Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned i Børsen Digital om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Er din virksomhed blevet offer for et hackerangreb, virus eller andre brud på it-sikkerheden? Så vil jeg gerne høre om det!
Måske lyder det mærkeligt, at jeg sådan efterlyser ofre for it-kriminalitet. Men jeg mener, at lukketheden om problemer med it-sikkerheden er uheldig.
Mange opfatter det øjensynlig som noget pinligt, at de er blevet ofre for et angreb. Det kan skyldes, at de ser det som et tegn på, at de ikke havde beskyttet deres it-systemer godt nok.
Men total it-sikkerhed er umulig at opnå. Sikkerhed vil altid være en afvejning mellem, hvordan man kan beskytte sine it-aktiver effektivt, og hvad der er praktisk opnåeligt. Det nytter ikke at installere en totalt sikker løsning, hvis den koster 10 milliarder og kræver, at computerne kun må bruges i et aflåst lokale uden netværksadgang.
Derfor er det ikke pinligt at blive offer. Derimod kan man hjælpe andre ved at fortælle om sine erfaringer.
Del jeres erfaringer
Et eksempel er den stribe af angreb på webservere, der på det seneste har ramt også danske websteder. Her vil det være nyttigt, hvis de angrebne står frem og fortæller, hvordan det gik til, at uvedkommende fik adgang til deres websteder. Det skyldtes sandsynligvis nogle programmeringsfejl, som andre kan lære at undgå, når de hører om dem.
I USA har flere stater gennem de senere år indført lovkrav om offentliggørelse af brud på it-sikkerheden. Hvis en virksomhed mister personfølsomme data, skal den offentliggøre det. Ellers kan den blive straffet med bøder.
Et af formålene med lovgivningen er at sikre, at personer hvis data er blevet stjålet, kan beskytte sig mod misbrug. De kan for eksempel spærre deres kreditkort, hvis kreditkortnummeret er faldet i de forkerte hænder.
En aktuel undersøgelse fra Carnegie Mellon University viser imidlertid, at lovgivningen øjensynlig ikke fører til færre tilfælde af identitetstyveri. Artiklen "Do Data Breach Disclosure Laws Reduce Identity Theft?" der præsenteres på en konference senere på måneden, konkluderer, at der ikke er nogen sammenhæng mellem lovkravene og mængden af identitetstyverier.
Det betyder efter min mening ikke, at lovkrav om offentliggørelse er værdiløse. Man kan nemlig udnytte opfattelsen af, at det er pinligt at blive offer: For at undgå at blive "hængt ud" vil nogle virksomheder investere mere i it-sikkerhed. Det vil øge den generelle it-sikkerhed i samfundet.
Oprindelig bragt i Børsen Digital den 24. juni 2008