Annonce
Annonce

Glem papirtigre og hype – fokusér på ordentlig sikkerhed

En af de mest erfarne sikkerhedsfolk i Danmark efterlyser mere substans i sikkerheds-diskussionen

Læs mere
Fold sammen

Af Dan Mygind

Der er ofte for lidt substans i it-sikkerhedsdiskussionen, og virksomshedsledere og ansatte bliver derfor ofre for skræmmekampagner, ligesom de kan lulles ind i en falsk sikkerhedsfølelse. Rasmus Theede, Direktør for ­Cybersikkerhed i CSC og formand for Rådet for Digital Sikkerhed, efterlyser en bedre forståelse af, hvad god sikkerhed egentlig er.

Som eksempel nævner han den internationalt anerkendte sikkerhedsstandard ISO27001, som giver et godt udgangspunkt for it-sikkerhed, men ikke skal opfattes som en blåstempling af it-sikkerheden i en virksomhed.

”Jeg er stor tilhænger af ISO27001, hvis den bliver brugt rigtigt, men den kan nemt blive en sovepude. Standarden sikrer, at sikkerhedsprocesserne i virksomheden er i orden, men den siger ikke noget om, hvorvidt de tekniske kontroller i virksomheden er konfigureret ordentligt,” siger Rasmus Theede, der har mere end 20 års sikkerhedserfaring fra Mærsk, KMD, NNIT og nu CSC.

ISO27001 et skridt på sikkerhedsvejen
Han fremhæver, at ISO27001 er en vigtig brik i sikkerhedsarbejdet, men hvis man udelukkende fokuserer på procesbeskrivelser i dokumenter og regneark uden at tjekke, om beskrivelserne stemmer overens med de praktiske forhold i virksomheden, vil det give en falsk sikkerhedsfornemmelse. Han kigger tilbage på sin egen oplevelse af certificeringsprocessen i et tidligere ansættelsesforhold.

”Jeg havde observeret store huller i sikkerheden i det firma, jeg var ansat i på det tidspunkt, men det blev ikke afsløret af certificeringsprocessen. Der blev eksempelvis ikke stillet spørgsmålstegn ved, om beredskabsplanen i tilfælde af et sikkerhedsbrud reelt virkede. Det blev ikke tjekket, om medarbejderne reelt kunne udføre det, som var beskrevet. Det er vigtigt at have de forhold for øje, når man går igennem ISO27001-certificeringsprocessen,” påpeger Rasmus Theede.

Forstå dine sikkerhedsværktøjer
Han anbefaler derfor også, at virksomheden tjekker, at sikkerhedsværktøjerne som anvendes, reelt set benyttes på den rigtige måde.
Der er eksempelvis mange, der logger alt muligt, men det er få, der rent faktisk har sikkerhedseksperter, der kan analysere log-filerne og finde den lille nål i høstakken af data, der viser, hvad der er foregået.

Her kan managed security være vejen frem for de fleste virksomheder, der ikke selv har spidskompetencer inden for sikkerhed. Komplekse log-analyser kan lægges ud til globale servicecentre med den nødvendige ekspertise. Vælger man at outsource sikkerheden, bør det ske i en dialog med leverandøren, hvor sikkerheden er veldefineret og forstået af begge parter. Ellers kan det ende med det gamle ordsprog ”outsource a mess and you get a mess,” påpeger Rasmus Theede.

Teknologiske fix og hype
Avanceret sikkerhedsteknologi er en del af it-sikkerheden, men Rasmus Theede advarer mod at tro, at teknologi alene kan skabe ordentlig sikkerhed.
”Det nytter ikke noget, at man installerer avanceret teknologi oven på et fundament, der slår revner. Hvis man eksempelvis ikke har taget stilling til, hvad der skal beskyttes, ikke har overblik over hvordan it-infrastrukturen ser ud, og hvor virksomhedens data er placeret, så hjælper teknologien ikke,” siger Rasmus Theede.

Ikke desto mindre fylder de tekniske løsninger meget i mediebilledet, da der er mange leverandører, der falbyder deres varer til skræmte virksomhedsledere.

Der er rigtig mange interessenter inden for sikkerhed, og der er langt flere, der gerne vil sælge sikkerhed, end der reelt er dygtige sikkerhedsfolk.
Når dertil lægges en mediedækning af sikkerhedsområdet, der oftere jagter kioskbaskere frem for faglig substans, så hjælper det meget lidt på sikkerheden.

”Jeg bliver lidt træt, når jeg for tusinde gang ser historier om, at 9 ud af 10 danske virksomheder har været udsat for hackerangreb. Den slags overskrifter sammenblander alvorlig industrispionage med trivielle sikkerhedshændelser, og nuancerne går derfor ofte tabt i mediernes dækning af sikkerhedsområdet.”
Det er så stort og ukonkret, at det ikke kan bruges til noget udover at skabe frygt. Enten panikker ledelsen og investerer i en sexet teknologi-løsning, som ikke virker, fordi sikkerhedsfundamentet ikke er på plads. Eller også stikker de hovedet i jorden af afmagt og siger, at de ikke kan gøre noget ved det.

Få styr på it-hygiejnen
I virkeligheden kan virksomhederne komme langt med, hvad Rasmus Theede kalder god it-hygiejne.
”Det drejer sig helt banalt om at tage backup, sikre at restore-processer er på plads og gennemtestede samt sikre, at alle systemer jævnligt opdateres,” siger Rasmus Theede og påpeger i den forbindelse, at hackere ofte udnytter sårbarheder, der har været kendt i mere end et år.
God it-hygiejne er trivielt og hårdt arbejde, der samtidig kræver en god diplomatisk sans, når forskellige målsætninger internt i virksomhederne skal afstemmes.

Drift skal være billig, stabil og helst outsourcet. Dér kan sikkerhed godt være forstyrrende, hvis systemer skal patches, testes og genstartes. Det kræver nedetid og lukkevinduer, som operationen ser som en irriterende distraktion.

Kommunikér på forretningsniveau
I den slags situationer skal virksomhedens topledelse involveres, så det sikres, at sikkerhed prioriteres højt, men Rasmus Theede advarer imod, at forvirre topledelsen med for mange tekniske detaljer.
- Ja, topledelsen skal involveres, men vi skal kommunikere med topledelsen, så ledelsen forstår det. Jeg ser megen rapportering opad på et teknisk niveau, som topledelsen ikke forstår den forretningsmæssige betydning af.

Hvad skal beskyttes?
Et andet godt råd fra den erfarne sikkerhedsleder er at begynde at fokusere på, hvad der reelt skal beskyttes. I virkeligheden er der nemlig ikke så mange data, der er rigtig vigtige for forretningen. Derfor vil det være en god ide at kategorisere data efter deres forretningsværdi og personfølsomhed. Det  er en opgave, som den nye EU-dataforordning alligevel kræver er på plads i 2018, men mange virksomheder er ikke begyndt på opgaven endnu. I den anledning kan man også finde ud af, hvor mange data, virksomheden egentlig bør lagre.
- Er der grund til, at vi har de her terabytes af data liggende? lyder det retoriske spørgsmål fra Rasmus Theede.

Daglig sikkerhedsbevidsthed
Den slags spørgsmål bør virksomhedernes ansatte dagligt forholde sig til, da det vil indarbejde sikkerhed som en del af deres daglige arbejdsgang.
- Man tror, man kan hælde viden på medarbejderne, og så ændrer de automatisk adfærd. Men det kræver en konstant aktiv sikkerhedsbevidsthed.