Flere store sikkerhedsbrud i 2011 viser, at der er brug for at investere i it-sikkerhed, skriver Shehzad Ahmad i denne klumme fra Computerworld.
Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Holder dit nytårsforsæt om at træne mere eller holde op med at ryge?
Formålet med den slags forsætter er at forebygge frem for at helbrede. Det samme princip gælder, når vi skal beskytte virksomhedens it-aktiver.
Start med at få pungen op af lommen! I disse krisetider er det måske en uventet opfordring. Men jeg synes, at beslutningstagerne skal indse, at der er brug for øgede ressourcer til it-sikkerhed.
Når konjunkturerne går ned, er det naturligt at kigge efter besparelser. It-budgetterne får også med sparekniven – og it-sikkerhed slipper ikke for en mere eller mindre brutal barbering. Men det er et farligt sted at skære.
For tyve år siden kunne man forsvare at slække på it-sikkerheden. De fleste virksomheder var dengang mindre afhængige af deres it, end de er i dag.
Kan ikke klare sig uden it
Men i 2012 kan mange virksomheder og offentlige institutioner slet ikke klare sig uden it. Det medfører også, at brud på sikkerheden koster dyrt – både i dårlig omtale og i udgifter til oprydning.
Se for eksempel på en virksomhed som Sony. Sidste år tiltvang hackere sig adgang til Sony PlayStation Network.
Det anslås, at de fik fat i brugernavne og ukrypterede passwords på omkring 70 millioner brugere. Siden fik hackere adgang til 24,6 millioner brugerkonti på Sony Online Entertainment.
Det har været dyrt for Sony. Firmaet måtte tage sine to netværkstjenester offline i flere uger. På de interne linjer har der været udgifter til at etablere den sikre infrastruktur, som Sony burde have haft på plads i forvejen, så hackere ikke igen får adgang til ukrypterede brugerdata. Og så er der det massive tab af omdømme.
I bliver angrebet
Sony-sagen viser, at det kan betale sig at investere i it-sikkerhed. I dag er alle virksomheder på nettet.
Derfor kan man lige så godt erkende, at ens it-systemer på et tidspunkt vil blive hacket.
Det er ikke et spørgsmål om, hvorvidt det sker, men hvornår det sker.
Når jeg anbefaler at investere i it-sikkerhed, handler det ikke kun om at købe hardware og software.
Sikkerhed er en kombination af mennesker, processer og teknologi. Og en investering i mennesker og processer er ofte en forudsætning for, at investeringen i teknologi bliver en succes.
Sådan får du styr på din sikkerhed
På processiden er det en god ide at starte med beredskabsplanen. Hvis I ikke har en, er det på tide at udarbejde den. Har I den, skal den garanteret revideres.
Der skal være en plan for, hvordan I beskytter jeres kritiske forretningsaktiver. Det kan for eksempel være firmaets webshop, hvis mange ordrer kommer ind ad den vej. Eller det kan være produktionssystemet eller sælgernes CRM-system (Customer Relationship Management).
For hvert aktiv skal planen angive, hvem der skal gøre hvad, hvornår og hvorfor.
Giver synlighed
En af fordelene ved at udarbejde en beredskabsplan er, at den giver synlighed.
Virksomheden bliver pludselig opmærksom på, hvilke værdier den råder over.
Måske opdager man nogle aktiver, man ikke havde tænkt over før.
Uddan medarbejderne
På menneskesiden anbefaler jeg, at I investerer i uddannelse.
Her kan en af sikkerhedssagerne fra 2011 være nyttig at se på:
Sikkerhedsfirmaet RSA, som burde være blandt de mest sikkerhedsmindede firmaer, blev udsat for et sikkerhedsbrud: Hackere fik fat i data om virksomhedens SecurID-system til sikker login.
Nej, hackerne benyttede ikke en hidtil ukendt sårbarhed i en af RSA's servere til at få adgang til forretningshemmelighederne. I stedet sendte de en mail med en vedhæftet fil til udvalgte medarbejdere.
En medarbejder klikkede på det vedhæftede Excel-regneark. Det indeholdt et Flash-element, der udnyttede en hidtil ukendt sårbarhed i Flash til at installere en bagdør.
Hvis medarbejderen havde været klar over, at man ikke skal åbne vedhæftede filer, man får tilsendt uopfordret, kunne angrebet måske være afværget.
Så uddannelse er vigtig. Ikke mindst fordi mange medarbejdere i dag ikke kun har adgang til virksomhedens data fra pc'en på arbejdet.
Via smartphones kan de tilgå mail, kundedatabaser og anden fortrolig information. Derfor skal de lære, hvordan de beskytter data på smartphones, bærbare pc'er og andre mobile enheder.
Helt overordnet bør it-sikkerhed indgå som en naturlig del af organisationens samlede strategi for anvendelse af it.
Og med den betydning, it har i mange virksomheder, betyder det reelt, at den skal skrives ind i forretningsstrategien.
Vi skriver mere om ovenstående emner i DK-CERTs Trendrapport 2011, der er lige på trapperne. Her finder du blandt andet ti anbefalinger til beslutningstagere om øget it-sikkerhed.
Oprindelig offentliggjort på Computerworld Online den 27. januar 2012