Hvor sikker er sikkerhedsindustrien?

De digitale sikkerhedsvogtere har stor indsigt i datakriminalitet og benytter gerne frygtscenarier for at sælge software. Hvor troværdig er sikkerhedsbranchen egentlig?

Artikel top billede

Tegning: Lene Sekjær.

De arbejder i en relativ ung industri, hvor de holder udkig efter it-kriminelle med hang til hurtige håndører og langsigtede botnet.

De maler gerne fanden på firewall'en og har ofte lige et produkt på hånden, der kan smide alle orme, virus-angreb, trojanere samt sorte katte og andre dæmoner på porten.

De rådgiver om digital tryghed og sælger sikkerhedssoftware, -konsulentbistand og -hardware, der ifølge analysehuset IDC årligt omsætter for omkring 2,1 milliarder kroner alene i Danmark.

De er sikkerhedsfolkene, der givetvis har ansvaret for den digitale arbejdsro i din virksomhed.

Men hvor sikker er den industri, der selv dagligt sidder begravet med fingrene i de onde sider af den digitale verden? Er det ikke fristende at gå over til den mørke side?

"Når man taler om sikkerhed, er der altid den fysiske sikkerhed i form af interne folk i et sikkerhedsfirma, der per definition udgør en sikkerhedsrisiko. På trods af enkelte brodne kar er det erfaringsmæssigt en branche, der er til at stole på herhjemme," vurderer research manager Anders Elbak fra analysehuset IDC.

It-kriminel står til 60 år i skyggen

Et af de brodne kar - tidligere sikkerhedskonsulent Max Ray Vision med tilnavnet "Iceman - blev i mandags fundet skyldig i snyd med ikke færre end to millioner kreditkortnumre, som han havde lænset for omkring 450 millioner kroner.

Iceman blev fanget af en FBI-agenten J. Keith Mularski, der havde infiltreret et af de sorte markeder på nettet i to år, og nu står ismanden til 60 år i skyggen ifølge cnet.com.

Datakriminalitet må og bør ikke ske på det danske sikkerhedsmarked, mener direktør Peter Kruse fra sikkerhedsfirmaet CSIS Group.

"Man kan selvfølgelig ikke helt udelukke, at den slags ting sker. Men hos os og i flere andre sikkerhedsfirmaer bliver job-kandidater grundigt kontrolleret for tidligere black hat-virksomhed (it-kriminel adfærd, red.). I vores og flere andre firmaer er der specifikke politikker og procedurer, som udelukker tidligere it-kriminelle fra at få et job i branchen," siger Peter Kruse.

Han nævner blandt andet, at job i et sikkerhedsfirma, der har med statens it-sikkerhed at gøre, kan indebære, at man bliver kontrolleret af Politiets Efterretningstjeneste (PET). Normalt kontrollerer sikkerhedsfirmaerne dog ikke meget mere end straffeattesten og jobkandidatens navn via en eller flere søgemaskiner.

"Vi ønsker ikke at ansætte black hats, fordi man ikke helt kan stole på dem. It-kriminalitet kan være en fristelse for svage sjæle, og jeg kan roligt sige, at det er slut med et job i sikkerhedsbranchen, hvis man blive taget med nallerne i kagedåsen," lyder det fra CSIS-chefen.

Integritet en del af kulturen

Den tilgang til sikkerheden i sikkerhedsfirmaerne møder opbakning hos sikkerhedsekspert Ken Willén fra sikkerhedsfirmaet Symantec.

"Alle de steder, jeg har arbejdet, har der været et stærkt internt kodeks omkring, hvad medarbejderne kan tillade sig. Men det er da klart, at når man foretager en penetrationstest mod it-infrastrukturen i et pengeinstitut, og man opdager svagheder, er det altafgørende, at sikkerhedsmedarbejderne ikke forsvinder ud af firmaet med den slags oplysninger," siger Ken Willén.

Han forklarer, at det er op til it-chefen i et sikkerhedsfirma løbende at evaluere tilliden til de enkelte medarbejdere.

Frygt sælger software

"Jeg har flere gange oplevet, at hvis nogle medarbejdere har balanceret på grænsen til en troværdig adfærd, så har konsekvensen været, at de er blevet opsagt," siger Ken Willén, som understreger, at interne diskussioner om integritet er en fasttømret del af den danske sikkerhedskultur.

Hvornår kommer ulven?

Et af de områder, hvor troværdigheden i sikkerhedsbranchen konstant er under beskydning, er sikkerhedsselskabernes marketing-adfærd, der ofte bliver beskyldt for at være manipulerende og drevet af skræmmekampagner.

"Frygt er altid et godt salgsargument, og sikkerhedsbranchen står generelt med det problem, at sikkerhed skal sælges som problemløsning og er en ren udgift, hvorimod meget andet software skal bidrage direkte til forretningsudviklingen," konstaterer it-analytiker Anders Elbak fra IDC.

Det dilemma er ikke ukendt i sikkerhedsbranchen.

"Ja, det er jo en hårfin balance mellem at oversælge frygten og sælge troværdig rådgivning og software-produkter," erkender Peter Kruse fra CSIS Group.

Han mener dog ikke, at branchen som helhed råber "ulven kommer," når der ikke er fare på færde.

Fra orm til and

Også Ken Willén fra Symantec kender til oversalget.

Han hæfter sig især ved den meget medieomtalte Conficker-orm, der viste sig at være lidt af en and.

"Conficker-ormen blev jo aldrig en reel trussel, men Symantec og andre sikkerhedsfirmaer forsøgte jo med saglig dokumentation at påvise, at den kunne have en meget skadelig effekt, hvis den brød ud for alvor," siger Ken Willén.

Det amerikanske sikkerhedsinstitut CSI regnede ud, at udgifterne til bekæmpelse af ormen løb op i 51 milliarder kroner, da ormen boltrede sig i avisspalterne.

Men både Peter Kruse og Ken Willén mener, at branchen med sine mange advarsler langt hen ad vejen er med til at oplyse både virksomheder og privatpersoner om det generelle trusselsbillede fra det store, uigennemskuelige internet.

"Vi er jo med til at skabe bevidsthed om trusler i en stadig mere kompleks digital verden. Et gratis og godt råd til alle hjemmebrugere ville være at opdatere alle programmer og have installeret firewall og anti-virus. Så er man kommet langt," lyder det fra Peter Kruse.

Læses lige nu

    Annonceindlæg fra Bluecircle

    Partiklerne ingen taler om: Den oversete risiko i datacentre og serverrum

    Støv, fibre og metalliske partikler kan påvirke både uptime, levetid og driftssikkerhed. Derfor arbejder flere datacentre systematisk med contamination control.

    Capgemini Danmark A/S

    AI/Data Engineer

    Københavnsområdet

    Capgemini Danmark A/S

    Microsoft AI Solution Architect

    Københavnsområdet

    Green Power Denmark

    It-chef med udviklingsfokus

    Københavnsområdet

    Navnenyt fra it-Danmark

    Alexander Hoffmann, SVP, Technology & IT hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Tech, IT & Security. Han skal fremover især beskæftige sig med at lede den fortsatte udvikling af en mere integreret og software-drevet infrastrukturplatform. Forfremmelse

    Alexander Hoffmann

    GlobalConnect

    IFS Danmark A/S har pr. 1. april 2026 ansat Sarah Warm som Account Executive, Energy & Utilities. Hun skal især beskæftige sig med salg af IFS' løsninger til nye kunder inden for energibranchen. Hun kommer fra en stilling som Account Executive hos Synergy Investment Group i Holland. Hun er uddannet BSc Economics and Business Economics, Neuroscience & MSc Business Administration Digital Business. Hun har tidligere beskæftiget sig med Solution Sales & Cybersecurity. Nyt job

    Sarah Warm

    IFS Danmark A/S

    Sharp Consumer Electronics har pr. 1. april 2026 ansat Daniel Eriksson som salgsdirektør for de nordiske lande. Han skal især beskæftige sig med at accelerere virksomhedens vækst i Norden. Han kommer fra en stilling som nordisk salgsdirektør hos Hisense. Han har tidligere beskæftiget sig med detailhandel, kommerciel strategi og markedsudvidelser med bemærkelsesværdige resultater til følge. Nyt job

    Daniel Eriksson

    Sharp Consumer Electronics

    Comsystem A/S har pr. 15. april 2026 ansat Iver Jakobsen som Technical Key Account Manager. Han skal især beskæftige sig med teknisk løsningssalg. Iver Jakobsen har 25 års erfaring fra TelCo-branchen. Han kommer fra en stilling som Key Account Manager hos E.ON Drive ApS. Han har tidligere beskæftiget sig med rådgivning og løsningssalg. Nyt job

    Iver Jakobsen

    Comsystem A/S