Artikel top billede

(Foto: Computerworld)

Truslen kommer både indefra og udefra

Manglende bevidsthed om konsekvenserne af it-trusler og ikke mindst manglende sanktioner overfor medarbejdere, der ikke følger retningslinjerne for it-sikkerhed udgør faktisk en lige så stor risiko for virksomhederne som it-truslerne i sig selv.

Af Henrik Malmgreen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Udbuddet af sikkerhedskonferencer er efterhånden omfattende, og senest har Nianet samt Interxion meldt sig på banen med Annual IT Security Summit, der, som navnet antyder, er tænkt som en årligt tilbagevendende begivenhed.

Første udgave af denne konference fandt sted i København i november, og her kunne man blandt andre møde Lone Juul Dransfelt Christensen fra it-serviceleverandøren NNIT. Hun har titel af etisk hacker og arbejder i det daglige med at bringe danske virksomheder helt på forkant, når det gælder it-sikkerheden.

På Annual IT Security Summit fortalte hun blandt andet, hvor vigtigt det er at kende sine fjender og deres metoder. Derfor fremhævede hun også, at it-sikkerhed ikke er en statisk størrelse, men en dynamisk virksomhedsdis-ciplin.

Det er vigtigt ikke bare at identificere virksomhedens sårbarheder, men at bruge den indsamlede viden aktivt med henblik på beskyttelse. I den sammenhæng ser hun ”Etisk Hacker” som en ny jobbeskrivelse, vi kommer til at møde i langt højere grad.

Data er stjålet - og hvad så?

it-trusel En af de største bekymringer for Anders Kjærulff er, at den kollektive bevidsthed åbenbart mere eller mindre glemmer, hvad der er sket, selv når store og kritiske datamængder stjæles.

På Annual IT Security Summit kunne man høre et indlæg af Anders Kjærulff fra programmet ”Aflyttet” på Radio 24syv. Efter en gennemgang af en række digitale trusler var hans konklusion, at der ikke findes nogen absolut it-sikkerhed. Faktisk er den digitale verden og sikkerhed hinandens modsætninger, konkluderede han.

Ganske enkelt ud fra den betragtning, at alt digitalt materiale kan manipuleres. En af hans største bekymringer var imidlertid den ligegyldighed, der udvises, når et angreb er sket, og data er forsvundet. ”Jeg kan nævne CSC-sagen. Her blev 1.2 million oplysninger fra kørekortregistret, CPR-registret og kriminalregistret hacket.

Man ved, at disse data er hentet ud som kopi, men til gengæld har ingen den fjerneste anelse om, hvor de befinder sig. Og ingen tager det tilsyneladende alvorligt”, sagde Anders Kjærulff. Som endnu et eksempel nævnte han det hackerangreb, der ramte The US Office of Personnel Management i april 2015 og betød at data vedrørende 21,5 millioner offentligt ansatte i USA formentlig nu befinder sig i Kina eller Nordkorea.

Ikke helt ukritisk, fordi det også indbefatter persondata på ansatte i det, der i Danmark svarer til PET og FET. Det burde man måske tage en kende alvorligt, mener Anders Kjærulff.

Skyd ikke budbringeren

”Der findes ikke nogen gylden sandhed om, hvad hacking er. Derfor får den etiske hacker forhåbentlig en stor rolle at spille i de danske virksomheder. Vi skal se det som en kreativ og kontinuerlig proces, hvis virksomhederne rent sikkerhedsmæssigt skal være i front. Et af værktøjerne må være løbende penetrationstest, som skal bruges aktivt. Ellers lærer virksomhederne ikke at forstå konsekvenserne af brud på sikkerheden”, siger Lone Juul Dransfelt Christensen til Alt om DATA.

En af hendes bekymringer er imidlertid, at danske virksomheder mentalt hinker langt efter udlandet. Som groteske eksempler på dansk negligeren - ja man kan vel nærmest kalde det for en Rasmus Modsat-holdning - nævner hun Esben Warming, der fandt et sikkerhedshul i KMD’s systemer og efterfølgende blev politianmeldt for hacking af KMD. Desuden kan nævnes den familiefar, der blev meldt til politiet af it-firmaet Infoba for at have opdaget et sikkerhedshul i intranettet i sin søns børnehave.

Kostbar cyberkriminalitet

it-trusel PwC’s rapport om cybercrime er gennemført med opbakning fra Finansrådet, Dansk Erhverv, Kita, IT-Branchen, Center for Cybersikkerhed, ISACA og DI Digital.

Cybertruslen bekymrer erhvervslivet som aldrig før, og de ramte virksomheder beretter om alvorlige konsekvenser af cyberangrebene. Den gennemsnitlige årlige omkostning for cyberhændelser og -angreb ligger på ca. 900.000 kroner for en dansk virksomhed, ligesom der berettes om skader på image og tabte kunder. D

et viser en ny rapport om cybercrime fra PwC, som blandt andet har haft deltagelse af 250 danske virksomhedsledere, it-chefer og it- og sikkerhedsspecialister. 74 % af respondenterne svarer, at de er mere bekymrede for cybertruslen nu, end de var for 12 måneder siden. Dette er højere end i både 2016 og 2015, hvor henholdsvis 65 % og 68 % svarede det samme.

Undersøgelsen viser, at virksomhederne oftest rammes af phishing-angreb, hvor svindleren forsøger at franarre ofrenes brugernavn, adgangskode, kreditkort- og/eller netbankoplysninger. Blandt phisning-angreb er den mest udbredte type af angreb afpresning eller såkaldt ransomware.

Sanktionering af digitale svigt

Til sammenligning kan nævnes at amerikanske it-giganter som Google, Apple og Microsoft årligt udbetaler betragtelige millionbeløb til it-eksperter, der finder sikkerhedshuller, og ifølge Lone Juul Dransfelt Christensen skal der tages endnu et markant skridt, når det gælder om at ændre virksomhedernes mindset i sikkerhedsmæssige spørgsmål.

Hun ser nemlig en fremtid, hvor sanktionerne for af en medarbejders digitale forsømmelighed - f.eks. ved at klikke på usikre links - kan blive lige så vidtrækkende som i den analoge verden. Det kunne være i form af en fyring, hvis medarbejderen slynger om sig med forretningshemmeligheder eller lader hoveddøren til virksomheden stå pivåben.

På en anden konference har vi tidligere hørt den sikkerhedsansvarlige for DR fortælle, at man her allerede har besluttet, at hvis en medarbejder gentagne gange udviser åbenlys mangel på digital dømmekraft, vil vedkommende blive indkaldt til en ”kammeratlig samtale ” i personaleafdelingen. Så bevidstheden om det personlige, digitale ansvar er så småt ved at komme.

Kineserne kommer

it-trusel Kina er ret godt med på vognen, når det gælder hacking af brugerne af it-systemer i vesten.

10 ud af 24 avancerede hackerangreb kan tilskrives de kinesiske hackere. Det viser Kaspersky Labs sikkerhedsrapport for tredje kvartal i 2017 meget klart. De målrettede hackerangreb fra både kinesisk-, russisk-, engelsk-, og koreansktalende hackere har udviklet sig voldsomt mellem juli og september i år.

Mens de kinesiske hackere gik efter at inficere legitim software, var de russiske hackere mere interesserede i at angribe finansielle institutioner, og især hæveautomaterne var under pres.

Bevidst digital forsømmelse

Hvad der kommer udefra af sikkerhedstrusler, er virksomhederne i sagens natur ikke selv herre over, men der er ikke nogen tvivl om, at det sikkerhedsmæssige fokus i langt højere grad også må rettes mod medarbejderne. Ikke alene på grund af manglende omtanke, men også fordi mange medarbejdere bevidst skader virksomheden.

Det dokumenterer en undersøgelse foretaget af Kaspersky Lab i samarbejde med analysevirksomheden B2B International blandt 5000 virksomheder fordelt på 30 lande.

Den viser nemlig, at 30 % af virksomhederne har oplevet, at deres egne medarbejdere bevidst har skadet virksomheden, og at 40 % har oplevet, at medarbejdere bevidst ikke rapporterer om sikkerhedsbrud. Problemet er mest udbredt i store virksomheder, men rammer dog i virksomheder af alle størrelser.

Det kan der være flere grunde til, men en 0-fejlskultur eller frygten for at blive straffet eller blive gjort til grin for at have klikket på et inficeret link, er formentlig nogle af forklaringerne.

it-trusel Der er ikke nogen tvivl om, at vi bliver nødt til at tage digitale sikkerhedssvigt lige så alvorligt som analoge sikkerhedssvigt med fyring som yderste konsekvens, mener Lone Juul Dransfelt Christensen fra NNIT.

Mangel på konsekvens

Undersøgelsen viser endvidere, at 52 % af virksomhederne peger på medarbejderne som den største it-trussel. 35 % af virksomhederne vil således implementere bedre træning af medarbejdere i et forsøg på at styrke it-sikkerheden.

Men undersøgelsen viser ligeledes, at træning ikke er nok. Hele 44 % af virksomhederne oplever nemlig, at medarbejderne ikke følger retningslinjerne for it-sikkerhed. Alligevel er det kun 26 % af dem, der planlægger at håndhæve dem.

”Det er stærkt bekymrende, at man ikke gør mere ud af at håndhæve sikkerhedsprotokollerne, når vi ved, at medarbejderne udgør så stor en trussel. Mange virksomheder har gode procedurer og vejledninger omkring it-sikkerhed, men hvis det blot bliver ved nogle papirer, der ligger i skrivebordsskuffen, gør det jo ingen forskel,” siger Leif Jensen fra Kaspersky Lab i Danmark.

it-trusler Leif Jensen fra Kaspersky Lab i Danmark er både bekymret over, at så mange medarbejdere udviser digitale svigt, og at virksomhederne tilsyneladende ikke tager problemet alvorligt.