Af Jakob D. Lund, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
It-sikkerhedsanalysen, der har afdækket sikkerhedsniveauet i over 1000 virksomheder på internationalt plan, afslører, at sikkerhedsni-veauet i de 16 danske offentlige og private organisationer, der er kontrolleret, desværre ikke er så højt, som man kunne ønske. Ofte skyldes det dog ikke manglende vilje, men derimod en mangelfuld sikkerhedspolitik og kontrol, eller at medarbejderne ikke overholder virksomhedens sikkerhedspolitik.
Sikkerhedschef i Check Point, Jan Johannsen, mener, at det er interessant at bemærke, at inden stikprøvekontrollen blev foretaget, mente de fleste af virksomhederne selv, at de havde godt styr på it-sikkerheden. Det viste sig dog at stå i skærende kontrast til det fak-tum, at samtlige virksomheder havde oplevet lækager af f.eks. CPR-numre, kreditkortnumre og andre personlige oplysninger.
Stikprøvekontrollen viser også, at samtlige virksomheder har været udsat for kritiske eller alvorlige angrebsforsøg. I 87,5 pct. af virk-somhederne blev der konstateret botnet-aktivitet, og hos 100 pct. af virksomhederne blev der konstateret brug af problematiske eller skadelige apps.
Andelen af ukendte trusler og brug af kritiske apps ligger altså et godt stykke over det acceptable niveau i de fleste af virksomhederne. Virksomhederne vil ikke være i stand til at blokere for den uønskede trafik, når alvorlige trusler viser sig.
“Generelt er der stor variation i de former for trusler, vi ser, hvilket formentlig afspejler forskellige produktløsninger, varieret tilgang til it-sikkerhed og ikke mindst hvorledes sikkerhedspolitikken fortolkes i forhold til de praktiske regelsæt i sikkerhedsudstyret.
Desuden viser vores kontrol, at det er de færreste it-chefer, der har det fulde overblik over kommunikationsindholdet på deres systemer og net-værk – og endnu færre, der er i stand til at dokumentere og rapportere vedrørende sikkerhedsniveauet.
Vi mener, at det er vigtigt, at medarbejderne informeres bedre om håndtering af it-sikkerhed, og vi vil gerne gøre opmærksom på, at der er behov for, at både offent-lige og private virksomheder opnår et bedre overblik over det trusselsbillede, der er aktuelt for dem, og får bedre styr på it-sikkerheden,” siger Jan Johannsen.
It-sikkerhedsudfordringer i offentlige og private organisationer
Med den stigende digitalisering af processer og services i private virksomheder og i den offentlige sektor, er afhængigheden af velfun-gerende it-systemer øget markant.
En nedetid for it-systemet på dage eller timer – i nogle tilfælde blot minutter – vil ofte være afgøren-de for kundens, borgerens, medarbejderens eller samarbejdspartnerens oplevelse af virksomheden og dens ydelser med store potentiel-le økonomiske, tillids- og prestigemæssige tab til følge.
It-systemerne i sig selv er efterhånden blevet meget pålidelige og driftssikre på trods af en særdeles høj grad af specialisering og integration. Desværre har den øgede kompleksitet dog også gjort det nemmere for cyberkriminelle at finde sårbarheder og huller i systemerne, der kan udnyttes til at ødelægge eller stjæle data og information.
“Det faktum, at stort set alle økonomiske transaktioner finder sted via en netforbindelse, har skabt en underskov af enkeltpersoner og grupper, der lever af at skaffe sig adgang til de økonomiske transaktioner, konti og andre person- eller virksomhedsfølsomme oplysnin-ger bl.a. via svindel, aflytning og ulovlig indtrængning i digitale systemer osv.
Desværre er kreativiteten og hastigheden, hvormed nye sikkerhedstrusler udvikles, enorm, og mange virksomheder har vanskeligt ved at skabe sig et overblik over trusselsniveauet og over de sikkerhedsmæssige foranstaltninger, der er tilgængelige på markedet,” siger Jan Johannsen.
Hvad kan virksomhederne gøre for at gardere sig?
Ofte kræver det ikke nødvendigvis dyre, tekniske løsninger, men derimod en fornuftig kombination af virksomhedens it-sikkerhedspolitik, medarbejdernes forståelse af sikkerhedspolitikken samt den rette brug af tekniske sikkerhedsløsninger at dæmme op for truslerne.
I forbindelse med virksomhedens løbende arbejde med it-sikkerhed er et af de mest basale krav at kende til det aktuelle trusselsniveau. Desværre konkluderer virksomhederne ofte fejlagtigt, at det, de ikke kan se, ikke kan betragtes som en trussel.
“Trusselsniveauet har mange ansigter, men en væsentlig faktor er den trafikstrøm, der 24 timer i døgnet flyder mellem internettet og virksomhedens interne netværk. Ofte kan systemer som databaser samt mail- og webservere tilgås af kunder og borgere via internettet.
I denne trafikstrøm findes altid ondsindede forsøg på misbrug. Mange offentlige og private virksomheder benytter sig i dag af effektive værktøjer som firewall og antivirus, der modvirker dette misbrug, men disse værktøjer alene er ikke altid fuldt tilstrækkelige,” forklarer Jan Johannsen.
En endnu større trussel findes blandt de medarbejdere, som fra deres pc-arbejdsplads har adgang til internettet. På trods af en måske velkendt sikkerhedspolitik og antivirus-klienter på medarbejdernes pc, aktiveres der desværre ofte uden medarbejdernes vidende store mængder af ondsindet kode, når de bevæger sig rundt i cyberspace.
Denne kode er designet til at leve et meget stille liv, dvs. at den er særdeles vanskelig at opdage, men samtidig kan den sprede sig og opsamle relevante informationer fra brugeren såsom adgangskoder, dokumenter, kreditkort-informationer osv.
En stor procentdel af de danske offentlige og private virksomheder har på den måde uviden-de fået installeret i tusindvis af varianter af bagdørsprogrammer, botnet-kode og virus på medarbejdernes pc-arbejdspladser.