Artikel top billede

(Foto: Computerworld)

Fra grafisk konsumentsoftware til strategiske sikkerhedsløsninger

Over den seneste snes år har danske Draware været på en udfordrende rejse fra salg af tegne- og billedbehandlingsprogrammer rettet mod den private forbruger til leverandør af komplette løsninger til overvågning af netværk og ikke mindst it-sikkerhedsløsninger, der skal geare danske virksomheder til at leve op til den nye persondataforordning.

Af Henrik Malmgreen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

At miste grundlaget for sin forretning stort set fra den ene dag til den anden må være et mareridt for enhver erhvervsleder. Ikke desto mindre var det lige præcis det, der skete for Christian Schmidt lige før årtusindskiftet. I ca. 5 år havde han drevet virksomheden Draware, der havde specialiseret sig i grafisk software fra den nu for længst hedengangne producent Micrografx.

Draware havde agenturet i hele Norden, og kontoret fungerede med stor succes som Micrografx’ forlængede arm i Danmark. Men så kom nedturen - oven i købet i to step.

Først eliminerede Micrografx grundet en organisationsændring, beordret fra hovedsædet i Texas, kontoret i Hørsholm med et pennestrøg, hvilket reelt betød lukning og på sigt fyring af medarbejderne. Efterfølgende fik Christian Schmidt mulighed for at drive agenturerne for Danmark og Sverige videre fra privatadressen, men da Corel senere købte alle aktiviteterne, betød det endeligt slutningen for tiden med Micrografx.

Corel, der som bekendt også har opkøbt blandt andre sideombrydningsprogrammet Ventura fra Xerox og sågar selveste Word Perfect, har nemlig haft en enestående evne til effektivt at aflive opkøbte produkter på alle andre markeder end det nordamerikanske.

Tvingende nødvendigt fokus på it-sikkerhed

”Så stod jeg der uden produkter og uden kunder. I en periode slog jeg mig i stedet på produkterne fra en anden grafisk producent, nemlig Serif, men det var lige som ikke nok til at leve af. Da Micrografx ud over den grafiske software imidlertid også havde et produkt til dokumentation af netværk, besluttede jeg mig for, at det måske var den vej, jeg skulle gå”, siger Christian Schmidt.

En klog beslutning skulle det siden vise sig, da Draware i dag er en sund forretning med otte ansatte og en årlig softwareomsætning på den rigtige side af 30 millioner kroner. En omsætning, der er mangedoblet i forhold til tiden med Micrografx samtidig med et markant skift fra konsum- til virksomhedssegmentet.

Udover at sælge software til netværksdokumentation og ikke mindst netværksovervågning, hvor løsningerne fra SolarWinds er de førende i porteføljen, har man i dag endnu et ben at stå på, nemlig løsninger til it-sikkerhed - et område, som Christian Schmidt er sikker på inden længe vil blive det største forretningsområde.

I dag er kunderne nemlig en lang række mellemstore og store virksomheder inden for såvel den private som den offentlige sektor - blandt andre er ca. 80 ud af landets 98 kommuner på kundelisten - og med den nye persondataforordning, der effektueres fra maj måned 2018, vil det blive tvingende nødvendigt for enhver organisation, der arbejder med personfølsomme data, at øge fokus på sikkerheden.

Danmark hinker langt efter udlandet

”I udlandet, og især i USA, er man langt længere fremme for så vidt angår it-sikkerhed. Her opererer man blandt andet med de generelle ISO 27001 og ISO 27002 standarder, PCI-standarden til betalingsløsninger og HIPAA-standarden, som gælder medicinalsektoren.

Hvis ikke man som virksomhed er i stand til at efterleve disse, ja så er det i værste fald ensbetydende med bøder i millionklassen, hvilket reelt kan betyde, at man med et snuptag er out of business.

I Danmark har vi Datatilsynet som tilsynsførende myndighed, men jeg mener at vide, at den største bøde, der er givet herhjemme, er på ca. 25.000 kr. Nu kommer så GDPR - altså persondataforordningen, der er initieret af EU og som vil blive vedtaget som lov i

Danmark i slutningen af 2017 eller starten af 2018 med effekt fra foråret 2018. Jeg er desværre alvorligt bange for, at med det lidt lemfældige forhold og en ”det går nok” holdning, mange reelt har til datasikkerhed i Danmark, vil virkeligheden bag den nye lov komme fuldstændig bag på en del virksomheder - såvel i den private som den offentlige sektor”, siger Christian Schmidt.

Bøder kan lukke virksomheder på stribe

Han forklare videre: ”Kort fortalt betyder den, at fra det øjeblik en læk opdages, har virksomheden præcist 3 døgn til at identificere, hvorledes persondata er lækket, hvilke data, der er lækket, hvad det betyder for de involverede personer og ikke mindst, hvorledes man kan undgå, det sker i fremtiden.

I sagen med disken fra Statens Serum Institut er det rimelig enkelt at identificere, hvorledes lækken er sket, men hvis en virksomhed f.eks. er blevet hacket, er sagen straks en helt anden. Sagt for egen regning er jeg ret sikker på, at mange virksomheder ikke har det fornødne overblik over, hvor deres personfølsomme data er lagret. Ligger de på en fysisk server, er de hostet på en ekstern lokation, ligger de i skyen…? Og lad det være sagt med det samme.

Personfølsomme data er meget mere end eksempelvis CPR-nummer, hvilket vil sige, at rigtig mange virksomheder, eksempelvis e-handelsvirksomheder, arbejder med data, der vil være omfattet af persondataforordningen. Det er de måske ikke klar over i dag, men virkeligheden kan meget vel gå op for dem i al sin gru, hvis de en dag udsættes for et hacker-angreb og mister data.

Persondataforordningen rummer nemlig mulighed for at idømme bøder på op til 150 millioner kroner eller 4 procent af virksomhedens årsomsætning alt efter hvilket beløb, der måtte være størst”, siger Christian Schmidt.

Firewall og antivirus er ikke længere nok

Se det er en virkelighed, der lynhurtigt kan give så alvorlige tømmermænd, at det kan koste virksomheder livet - og sandsynligvis vil gøre det, hvis ikke virksomhederne bliver klar over, at en firewall og et antivirusprogram i dag ikke har det fjerneste at gøre med effektiv it-sikkerhed.

Paletten af risici er så stor, at seriøs Security Information And Event Management (SIEM) er den palet af værktøjer som f.eks. EventTracker, der skal ruste virksomhederne til en tryg - eller i hvert fald mere tryg - hverdag i en verden, hvor de it-kriminelle står på nakken af hinanden for at trænge ind i virksomhedernes it-systemer.

En af de it-sikkerhedsløsninger, man har agenturet på hos Draware er KnowBe4, der gør det muligt at simulere forskellige former for angreb på virksomhedens it-infrastruktur.

Christian Schmidt ser det som en nødvendighed, at virksomhederne ganske enkelt begynder at vurdere deres it-sikkerheds parathed via jævnlige redningsøvelser - ganske som man gør ombord på skibe, hvor redningsbådene sættes i vandet. Det er ganske enkelt nødvendigt, hvis man skal opbygge en pro-aktiv it-sikkerhedspolitik, mener Christian Schmidt. 

Et af de store produkter i Drawares portefølje er SolarWinds, der i dag er installeret i mere end 1000 danske virksomheder. Det gør det hurtigt at identificere selv komplekse problemstillinger i netværksstrukturen. Ifølge Christian Schmidt bliver Security Information And Event Management (SIEM) imidlertid det helt store forretningsområde frem mod implementeringen af den nye persondataforordning.

Den kinesiske skandalesag spøger stadig

Som eksempel på lemfældighed med data i Danmark kan nævnes skandalen, hvor et postbud i sommeren 2016 ved en fejl kom til at aflevere en disk med sundhedsdata på mere end 5 millioner danskere til et kinesisk firma i København.

Afsenderen var Statens Serum Institut, og ikke alene blev disken afleveret forkert - hvilket man grundlæggende ikke kan bebrejde instituttet, da disken blev sendt anbefalet - men data var ikke krypteret, hvilket man i allerhøjeste grad kan bebrejde instituttet. Skandalen fik imidlertid ingen følger, men blev lukket med en udtalelse om, at man skam havde fået en skriftlig garanti for, at det kinesiske firma ikke havde åbnet brevet og indlæst de famøse data.

Det er naturligvis en garanti, der ikke er det papir værd, den er skrevet på, men ikke desto mindre besluttede Datatilsynet på trods af, at data ikke var krypteret, at der ikke skulle udtales kritik i forbindelse med instituttets håndtering af forsendelsen. Man fandt det heller ikke nødvendigt at underrette de borgere, hvis oplysninger ved en fejl landede på bordet i en kinesisk virksomhed.

Virksomhederne skal naturligvis udvise den fornødne omhu og datasikkerhed, men for nærværende er der ikke noget krav om egentlig kryptering af data. Det vil der formentlig blive lavet om på, når den nye persondataforordning træder i kraft.