Artikel top billede

(Foto: Computerworld)

Dansk it-sikkerhed kører i sneglefart

Europæiske – og dermed også danske virksomheder – er håbløst langsomme til at reagere på it-sikkerhedsbrister. Det dokumenterer en helt ny rapport fra sikkerhedsvirksomheden FireEye.

Af Henrik Malmgreen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Siden 2011 har FireEye, der beskæftiger sig med it-sikkerhed, årligt udgivet deres M-trends rapport, som bygger på information indsamlet på baggrund af sikkerhedsefterforskninger hos FireEyes kunder. Rapporten giver med andre ord et kig ind under motorhjelmen hos et bredt udvalg af virksomheder, også de helt store.

Og lad det være sagt med det samme – set med europæiske øjne i almindelighed og danske øjne i særdeleshed tegner årets rapport et meget dystert billede, når det gælder bevidstheden om god it-sikkerhed. Især fordi rapporten bygger på faktiske hændelser.

”I EMEA – Europa og Mellemøsten – gik der i 2017 i snit 175 dage, før en virksomhed opdagede, at den var blevet hacket. Det er en stigning fra 106 dage, hvis man sammenligner med 2006. I APAC – Asia-Pasific – gik der i 2017 498 dage, før en sikkerhedsrisiko blev opdaget, hvilket er en stigning fra 172 dage, og kun i USA er der tale om et fald, nemlig fra 99 til 75 dage. Det siger sig selv, at set med danske øjne er det en udvikling, der er stærkt bekymrende”, siger Jens Monrad, der er sikkerhedsekspert i FireEye. Det er givet en holdning, han ikke er ene om at have.

Måneders langsommelighed

M-trends 2017 dokumenterer altså, at EMEA-organisationer er 2,5 måned langsommere til at reagere på trusler og angreb i forhold til det globale gennemsnit, som i 2017 var på 101 dage, en lille stigning fra 99 dage.

Man kan med megen rette spørge, hvorfor der er den store forskel, men ifølge Jens Monrad skyldes det grumme høje antal dage i Asia-Pasific-regionen til dels kulturelle faktorer, nemlig at her bryder man sig ikke om at indrømme, når noget går galt. Så hellere gemme sig og skjule skammen.

”Amerikanske virksomheder på den anden side er hurtige til at reagere, når en trussel bliver opdaget. Det skyldes langt hen ad vejen den amerikanske lovgivning, som betyder, at der skal tages en række hensyn til blandt andet aktiemarkedet. I midten har vi så EMEA – med blandt andet Danmark – og hvorfor ligger virksomhederne så her og flagrer rundt midt imellem? Det gør de ganske enkelt fordi, de ikke har styr på deres sikkerhedsprocedurer. De tænker for meget i teknologi og for lidt i processer”, siger Jens Monrad videre.

Erfaring giver ikke bedre sikkerhed

Hvorfor er der sket en så markant stigning fra 106 til 175 dage, før en virksomhed opdager en sikkerhedsbrist. Ifølge Jens Monrad og FireEye er der flere årsager. En er, at virksomhederne generelt set med indkøb af nye sikkerhedsværktøjer bliver stadig bedre til at få et overblik over historien, altså hvad der har været af angreb over f.eks. det seneste års tid.

Men selv om de så at sige bliver klogere med tilbagevirkende kraft, lærer de tilsyneladende ikke af det. Derfor er Jens Monrad også bekymret i forhold til implementeringen af den nye EU persondataforordning (GDPR).

Han frygter nemlig, at man vil fokusere mere på den enkelte borgers rettigheder rent datamæssigt end de egentlige processer, virksomhederne bør sætte i værk for at forhindre indtrængen udefra. Ikke at det første ikke er vigtigt, men begge dele skal tænkes ind i strategien.

Forældede sikkerhedsplaner

Med det mener han, at mange virksomheder tror, den hellige grav er velforvaret, når blot man køber sikkerhedsteknologi, det være sig hardware og/eller software. Til gengæld har virksomheden måske ikke styr på, hvilke medarbejdere, der har hvilke privilegier og rettigheder til forskellige områder af it-infrastrukturen.

Ligeledes oplever konsulenterne fra FireEye ofte, at selv om virksomheden måske har en beredskabsplan, er den håbløst forældet. Den ligger i en skrivebordsskuffe, og ingen har så meget som kastet et øje på den, siden den blev skrevet.

”Ud over de lovgivningsmæssige forhold er USA også kommet videre på et andet holdningsmæssigt punkt. Nemlig, at fordi man er blevet hacket, er det ikke ensbetydende med, at virksomheden er dårligt sikret. Du kan jo også få indbrud i dit hjem uanset, hvor mange alarmer, du har installeret, så grundlæggende er der ikke noget flovt over det. Der tænker vi åbenbart anderledes i Europa, herunder også Danmark, idet vi agerer lidt som asiaterne og gemmer os. Jeg mener imidlertid, det er vigtigere at stå frem end at holde en hændelse skjult”, siger Jens Monrad.

Faktaboks

FireEye er en amerikansk virksomhed, der både foretager efterforskning hos virksomheder, der er blevet udsat for en sikkerhedsrisiko, og kigger ind i fremtiden gennem udarbejdelse af trusselsanalyser. FireEye har ikke eget kontor i Danmark, men har dog en håndfuld medarbejdere, der dedikeret dækker det danske marked. Sikkerhedsrapporten M-trends er udgivet årligt siden 2011.

Skal bekæmpes med åbenhed

Som eksempel nævner han Mærsk, der har været helt åben omkring den sikkerhedsbrist, der kostede koncernen i omegnen af et par milliarder kroner. Det er den rigtige måde at håndtere tingene på, for ifølge Jens Monrad, vil der alligevel være et medie, der finder ud af hændelsen på et eller andet tidspunkt. Så hellere være åben og inspirere andre virksomheder til det samme, hvilket også gør det nemmere at bekæmpe uvæsenet i fællesskab.

”Vi kritiserer jo heller ikke en bank, hvis den bliver udsat for røveri, så med åbenhed, når vi langt. Det er vigtigt, også fordi trusselsbilledet ændrer sig konstant. Nu nævnede jeg bankerne, for i takt med, at flere og flere banker er blevet pengeløse, ja så oplever vi færre bankrøverier. Men kriminaliteten er mere eller mindre en konstantfaktor, hvilket betyder, at den blot flytter andre steder hen. Det vil sige, den bliver mere og mere digital, men også her skifter den karaktér. Lige nu er der f.eks. sket et markant fald i ransomware, mens til gengæld høstning af cryptovaluta er steget markant”, siger Jens Monrad.

Digitale slyngelstater

Rapporten fra FireEye dokumenterer endvidere, at stater spiller en stadig større rolle i trusselsbilledet. For blot få år siden var eksempelvis Iran stort set ikke-eksisterende i hackeruniverset, men i 2017 dominerede landet som en af de mest angrebslystne nationer.

Således har FireEye observeret en markant stigning i antallet af cyberangreb, der stammer fra Iran-støttede cyberkriminelle. Andre lande kommer til, og Nordkorea er blot et andet eksempel på væksten i statsfinansierede sikkerhedstrusler.

”Det er stærkt bekymrende, for stater har uanede ressourcer. Hvis en stat har et dedikeret ønske om at trænge ind i en bestemt virksomhed, organisation eller ministerie i et andet land, ja så kan de blive ved, til det lykkes. Derfor er jeg også dybt betænkelig ved, at vi i Danmark ligger helt i front som et af de EU-lande, der har den stærkeste digitaliseringsstrategi, mens vi samtidig halter håbløst bagefter, når det gælder om at bakke den strategi op med sikkerhedsmæssige tiltag. Det er simpelthen ikke godt nok”, siger Jens Monrad.

Forkert politisk satsning

Til spørgsmålet om, det er politikerne, vi skal skyde på, siger Jens Monrad, at det er det til dels. Blandt andet fordi man ikke har været på forkant og sørget for de uddannelsesmæssige ressourcer, der skal til for trygt at kunne implementere en national, digital strategi. Vi råder ganske enkelt ikke over de nødvendige kompetencer, der skal til for at kunne gøre det ordentligt.

Det er ikke fordi, Jens Monrad er modstander af digitalisering, men han påpeger det faktum, at eksempelvis statsrevisorerne den ene gang efter den anden påpeger brister og for dårlig sikkerhed i den offentlige sektor.

Jens Monrad Jens Monrad

”For mig at se er der et klart modsætningsforhold mellem de politiske ambitioner om en digital strategi og så de sikkerhedsressourcer, der skal sikre, at den kan implementeres på en forsvarlig måde. Jeg synes helt ærligt, at man burde oprette en stilling som national Chief Security Officer – CSO – der får det overordnede ansvar for implementering af de digitale strategier i Danmark”, siger Jens Monrad.

Den betragtning kan han have megen ret i. Det virker nemlig lidt, som om politikerne på Christiansborg glemmer, at GDPR også kommer til at gælde de offentlige myndigheder.

Øvrige konklusioner fra rapporten

Finanssektoren er fortsat det hyppigste mål for angreb. I 2017 udgjorde organisationer fra den finansielle sektor 24 % af alle efterforskninger. Dermed var finanssektoren den mest udsatte branche. Organisationer, der har været ofre for et målrettet cyberangreb, bliver sandsynligvis ramt igen.

Data fra de seneste 19 måneder har nemlig vist, at 56 % af alle FireEyes kunder blev angrebet flere gange af de samme eller tilsvarende cyberkriminelle med de samme hensigter.