It-sikkerhed må gerne være raketvidenskab

It-kriminalitet er det seneste år steget med 77 %. Omfanget gør, at it-sikkerhedsansvarlige er nødt til at tage stilling til, hvor risikovillig organisationen er. Det er kompleks og kan få det til at føles som raketvidenskab. Men faktisk kan netop dén disciplin hjælpe til, at man kommer videre.
Malene Amini

Malene Amini

6. februar 2014

Apollo 11-missionen sendte i 1969 de første mennesker til månen. Raketforskeren, der stod bag den komplicerede udvikling af raketten, beskrev, hvordan man kan blive tvunget til at forholde sig til virkelighedens vilkår: Du står og har behov for en ventil, som ikke lækker, og du gør alt, der står i din magt, for at udvikle sådan en ventil. Men den virkelige verden giver dig en ventil, der lækker. Så dét, du er nødt til at bestemme dig for, er: hvor meget lækage kan du leve med?

Virksomheder, der i dag skal finde ud af, hvor meget og hvad de skal gøre for at sikre deres it, er overraskende nok i samme situation. I virkelighedens verden vil der altid være en risiko. Man kan blive ramt af angreb og sikkerhedsbrud, som ikke kan inddæmmes bag serverrummets metaldøre, men som i stedet sætter en kæp i hjulet på virksomhedens forretning.
Hvor stor er vores risikovillighed?
Efter en kraftig stigning på 77 % det seneste år i sager om databedrageri, som i politiets statistik dækker over it- og internetkriminalitet, har Rigspolitiet besluttet at oprette et nationalt center, der skal bekæmpe og forebygge cyberkriminalitet. Alvoren understreger, at ingen virksomhed kan se sig fri for hverken spammails, hacking eller potentiel industrispionage via nettet.

Læs Rigspolitiets meddelelse om Cyber Crime Center og JP-artikel om stigningen i it-kriminalitet her

Lars Højberg, der er teknisk sikkerhedschef i TDC, forklarer: ”Udfordringen for den enkelte virksomhed er: Hvad er sandsynligheden for sikkerhedsbrud, og hvad vil konsekvenserne være? Når dagen er omme, er enhver virksomhed derfor nødt til at stille sig selv spørgsmålet: Hvor stor er vores risikovillighed, når det gælder it-sikkerhed?”

Han medgiver, at det kan være svært at svare på. Det handler nemlig om, hvilken type angreb der bliver rettet imod virksomheden, hvad angriberne går efter samt hvilken motivation angriberne har. I stedet for at prøve at sikre sig mod alle tænkelige angreb, bør virksomheder i stedet gøre sig klart, hvad der er vigtigst at beskytte for forretningen.

Man skal tænke over:
I hvor høj grad er det personfølsomme eller forretningskritiske data, vi arbejder med?
Hvor forretningskritisk er det, at it-driften er stabil, og hvor meget nedetid kan vi have, uden det får konsekvenser?
Og så beskytte virksomheden ud fra det.
”Man skal for eksempel tænke over: I hvor høj grad er det personfølsomme eller forretningskritiske data, vi arbejder med? Hvor forretningskritisk er det, at it-driften er stabil, og hvor meget nedetid kan vi have, uden det får konsekvenser? Og så beskytte virksomheden ud fra det. Det er meget branche- og forretningsspecifikt, om man skal sætte stort ind på it-sikkerhed, eller om man kan klare sig med mindre,” forklarer Lars Højberg.

Ved vi nok om sikkerhed?
Hver eneste dag bliver virksomheder tæppebombet med automatiserede angreb via mailsystemet. Snedige forsøg på at narre brugeren ind på ondsindede hjemmesider eller at give vores kontooplysninger fra os, via falske mails fra fx Skat eller banken, slipper igennem spamfiltre og antivirus. Og antallet af snydehenvendelser via især Facebook, hvorved man udsættes for ondsindet kode, er i stigning.

Det kræver derfor en stillingtagen til, hvorvidt man selv ønsker og er i stand til at løfte sikkerheden, eller om man skal få hjælp til opgaven ved hel eller delvis outsourcing. Grundlaget er en indsigt i det konkrete trusselsbillede, virksomheden står overfor.

Balancegangen kan være svær, især for den lille eller mellemstore virksomhed, der ikke altid råder over den nødvendige viden, kompetence og ressourcer inden for it-sikkerhed.

DDoS
DDoS (Distributed Denial of Service) er en af de mest udbredte former for angreb. Metoden, som rammer alle typer af virksomheder, oversvømmer virksomhedens systemer med forespørgsler. Det får systemerne, som kan være kritiske for forretningen, til at bryde sammen, eller fylder internetforbindelsen op, så kunderne ikke kan komme igennem.

”Disse angreb er særdeles lette at udføre, hvilket gør, at hvem som helst kan angribe din virksomhed,” fortæller Lars Højberg. ”Vi har kunder, der har været udsat for pengeafpresning, hvor der trues med DDoS-angreb, hvis der ikke betales. Der kan også være tale om politisk motiverede angreb. Det eneste, de it-kriminelle har brug for, er en internetforbindelse og kendskab til en af de web-sider på nettet, hvor man kan bestille DDoS-angreb,” fortæller han.

Sikkerhed i skyen
Cloud computing giver virksomhederne fordele mht. drift, kompetencer og økonomi. Igen bliver sikkerhed aktuelt, fordi virksomheden til en vis grad giver slip på sine data. Fokus bør derfor skifte fra kun at dække selve systemerne til også at ligge på indholdet af de data, man sender i skyen.

”Når man benytter cloud computing, er det vigtigt, at man opdeler data efter følsomhed og hvor kritiske de er for forretningen samt tænker over, hvilke landegrænser data passerer, hvor tilgængelige de er samt hvem der har adgang til dem,” forklarer Lars Højberg.

At få det rette overblik kan være en udfordring. Men med raketvidenskaben i tankerne bliver det måske nemmere at finde ud af, ved at tænke over hvilke risici virksomheden kan leve med.

Hvad tager din virksomhed i betragtning, når I overvejer, hvilken risiko I er villige til at løbe? Hvilke risikoparametre kan man tage lettere på, og hvilke skal man være særligt opmærksom på i jeres branche? Giv din kommentar i feltet nedenfor!