Er vores digitale modenhed et korthus?

Du er her

Er vores digitale modenhed et korthus?

Af Niels Mogensen, Security Evangelist, Conscia
Som Security Evangelist og ”Techie by nature” har Niels Mogensen stor viden og interesse for de bløde aspekter ved IT-sikkerhed og at knytte disse sammen med de teknologiske udfordringer – og muligheder.

Niels Mogensen har været i IT-sikkerhedsbranchen i mere end 25 år og har derfor en holdning til ALT – og ikke mindste alt, der har med IT-sikkerhed at gøre.

Exam ESL, CISSP, CISA

Da jeg var barn, fik jeg indskærpet nogle få og klare regler hjemmefra:

”Se dig for tre gange inden du går over vejen. Gå ikke i vandet lige efter du har spist. Børst dine tænder både morgen og aften.”

I dag skal Karius og Baktus stadig bekæmpes med tandbørsten – om end udgaven ofte er elektrificeret – og de øvrige risici med tiden er blevet afmystificeret. Til gengæld er vi nu i den digitale tidsalder, hvor den digitale udvikling går så rasende hurtigt, at det kan være svært at følge med.

Vores børn drøner med den største naturlighed rundt i Cyberspace og SoMe-universet på fx Instagram, Facebook og Snapchat. Vi er derfor nødt til at forholde os til helt nye farer for os selv og vores børn som fx digital mobning, falske profiler, identitetstyveri, hacking og mange andre alvorlige cyber-forbrydelser.

Men hvor- og hvordan kan vi trygt færdes på nettet, hvem kan vi stole på, og er vi overhovedet klædt på til at råde og vejlede vores børn i den digitale verden?

Afhængig af IT

Selv om det kan være fristende, er det ikke realistisk, at jeg fratager mine børn deres computere, smartphones og adgang til internettet for at beskytte dem, da både undervisning i skolen og deres sociale liv er betinget af disse værktøjer.

I erhvervslivet, hvor vi generelt er både meget IT-modige og IT-modne her i Danmark, er vi også totalt afhængige af disse værktøjer og en velfungerende IT-infrastruktur. Men er vi overhovedet opmærksomme på risikoen for utilsigtede hændelser og de fatale konsekvenser, det kan medføre?

Eksperter forudsiger sandsynlighed for, at en eller flere større danske virksomheder i nær fremtid risikerer konkurs på grund af en uhensigtsmæssig sikkerhedshændelse i IT-infrastrukturen. Fx kostede hændelsen med NotPetya knap 2 mia. kr. hos Mærsk og det på trods af, at organisationen højest sandsynligt var væsentlig bedre rustet og forberedt end mange andre virksomheder.

Men hvordan skal vi overhovedet råde erhvervslivet – og vores børn?

Digitalisering

Det er naturligvis indlysende, at erhvervslivet ønsker digitalisering for at effektivisere arbejdsgange og gribe mulighederne for time-to-market, så snart de viser sig. Disse processer medfører store besparelser, og det er slet ikke en mulighed at lade være, da også krav fra myndigheder og samarbejdspartnere dikterer udviklingen for slet ikke at tale om den konkurrencemæssige situation.

Jeg anerkender, vi ikke kan stå af den digitale udvikling, men jeg forbeholder mig samtidig retten til at sætte spørgsmål ved både hastighed og kvalitet af denne udvikling.

Fx er Patch Tuesday i dag efterhånden blevet et velkendt begreb i IT-verden, og det er ganske tankevækkende, at en ugedag kan blive opkaldt efter en hel branches manglende evne til at levere stabilitet og kvalitet.

Men fakta er, vi ikke kan undgå, at der fortsat vil blive lavet fejl og opstå nye usikkerheder. Og på trods af det støder jeg fortsat på mange virksomheder, som arbejder ud fra princippet: ”If it ain´t broken – don´t fix it!”

But – it IS broken! Det er derfor, der er en fejlrettelse til rådighed!!!

Hvis autobranchen fx opdager fejl på en bilmodel, bliver alle bilerne ofte kaldt ind for at få fejlen rettet. Det er naturligvis en kostbar proces, og derfor bruger producenterne ekstra tid på udvikling, tests og produktion for at sikre disse tilbagekaldelser. Og inden for luftfart sætter man heldigvis slet ikke spørgsmålstegn ved, at kendte sårbarheder bliver udbedret øjeblikkeligt.

Men er virksomhederne overhovedet opmærksomme på risikoen, de potentielle konsekvenser og omkostninger ved utilsigtede hændelser, når IT-løsningerne bliver etableret?

Dermed mener jeg ikke bare omkostningerne ved at foretage restore from backup men forretningens reelle omkostninger ved produktionstab, lavere omsætning og ridser i renomméet for ikke at glemme genetablering af hele IT-infrastrukturen.

Hos Mærsk kostede det som allerede nævnt næsten 2 mia. kr. Hvad vil det koste din virksomhed?

Hvem har ansvaret

Når vi taler om at forudse det digitale trusselsbillede og forebygge uhensigtsmæssige hændelser, skal der ikke herske tvivl om, det ER et svært tilgængeligt område.

Knopskydning på IT-systemerne er fortsat uundgåelige og gør IT-systemerne langt mere komplekse end nødvendigt. De bliver nemlig væsentligt sværere at håndtere i både de forebyggende faser – og ikke mindst når det er gået helt galt.

Virksomhedens ledelse skal naturligvis sikre, at økonomien ikke løber løbsk. I dén optik kan ledelsen af gode grunde også have svært ved at se, hvad der fx skulle være i vejen med den (nye) firewall, der blev investeret i for bare 2½ år siden. Og hvorfor er løbende opdatering og vedligehold ikke et ansvarsområde hos den eksterne leverandør, som virksomheden i forvejen betaler til?

Dette skal kombineres med den tekniske chef, teknikerens, projektlederens, brugerens og leverandørens forskellige meninger og holdninger, hvorfor det ofte ender med, at der ikke sker noget som helst. Ikke af ond vilje eller på grund af sløseri – men bare fordi det er lettere.

Digitalisering og it-sikkerhed

Men IT-sikkerhed er – lige som alt andet – i sidste ende også ledelsens ansvar. Ledelsen skal derfor træffe de rigtige beslutninger, men det bør ske på oplyst grundlag med udgangspunkt i denne ”formel”:

Risiko = Sandsynlighed x Konsekvens

Sandsynligheden tager teknik sig af. Konsekvensen er forretningens område, og risikoen hører under ledelsen.

Derfor har jeg naturligvis stor respekt for en ledelse, som vælger at løbe risikoen, når det bare sker på et oplyst grundlag.

Forebyg, opdag og kompenser

Når det endeligt er besluttet, at der skal ske noget for at højne sikkerheden og/eller kontrollere risikoen, vil virksomheden typisk stå med en række udfordringer. Det kan være mangel på:

  • konkrete kompetencer indenfor IT-sikkerhed, trusler og sårbarheder
  • viden om IT-infrastrukturen
  • indsigt i organisationen
  • økonomiske ressourcer

Når vi har identificeret risikoen, vil ændring af vaner - eller endnu bedre: at få nye vaner – desuden være et relevant supplement i processen for både at forebygge, opdage og kompensere et sikkerhedsbrist.

At forebygge hændelser for at reducere risikoen har typisk stort fokus. Det er ganske naturligt, men hvis der udelukkende er fokus på forebyggelse, kan det være begrænsende for forretningen og ofte være en kostbar løsning, da omkostningerne ikke kan stå mål med den reelle effekt.

I min optik er det derfor mindst lige så vigtigt at sikre, hændelser bliver opdaget. Det, at virksomheden kigger efter uregelmæssigheder, er desværre en meget undervurderet proces. Men det er samtidig værd at påpege, at vi ikke kan forebygge hændelser, hvis vi ikke opdager de eksisterende, eller dem der allerede har ramt os.

Derfor kan jeg endnu engang påpege, hvor vigtigt det er, at man på forhånd planlægger og forbereder kompenserende handlinger, når der opstår et sikkerhedsbrud.

Hav derfor altid Plan B ved hånden på forhånd, da det ganske enkelt er for sent, når en utilsigtet hændelse først buldrer løs – PLAN TO FAIL!

Tænk over konsekvenserne

Hvordan bør erhvervslivet forholde sig til det fremtidige trusselsbillede, når det gælder IT-sikkerhed?

Ja, havde jeg det endegyldige svar, var der faktisk tale om intet mindre end et forretningsmæssigt guldæg, da det naturligvis er særdeles vanskeligt at forudse næste skridt fra internettets skjulte underverden.

Hvis virksomhederne allerede på forhånd tænker over og anskueliggør konsekvenserne ved en utilsigtet hændelse og på baggrund af dette planlægger, hvad der skal gøres, er man faktisk allerede kommet langt.

Det kan fx være ”noget så simpelt” som at sørge for, systemerne løbende bliver overvåget og testet, så man altid er sikker på, at de fungerer efter hensigten.

Nu hvor vi alle sammen alligevel fokuserer på at overholde GDPR, kan vi med fordel også sætte procedurerne for IT-sikkerhed på agendaen og processerne i system. Dermed vil der være større sandsynlighed for en post til løbende IT-sikkerhed på det næste driftsbudget og dermed mulighed for enten at sikre de nødvendige kompetencer in-house - eller at benytte eksterne specialister, når det er nødvendigt.

Copy/paste

Hvordan råder jeg så mine børn i den digitale verden?

Ja, jeg har lavet copy/paste og gør nøjagtigt det samme, som mine forældre gjorde. Jeg bekymrer mig og siger gentagende gange: ”Pas nu på… Lad nu være med at…. Tænk dig nu om…”.

Samtidig erindrer jeg, hvor ofte jeg i trafikken selv glemte at se mig for-, svømmede efter et måltid eller snød med tandbørsten.

Men jeg har dog sat et loft på ungernes kreditkort og telefonregninger samt oprettet et specielt VLAN til børnene og deres venner. Da vil en utilsigtet hændelse i det mindste ikke gå ud over Lillemor - og mig selv – og jeg har derfor nu overblik over konsekvensen på disse områder.

Vores digitale modenhed er ikke nødvendigvis et korthus, der kan falde sammen, men vi er selv med til at bestemme hvor godt et fundament, der danner grundlag for vores IT-platform - og hele forretningen.