerhedsfirmaet CSIS Group.

"Man kan selvfølgelig ikke helt udelukke, at den slags ting sker. Men hos os og i flere andre sikkerhedsfirmaer bliver job-kandidater grundigt kontrolleret for tidligere black hat-virksomhed (it-kriminel adfærd, red.). I vores og flere andre firmaer er der specifikke politikker og procedurer, som udelukker tidligere it-kriminelle fra at få et job i branchen," siger Peter Kruse.

Han nævner blandt andet, at job i et sikkerhedsfirma, der har med statens it-sikkerhed at gøre, kan indebære, at man bliver kontrolleret af Politiets Efterretningstjeneste (PET). Normalt kontrollerer sikkerhedsfirmaerne dog ikke meget mere end straffeattesten og jobkandidatens navn via en eller flere søgemaskiner.

"Vi ønsker ikke at ansætte black hats, fordi man ikke helt kan stole på dem. It-kriminalitet kan være en fristelse for svage sjæle, og jeg kan roligt sige, at det er slut med et job i sikkerhedsbranchen, hvis man blive taget med nallerne i kagedåsen," lyder det fra CSIS-chefen.

Integritet en del af kulturen

Den tilgang til sikkerheden i sikkerhedsfirmaerne møder opbakning hos sikkerhedsekspert Ken Willén fra sikkerhedsfirmaet Symantec.

"Alle de steder, jeg har arbejdet, har der været et stærkt internt kodeks omkring, hvad medarbejderne kan tillade sig. Men det er da klart, at når man foretager en penetrationstest mod it-infrastrukturen i et pengeinstitut, og man opdager svagheder, er det altafgørende, at sikkerhedsmedarbejderne ikke forsvinder ud af firmaet med den slags oplysninger," siger Ken Willén.

Han forklarer, at det er op til it-chefen i et sikkerhedsfirma løbende at evaluere tilliden til de enkelte medarbejdere.

Frygt sælger software

"Jeg har flere gange oplevet, at hvis nogle medarbejdere har balanceret på grænsen til en troværdig adfærd, så har konsekvensen været, at de er blevet opsagt," siger Ken Willén, som understreger, at interne diskussioner om integritet er en fasttømret del af den danske sikkerhedskultur.

Hvornår kommer ulven?

Et af de områder, hvor troværdigheden i sikkerhedsbranchen konstant er under beskydning, er sikkerhedsselskabernes marketing-adfærd, der ofte bliver beskyldt for at være manipulerende og drevet af skræmmekampagner.

"Frygt er altid et godt salgsargument, og sikkerhedsbranchen står generelt med det problem, at sikkerhed skal sælges som problemløsning og er en ren udgift, hvorimod meget andet software skal bidrage direkte til forretningsudviklingen," konstaterer it-analytiker Anders Elbak fra IDC.

Det dilemma er ikke ukendt i sikkerhedsbranchen.

"Ja, det er jo en hårfin balance mellem at oversælge frygten og sælge troværdig rådgivning og software-produkter," erkender Peter Kruse fra CSIS Group.

Han mener dog ikke, at branchen som helhed råber "ulven kommer," når der ikke er fare på færde.

Fra orm til and

Også Ken Willén fra Symantec kender til oversalget.

Han hæfter sig især ved den meget medieomtalte Conficker-orm, der viste sig at være lidt af en and.

"Conficker-ormen blev jo aldrig en reel trussel, men Symantec og andre sikkerhedsfirmaer forsøgte jo med saglig dokumentation at påvise, at den kunne have en meget skadelig effekt, hvis den brød ud for alvor," siger Ken Willén.

Det amerikanske sikkerhedsinstitut CSI regnede ud, at udgifterne til bekæmpelse af ormen løb op i 51 milliarder kroner, da ormen boltrede sig i avisspalterne.

Men både Peter Kruse og Ken Willén mener, at branchen med sine mange advarsler langt hen ad vejen er med til at oplyse både virksomheder og privatpersoner om det generelle trusselsbillede fra det store, uigennemskuelige internet.

"Vi er jo med til at skabe bevidsthed om trusler i en stadig mere kompleks digital verden. Et gratis og godt råd til alle hjemmebrugere ville være at opdatere alle programmer og have installeret firewall og anti-virus. Så er man kommet langt," lyder det fra Peter Kruse.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Højer og Lauritzen ApS
Distributør af pc- og printertilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere