It-sikkerhed må gerne være raketvidenskab

It-kriminalitet er det seneste år steget med 77 %. Omfanget gør, at it-sikkerhedsansvarlige er nødt til at tage stilling til, hvor risikovillig organisationen er. Det er kompleks og kan få det til at føles som raketvidenskab. Men faktisk kan netop dén disciplin hjælpe til, at man kommer videre.

Apollo 11-missionen sendte i 1969 de første mennesker til månen. Raketforskeren, der stod bag den komplicerede udvikling af raketten, beskrev, hvordan man kan blive tvunget til at forholde sig til virkelighedens vilkår: Du står og har behov for en ventil, som ikke lækker, og du gør alt, der står i din magt, for at udvikle sådan en ventil. Men den virkelige verden giver dig en ventil, der lækker. Så dét, du er nødt til at bestemme dig for, er: hvor meget lækage kan du leve med?

Virksomheder, der i dag skal finde ud af, hvor meget og hvad de skal gøre for at sikre deres it, er overraskende nok i samme situation. I virkelighedens verden vil der altid være en risiko. Man kan blive ramt af angreb og sikkerhedsbrud, som ikke kan inddæmmes bag serverrummets metaldøre, men som i stedet sætter en kæp i hjulet på virksomhedens forretning.

Hvor stor er vores risikovillighed?

Efter en kraftig stigning på 77 % det seneste år i sager om databedrageri, som i politiets statistik dækker over it- og internetkriminalitet, har Rigspolitiet besluttet at oprette et nationalt center, der skal bekæmpe og forebygge cyberkriminalitet. Alvoren understreger, at ingen virksomhed kan se sig fri for hverken spammails, hacking eller potentiel industrispionage via nettet.

Læs Rigspolitiets meddelelse om Cyber Crime Center og JP-artikel om stigningen i it-kriminalitet.

Lars Højberg, der er teknisk sikkerhedschef i TDC, forklarer: ”Udfordringen for den enkelte virksomhed er: Hvad er sandsynligheden for sikkerhedsbrud, og hvad vil konsekvenserne være? Når dagen er omme, er enhver virksomhed derfor nødt til at stille sig selv spørgsmålet: Hvor stor er vores risikovillighed, når det gælder it-sikkerhed?”

Læs også: Jeres it-sikkerhedsmur har allerede huller

Han medgiver, at det kan være svært at svare på. Det handler nemlig om, hvilken type angreb der bliver rettet imod virksomheden, hvad angriberne går efter samt hvilken motivation angriberne har. I stedet for at prøve at sikre sig mod alle tænkelige angreb, bør virksomheder i stedet gøre sig klart, hvad der er vigtigst at beskytte for forretningen.

Man skal tænke over: 
I hvor høj grad er det personfølsomme eller forretningskritiske data, vi arbejder med?
Hvor forretningskritisk er det, at it-driften er stabil, og hvor meget nedetid kan vi have, uden det får konsekvenser?
Og så beskytte virksomheden ud fra det.

”Man skal for eksempel tænke over: I hvor høj grad er det personfølsomme eller forretningskritiske data, vi arbejder med? Hvor forretningskritisk er det, at it-driften er stabil, og hvor meget nedetid kan vi have, uden det får konsekvenser? Og så beskytte virksomheden ud fra det. Det er meget branche- og forretningsspecifikt, om man skal sætte stort ind på it-sikkerhed, eller om man kan klare sig med mindre,” forklarer Lars Højberg.

Ved vi nok om sikkerhed?

Hver eneste dag bliver virksomheder tæppebombet med automatiserede angreb via mailsystemet. Snedige forsøg på at narre brugeren ind på ondsindede hjemmesider eller at give vores kontooplysninger fra os, via falske mails fra fx Skat eller banken, slipper igennem spamfiltre og antivirus. Og antallet af snydehenvendelser via især Facebook, hvorved man udsættes for ondsindet kode, er i stigning.

Det kræver derfor en stillingtagen til, hvorvidt man selv ønsker og er i stand til at løfte sikkerheden, eller om man skal få hjælp til opgaven ved hel eller delvis outsourcing. Grundlaget er en indsigt i det konkrete trusselsbillede, virksomheden står overfor.

Balancegangen kan være svær, især for den lille eller mellemstore virksomhed, der ikke altid råder over den nødvendige viden, kompetence og ressourcer inden for it-sikkerhed.

DDoS

DDoS (Distributed Denial of Service) er en af de mest udbredte former for angreb. Metoden, som rammer alle typer af virksomheder, oversvømmer virksomhedens systemer med forespørgsler. Det får systemerne, som kan være kritiske for forretningen, til at bryde sammen, eller fylder internetforbindelsen op, så kunderne ikke kan komme igennem.

Læs også: Hvad har Zoologisk Have med DDoS at gøre?

”Disse angreb er særdeles lette at udføre, hvilket gør, at hvem som helst kan angribe din virksomhed,” fortæller Lars Højberg. ”Vi har kunder, der har været udsat for pengeafpresning, hvor der trues med DDoS-angreb, hvis der ikke betales. Der kan også være tale om politisk motiverede angreb. Det eneste, de it-kriminelle har brug for, er en internetforbindelse og kendskab til en af de web-sider på nettet, hvor man kan bestille DDoS-angreb,” fortæller han.

Sikkerhed i skyen

Cloud computing giver virksomhederne fordele mht. drift, kompetencer og økonomi. Igen bliver sikkerhed aktuelt, fordi virksomheden til en vis grad giver slip på sine data. Fokus bør derfor skifte fra kun at dække selve systemerne til også at ligge på indholdet af de data, man sender i skyen.

Læs også: Fibernet er da det eneste rigtige – eller er det?

”Når man benytter cloud computing, er det vigtigt, at man opdeler data efter følsomhed og hvor kritiske de er for forretningen samt tænker over, hvilke landegrænser data passerer, hvor tilgængelige de er samt hvem der har adgang til dem,” forklarer Lars Højberg.

At få det rette overblik kan være en udfordring. Men med raketvidenskaben i tankerne bliver det måske nemmere at finde ud af, ved at tænke over hvilke risici virksomheden kan leve med.

Hvad tager din virksomhed i betragtning, når I overvejer, hvilken risiko I er villige til at løbe? Hvilke risikoparametre kan man tage lettere på, og hvilke skal man være særligt opmærksom på i jeres branche? Giv din kommentar i feltet nedenfor!

Link: Hvad er et DDoS angreb?

Se flere artikler
Der er ikke flere artikler. Se alle aktuelle temaer

Skriv en kommentar

Skriv dit navn og e-mail (e-mail vises ikke) eller log ind via en af dine sociale profiler. Vi bruger kun navn og billede til visning af din kommentar.

John Douglas
6. februar 2014 kl. 11:08

Det er godt at nævne en trussel som DDos (Distributed Denial of Service) men en af de nye trusler er APT (Advanced Persistent Threat) er i kraftig vækst.

En APT har tre primære mål:
Tyveri af følsomme oplysninger fra den inficeret virksomhed
Overvågning af den inficeret virksomhed
Sabotage mod den inficeret virksomhed

May Britt Dyvelkov
6. februar 2014 kl. 10:13

Vi har ikke ressourcerne internt, så vi har sikret os med en ekstern IT afd. Det virker for os, som er en lille virksomhed med få ansatte. Typisk for vores branche (biotech)