TDC Perspektiv. It-sikkerhed TEMA. Viden du kan arbejde med #

Transkript

1 TDC Perspektiv Viden du kan arbejde med # TEMA It-sikkerhed

2 Tænk nyt for en sikkerheds skyld Vi har håndplukket en række centrale artikler skrevet af fagfolk for fagfolk. Emnet er it-sikkerhed, og artiklerne har tidligere været publiceret online på TDC Perspektiv, hvor vi løbende udveksler viden og præsenterer nye indsigter. Vi har sat it-sikkerhed i fokus, fordi virksomheder i dag er afhængige af adgang til data. Indtjeningen står og falder med en velfungerende it-infrastruktur, og sikkerheden er under pres. Problemstillingen er mere aktuel end nogensinde. Derfor rummer temaet i dette nummer også en opfordring til at tænke nyt for at komme udfordringerne i forkøbet. It-truslerne kan komme fra mange sider, og det er vores håb, at artiklerne giver dig en sikkerhedsviden, du kan arbejde videre med. TDC Erhverv Trusselsbilledet har ændret sig markant, og it-sikkerheden skal følge udviklingen. Det betyder også, at alt det, vi i dag ved om it-sikkerhed, vil ændre sig, og at jeres it-mur måske allerede har huller Carsten Challet Afd.dir. og Sikkerhedsekspert hos TDC Erhverv 2

3 UDSYN Kronjuvelerne skal bevogtes I dag kan sikkerhedsbrister ligge langt uden for virksomhedens normale indsatsområde. Ledelsen bliver nødt til at kigge ud over virksomhedens traditionelle grænser, når den skal sikre de vigtigste værdier...side 4 RISIKO It-sikkerhed må gerne være raketvidenskab Hvor risikovillig er din organisation? Den problemstilling er så kompleks, at den kan minde om raketvidenskab. Og netop inden for dén disciplin kan man finde inspiration til, hvordan It-sikkerhed kan gribes an...side 7 BYOD Jeres sikkerhedsmur har allerede huller BYOD står for Bring Your Own Devices. Flere og flere medarbejdere bruger private enheder sammen med deres arbejdsopgaver, og det kan resultere i sikkerhedsbrister. Læs her, hvordan du kan få et overblik...side 11 DET SVAGE LED Mennesket kan også blive hacket Dine medarbejdere kan udgøre en stor sikkerhedsbrist, hvis de bliver udsat for såkaldt social engineering. Denne artikel fortæller om hacking gennem mennesker og giver tips til, hvordan du kan undgå det... Side 14 TEST Hvornår har du sidst testet din it-sikkerhed? Er din virksomhed blevet hacket for nylig? Mange virksomheder bliver udsat for it-kriminalitet uden selv at være klar over det. Læs her, hvordan en hacker paradoksalt nok kan hjælpe din virksomhed... Side 17 Vi samler udvalgte artikler fra TDC Perspektiv til dig. I artiklerne skriver fagfolk om aktuelle emner inden for it, tele og kommunikation. Vi håndplukker og samler teksterne i nogle temaer, der giver dig et overblik og en konkret viden, du kan bruge i arbejdet med at holde din virksomhed digitalt opdateret. 3

4 Kronjuvelerne skal bevogtes Eksempler på it-sikkerhedsbrister viser, at de kan have fatale forretningsmæssige konsekvenser. Det tvinger den øverste ledelse til at involvere sig. Ifølge en it-sikkerhedsekspert skal ledelsen i dag kigge ud over virksomhedens traditionelle grænser, når den skal sikre virksomhedens vigtigste værdier. Røgen fra CSC-sagen, hvor bl.a. cpr-numre blev hacket i Rigspolitiets kørekort-register, har endnu ikke lagt sig. Og mens afsløringerne om NSAs aflytninger fortsætter, kaster Se & Hør-skandalen med tys-tys-kilden, der lækkede kredit-kortoplysninger fra Nets og IBMs systemer, ny benzin på bålet. Tilliden til om virksomhederne er gode nok til at sikre data om borgere, kunder og firmaer er på spil. Det gør spørgsmålet om it-sikkerhed til et anliggende for den øverste ledelse. Den gode historie er imidlertid, at de nye sager giver ledelserne en åben platform til at skabe forbedringer. Men hvad der måske kan overraske er, at opmærksomheden ikke kun skal rettes mod virksomhedens indre linier. Cyberrisikoen ligger udenfor virksomheden It-risici bliver vigtigere og vigtigere for ledelsen i virksomhederne. En undersøgelse foretaget af revisions- og konsulent- 4

5 virksomheden PwC viser, at 61 % af forbrugerne ville stoppe med at bruge en virksomheds produkter eller tjenester, hvis et angreb resulterede i et sikkerhedsbrud. En anden PwC-undersøgelse afdækker, at 63 % af europæiske CEOs mener, at cyber-angreb vil få indflydelse på deres virksomhed i Derfor bruges der nu mere tid på it-sikkerhed i direktionsarbejdet, forklarer Mark Hanvey. Han er it-sikkerhedsekspert i PwC. Som Cyber Security Director har han arbejdet som konsulent for bl.a. flere danske virksomheder. På Dagbladet Børsens it-konference IT Value 2014 fortæller han, at der kommer flere eksempler på, at sikkerhedsbrud og angreb opstår i virksomhedens forsyningskæde: Ofte koncentrerer ledelsen sig om, at det administrative netværk til , filer og webservere er sikret. Men på samme tid kan produktionssystemets netværk være helt uden sikkerhed. Leverandører og samarbejdspartnere har ofte dataopkoblinger til netværket, og dermed er der potentielt adskillige åbne adgange til netværket. Deres risiko er din risiko, forklarer Mark Hanvey. Pointen er, at sårbarhederne eller cyberudfordringen, som Mark Hanvey kalder det, i dag rækker langt ud over virksomhedens egne grænser. Derfor er det nødvendigt for ledelsen også at kigge på kilder til it-risici udenfor virksomheden. Fokuser investeringen i it-sikkerhed Mark Hanveys kollega, Christian Kjær, der har ansvaret for rådgivning om it-sikkerhed på PwC s kontor i Danmark, opfordrer til, at man tester og dokumenterer de systemer, som forbinder virksomheden med leverandørkæden. Tankegangen skal være end to end i processer og systemer. For it-kriminelle er ligeglade, hvor de trænger ind i netværket. Typisk tager de hellere den nemme vej end den svære. It-sikkerhedstruslerne kan stamme fra så forskellige aktører som nationalstater, der udøver industrispionage, organiserede it-kriminelle, der vil berige sig, cyberterrorister eller såkaldte hacktivister med politiske motiver eller medarbejdere, der ubevidst gør virksomheden sårbar eller bevidst udnytter en betroet position. Erfaringen er, at motiverne varierer, og at metoderne udvikler 5

6 sig løbende. Samtidig er der mange steder, man kan forsøge at beskytte sin virksomhed, og det kan være umuligt for en virksomhed at forudse, hvornår en sikkerhedsbrist vil blive udnyttet. Derfor er Christian Kjærs anbefaling klar: Opgaven er at balancere værdien af virksomhedens aktiver med de ressourcer, man allokerer til at beskytte aktiverne. Men man kan ikke eliminere it-risici lige godt alle steder, så man er nødt til at fokusere sin investering. Det vigtigste at gøre først, er derfor at bevogte virksomhedens kronjuveler det, der har størst betydning for forretningen, lyder Christian Kjærs råd. Ledelsen kan starte med at stille sig selv disse spørgsmål Har vi identificeret vores mest kritiske data-aktiver, og har vi fuldstændig styr på, hvor de opbevares, og hvor de bliver sendt og modtaget? Kender vi værdien af disse data, og ved vi, hvad det betyder for forretningen, hvis kritiske data bliver kompromitteret? Prioriterer vi at beskytte vores kronjuveler bedre end andre aktiver? Mark Hanvey, Cyber Security Director, PwC UK 6

7 It-sikkerhed må gerne være raketvidenskab It-kriminalitet er det seneste år steget med 77 %. Omfanget gør, at it-sikkerhedsansvarlige er nødt til at tage stilling til, hvor risikovillig organisationen er. Det er kompleks og kan få det til at føles som raketvidenskab. Men faktisk kan netop dén disciplin hjælpe til, at man kommer videre. Apollo 11-missionen sendte i 1969 de første mennesker til månen. Raketforskeren, der stod bag den komplicerede udvikling af raketten, beskrev, hvordan man kan blive tvunget til at forholde sig til virkelighedens vilkår: Du står og har behov for en ventil, som ikke lækker, og du gør alt, der står i din magt, for at udvikle sådan en ventil. Men den virkelige verden giver dig en ventil, der lækker. Så dét, du er nødt til at bestemme dig for, er: hvor meget lækage kan du leve med? Virksomheder, der i dag skal finde ud af, hvor meget og hvad de skal gøre for at sikre deres it, er overraskende nok i samme situation. I virkelighedens verden vil der altid være en risiko. Man kan blive ramt af angreb og sikkerhedsbrud, som ikke kan inddæmmes bag serverrummets metaldøre, men som i stedet sætter en kæp i hjulet på virksomhedens forretning. 7

8 Hvor stor er vores risikovillighed? Efter en kraftig stigning på 77 % det seneste år i sager om databedrageri, som i politiets statistik dækker over it- og internetkriminalitet, har Rigspolitiet besluttet at oprette et nationalt center, der skal bekæmpe og forebygge cyber-kriminalitet. Alvoren understreger, at ingen virksomhed kan se sig fri for hverken spammails, hacking eller potentiel industrispionage via nettet. Lars Højberg, der er teknisk sikkerhedschef i TDC, forklarer: Udfordringen for den enkelte virksomhed er: Hvad er sandsynligheden for sikkerhedsbrud, og hvad vil konsekvenserne være? Når dagen er omme, er enhver virksomhed derfor nødt til at stille sig selv spørgsmålet: Hvor stor er vores risikovillighed, når det gælder it-sikkerhed? Han medgiver, at det kan være svært at svare på. Det handler nemlig om, hvilken type angreb der bliver rettet imod virksomheden, hvad angriberne går efter samt hvilken motivation angriberne har. I stedet for at prøve at sikre sig mod alle tænkelige angreb, bør virksomheder i stedet gøre sig klart, hvad der er vigtigst at beskytte for forretningen. Man skal for eksempel tænke over: I hvor høj grad er det personfølsomme eller forretningskritiske data, vi arbejder med? Hvor forretningskritisk er det, at it-driften er stabil, og hvor meget nedetid kan vi have, uden det får konsekvenser? Og så beskytte virksomheden ud fra det. Det er meget branche- og forretningsspecifikt, om man skal sætte stort ind på it-sikkerhed, eller om man kan klare sig med mindre, forklarer Lars Højberg. Ved vi nok om sikkerhed? Hver eneste dag bliver virksomheder tæppebombet med automatiserede angreb via mailsystemet. Snedige forsøg på at narre brugeren ind på ondsindede hjemmesider eller at give vores kontooplysninger fra os, via falske mails fra fx Skat eller banken, slipper igennem spamfiltre og antivirus. Og antallet af snydehenvendelser via især Facebook, hvorved man udsættes for ondsindet kode, er i stigning. Det kræver derfor en stillingtagen til, hvorvidt man selv ønsker og er i stand til at løfte sikkerheden, eller om man skal få 8

9 hjælp til opgaven ved hel eller delvis outsourcing. Grundlaget er en indsigt i det konkrete trusselsbillede, virksomheden står overfor. Balancegangen kan være svær, især for den lille eller mellemstore virksomhed, der ikke altid råder over den nødvendige viden, kompetence og ressourcer inden for it-sikkerhed. DDoS DDoS (Distributed Denial of Service) er en af de mest udbredte former for angreb. Metoden, som rammer alle typer af virksomheder, oversvømmer virksomhedens systemer med forespørgsler. Det får systemerne, som kan være kritiske for forretningen, til at bryde sammen, eller fylder internetforbindelsen op, så kunderne ikke kan komme igennem. Disse angreb er særdeles lette at udføre, hvilket gør, at hvem som helst kan angribe din virksomhed, fortæller Lars Højberg. Vi har kunder, der har været udsat for pengeafpresning, hvor der trues med DDoS-angreb, hvis der ikke betales. Der kan også være tale om politisk motiverede angreb. Det eneste, de it-kriminelle har brug for, er en internetforbindelse og kendskab til en af de web-sider på nettet, hvor man kan bestille DDoS-angreb, fortæller han. Sikkerhed i skyen Cloud computing giver virksomhederne fordele mht. drift, kompetencer og økonomi. Igen bliver sikkerhed aktuelt, fordi virksomheden til en vis grad giver slip på sine data. Fokus bør derfor skifte fra kun at dække selve systemerne til også at ligge på indholdet af de data, man sender i skyen. Når man benytter cloud computing, er det vigtigt, at man opdeler data efter følsomhed og hvor kritiske de er for forretningen samt tænker over, hvilke landegrænser data passerer, hvor tilgængelige de er samt hvem der har adgang til dem, forklarer Lars Højberg. At få det rette overblik kan være en udfordring. Men med raketvidenskaben i tankerne bliver det måske nemmere at finde ud af, ved at tænke over hvilke risici virksomheden kan leve med. 9

10 Hvad tager din virksomhed i betragtning, når I overvejer, hvilken risiko I er villige til at løbe? Hvilke risikoparametre kan man tage lettere på, og hvilke skal man være særligt opmærksom på i jeres branche? 10

11 Jeres it-sikkerhedsmur har allerede huller Den kraftige udvikling i forbrugerelektronik betyder, at medarbejderne tager private gadgets og vaner med på arbejde. Det udfordrer it-sikkerheden, og selvom I måske ikke er klar over det, er medarbejderne i jeres virksomhed garanteret brudt igennem den digitale sikkerhedsmur. You are already compromised, you just don t realize it. Sådan siger det anerkendte it-analyseinstitut Gartner, og Business Specialist Finn Villadsen fra TDCs datterselskab NetDesign er enig. I dag opfatter medarbejdere det som et decideret overgreb, hvis de ikke har adgang til Facebook, Twitter, Dropbox, Instagram og andre sociale medier, som i dag er naturlige, når de skal kommunikere og udveksle information. De vil have samme frihedsgrad, som de har privat. De vil kunne forfølge deres kreativitet. De vil kunne arbejde intuitivt. De vil kunne kommunikere effektivt. Og de vil ikke lade sig begrænse af snærende it-sikkerhedsregler. Så hvis virksomheden ikke kan levere en teknologisk værktøjskasse, der lever op til medarbejdernes forventninger, tager de blot deres egne mobile enheder med på arbejde. Det sætter virksomhedernes it-strategi under pres. Alt det, virk- 11

12 somheder i dag ved om it-sikkerhed vil ændre sig, og det er umuligt at it-sikre sig ved at bygge en sikkerhedsmur af regler, politikker og firewalls. Så selvom I ikke ved det, er I garanteret kompromitteret dvs. har huller i virksomhedens it-sikkerhed. Åbning for nettet = åbning for forretningen -> huller i it-sikkerheden Når virksomheden åbner op for nettets strøm af data og muligheder, øger det virksomhedens attraktion og dermed konkurrencekraft, fordi den tiltrækker innovative medarbejdere. At åbne nettet åbner derfor nogle forretningsmæssige muligheder herunder også muligheden for at kunne agere tættere med kunderne. Men det er ikke sort-hvidt som tidligere, hvor virksomheden tog beslutning om at åbne sin firewall for en bestemt applikation uden at overvåge, hvad der flød ind og ud af den port, de havde åbnet. Trenden bliver, at virksomhederne arbejder strategisk med datasikkerhed ved at formulere en it-politik med konkrete retningslinjer, principper og værktøjer til at monitorere trafikken. Og den helt grundlæggende ændring vil være, at it-sikkerhedspolitikken ikke længere sætter kontrollen i centrum, men tager udgangspunkt i medarbejderne og de individuelle jobfunktioner forudser Finn Villadsen. It-sikkerhed hvor sårbare er I? At åbne op for en given ting på nettet betyder ikke automatisk, at virksomheden også åbner op for alle de risici, det medfører. Men mange virksomheder har ikke skabt sig et overblik. Derfor har de heller ikke taget stilling til, hvad der kunne udgøre en risiko. Resultatet er, at de ender med ikke at gøre noget eller at de implementerer mere eller mindre effektive begrænsninger. Konkurrencen vil tvinge virksomhederne til at gøre ting tilgængelige for medarbejderne. Så min anbefaling er at acceptere en åbning, der indebærer trusler, og bagefter minimere risikoen for kompromittering af sikkerheden. Det er ikke en opfordring til blot at give los og ukritisk tillade al datatrafik. Alt skal vurderes kritisk og præcist, for det er et faktum, at det kan være uhyre vanskeligt at identificere de ting, der udgør en risiko uanset om det er hobby-hackere eller hardcore kriminelle pointerer Finn Villadsen. Læs også: TDC s sikkerhedsleksikon 12

13 Fakta: Sådan tackler I risikoen for kompromittering Glem målsætningen om at beskytte jer 100 %. Sæt jer i stedet som mål, at I vil kunne opdage, når I bliver kompromitteret og hav en beredskabsplan klar lyder rådet fra Finn Villadsen, der understreger, at en brugerorienteret tilgang til sikkerhed er alfaomega. Ingen kæde er stærkere end det svageste led. Tit skyldes kompromittering, at sikkerheden er blevet brudt gennem en intetanende bruger. Derfor skal den enkelte bruger konstant guides af intuitive pop-up sikkerhedsadvarsler, som hjælper med at navigere uden om de sikkerhedstrusler, de daglige jobfunktioner indebærer. Fx, hvis medarbejderen er ved at sende filer med cpr-numre eller regnskabsfølsomme oplysninger ud af huset, eller hvis han er ved at åbne en forbindelse, der kolliderer med virksomhedens sikkerhedsprincipper. 13

14 Mennesket kan også blive hacket lær at beskytte dig! Når Thomas fra it-afdelingen ringer til dig og fortæller, at din pc behøver backup, og han derfor behøver dit password vil du så give ham det? De fleste siger nej, men virkeligheden er en helt anden. Udnyttelsen af mennesker for at opnå adgang til en virksomheds systemer hedder social engineering og kan kaldes for hacking af mennesker. De kriminelle manipulerer os til at bidrage med informationer eller udføre handlinger, som eksempelvis at klikke på links, svare på mails, installere malware eller endda give dem fysisk adgang til virksomheden. Så selvom virksomheden måske er it-sikret, er det medarbejderne der i virkeligheden er sikkerhedsbristen. The weakest link in any security chain is always human, Kevin Mitnick, sikkerhedskonsulent og tidligere verdensberømt hacker. Vi er for flinke Hacking er ofte forbundet med computere og teknik, men 14

15 også mennesker kan blive hacket. De fleste medarbejdere er instrueret i at være hjælpsomme og servicemindede, og den indstilling kan de kriminelle udnytte til at skaffe sig adgang til ellers hemmelige oplysninger. Et typisk forsøg på social engineering kan være et opkald, hvor den kriminelle forsøger at lokke hemmelige eller personfølsomme oplysninger ud af dig ved f.eks. at udgive sig for at være en anden medarbejder fra samme firma. Det kan være it-medarbejderen, der lige skal bruge nogle oplysninger, økonomiafdelingen, der skal bruge nogle tal, eller noget helt tredje. Samme scenarie kan også foregå via såkaldte phishing-mails, hvor tilsyneladende troværdige mails vil narre dig til at videregive fortrolige oplysninger eller installere skadelig software. I disse digitale tider ligger rigtig mange oplysninger tilgængelige på nettet via hjemmesider og sociale medier. Med disse oplysninger kan hackeren spinde en troværdig løgn, når de vil narre oplysninger ud af offeret. Derudover kan de også manuelt undersøge affaldet og følge efter offeret for at skaffe sig yderligere oplysninger. Pas på med at holde døren Den sociale hacker kan også fysisk møde op på arbejdspladsen og skaffe sig adgang til ellers aflåste områder ved at følge tæt efter de ansatte, bede dem holde døren el.lign. Alt der kræves, er blot en troværdig forklædning som medarbejder, rengøring, planteservice eller andet personale, der normalt har sin daglige gang i lokalerne. Hvis først den kriminelle på den ene eller anden måde har fået adgang til arbejdspladsen, så er det ingen sag at lægge lidt lokkemad ud. Det kan være en USB, CD eller lignende, der tilsyneladende hører til virksomheden, men er blevet tabt et trafikeret sted i virksomheden. Med stor sandsynlighed vil en nysgerrig medarbejder samle lokkemaden op og sætte den i sin computer, hvilket automatisk installerer skadelig software. Oplyste kodeord for en kuglepen Scenarierne ovenfor virker måske ekstreme for nogen, men den menneskelige hacking finder sted i virkeligheden. I 2003 blev der foretaget en informations-sikkerhedsundersøgel- 15

16 se, hvor 90 % af deltagerne gav deres arbejdskodeord væk i bytte for en billig kuglepen. En del har ændret sig siden 2003, men lignende undersøgelser er siden blevet gennemført, hvor resultatet stort set var det samme. Så når Kevin Mitnick siger, at det svageste led i it-sikkerhedskæden er mennesket, så har han faktisk ret. Sådan gennemskuer du et forsøg på social engineering Hvis du får en henvendelse udefra, kan du blandt andet se på om vedkommende: Nægter eller tøver med at oplyse præcis hvem han/hun er og hvordan han/hun kan kontaktes. Specielt hvis du får at vide Jeg kan ikke kontaktes i dag jeg skal nok ringe tilbage til dig. Har travlt eller skynder på dig Bruger meget name-dropping eksempelvis Din chef, Jens, har bedt mig om eller Jeres it-mand, Simon, sagde du skulle Forsøger at skræmme dig til at gøre noget. Eksempelvis Hvis du ikke.., så kan du jo nok se, at vi ikke kan nå projektet indenfor tidsplanen eller Nu må du tage dig sammen, ellers er det dit job, der hænger i en tynd tråd Kommer med mærkelige spørgsmål, der ikke passer ind i sammenhængen eller ind i virksomheden, du arbejder for. Staver eller udtaler navne forkert Beder om personfølsom eller klassificeret information HUSK at social engineering ikke altid er ensbetydende med en direkte henvendelse fra en person. Du kan også blive narret til at give følsomme oplysninger i webformularer, mails, og på papir. Pas på hvad du smider i din papirkurv; klassificeret information bør makuleres. Hvordan bliver du sikker som medarbejder? 1. Vær bekendt med virksomhedens sikkerhedspolitik 2. Vær kritisk over for henvendelser fra personer, du ikke kender især hvis det handler om følsomme oplysninger 3. Åbn links og vedhæftninger med omtanke uanset hvor officiel eller troværdig afsender fremstår 16

17 Hvornår har du sidst testet din it-sikkerhed? Er din virksomhed blevet hacket for nylig? Måske ved I det ikke selv. Mange virksomheder bliver udsat for it-kriminalitet uden selv at være klar over det. Derfor er der flere og flere virksomheder, der får hackere til at trykteste deres it-sikkerhed. Der findes forskellige metoder, så man kan sikre sig, at alle vinkler på it-sikkerheden bliver testet. Mød White-Hat hackeren Dion Jensen fra NetDesign, der er ekspert i at trænge igennem usikre sikkerhedsløsninger. Dion Jensen er Security Solution Architect hos TDC, og hans daglige arbejde er blandt andet at forsøge at hacke sig igennem avancerede sikkerhedsløsninger. Og så bliver han oven i købet betalt af kunderne for at gøre det. Efterspørgslen på denne service er i øjeblikket så stor, at der sidder flere såkaldte White Hat-hackere hos TDC, som blandt andet forsøger at hacke sig ind i kundernes it-systemer. I modsætning til en Black Hat hacker, udfører White Hat hackere deres arbejde i den gode sags tjeneste. Hvilke kunder bestiller typisk en test? Man kan ikke branchebestemme de kunder, der ønsker en 17

18 test. Ligesom der findes mange former for trusler, så findes der også forskellige niveauer af risici for forskellige virksomheder. Det kan være meget videnstunge firmaer, der vil lide store tab, hvis deres data bliver stjålet eller ikke er tilgængelige, men det kan også være e-handelsvirksomheder, der har behov for konstant at være online. For en produktionsvirksomhed kan det koste et flercifret millionbeløb, hvis systemet er nede, og maskinerne skal holde stille. På den anden side kan et ændret tal i et forskningsresultat betyde, at al den øvrige forskning må verificeres eller kasseres, da man jo ikke ved, hvor mange steder hackerne har været, eller hvornår i forskningsforløbet angrebet har fundet sted. Hvordan mærker I den stigende efterspørgsel? En generel fællesnævner for de kunder, som vælger at teste deres it-sikkerhed, er, at de allerede selv er rimeligt it-kyndige. Hvilket måske ikke er så mærkeligt. Jo mere du ved om it, jo mere bevidst er du også om de trusler, der findes. Reelt er der mange flere virksomheder, der har behov for en test, men som ikke bruger det. Mange har ældre firewalls og forsøger sig selv med at justere på indstillingerne, hvilket kan gå rigtig galt. Men generelt kan vi mærke en stigning i antallet af kunder, der vælger en test. Mange har erkendt, at det er en næsten umulig opgave at være på forkant med de cyber-kriminelle. Generelt kan man sige, at selv om der er investeret mange penge i it-sikkerhed, så ved du reelt ikke, om det virker, før det er testet. Hvor ofte tester I så for kunderne? Der findes flere forskellige typer tests. Men fælles for dem alle er, at de skal udføres med jævne mellemrum, så en del kunder har et abonnement, hvor vi tester op til fire gange om året. Andre bestiller en test, når de mener, at der er risiko for et angreb, enten fordi det er længe siden, de er blevet testet, de har læst om ny malware i medierne, eller de har måske en mistanke om, at de er, eller vil blive offer for et angreb. For eksempel oplever vi en markant stigning i antallet af forespørgsler på tests fra kommuner, når medierne skriver om et hacker-angreb på en kommune. Hvordan tester I så for kunden? Vi scanner for sovende virus. En virus kan sagtens ligge latent i mange måneder, før den pludselig aktiveres og forvolder skade på systemet. Det er der rigtig mange virksom- 18

19 heder, der ikke er klar over. Vi holder os hele tiden ajour med hackernes færden, og vi kender de metoder og redskaber som de cyber-kriminelle benytter. Vores styrke består blandt andet i, at vi har indblik i mange forskellige brancher, og de trusler, der rammer én branche i dag, kan blive virkelighed for en anden branche i morgen. Hvad tester I normalt for? Vi har typisk fire tests, vi benytter. Vi har en penetrationstest, hvor vi forsøger at trænge gennem virksomhedens firewall og ligesom de it-kriminelle leder efter huller i sikkerhedsløsningen. Vi foretager også it-sikkerhedsanalyser, hvor vi kigger på al den trafik, der kommer ind og går ud af virksomheden. Derudover udfører vi malware scanninger af virksomhedens system. Her tager vi et skridt dybere ned under overfladen og undersøger, om der fx skulle findes sovende virus. En virus kan sagtens ligge latent i mange måneder, før den pludselig aktiveres og forvolder skade på systemet. Endelig laver vi ofte såkaldte risikoanalyser for vores kunder. Ved en risikoanalyse kigger vi på den risiko eller de tab, der er forbundet med et angreb, målt op mod de omkostninger der er forbundet ved at sikre sig mod et angreb. Ved en risikoanalyse gennemgår vi virksomheden og dens digitale aktiver bid for bid. Hvad er dit bedste råd til den it-ansvarlige? Man skal som it-ansvarlig være opmærksom på, at medarbejderne også ud-gør en stor sikkerhedsrisiko ofte udgør de faktisk den største risiko for uforvarende at komme til at udlevere passwords, klikke på virusinficerede links, eller på anden måde sætte virksomhedens it-sikkerhed over styr. Derfor er det vigtigt, at man har en god sikkerhedspolitik i virksomheden. Det er desuden vigtigt, at huske på, at de it-kriminelle ikke nødvendigvis er sikkerhedseksperter. Alle kan i dag købe sig til et angreb på nettet. Det koster ikke ret meget og er relativt nemt at finde frem til. Man kan altså ikke regne med, at man ligger under hackernes radar, bare fordi man har et relativt lille eller ukendt brand. Måske bliver en tidligere ansat sur på virksomheden og ønsker at hævne sig. Eller en elev, der har fået dårlige karakterer, og ønsker at ændre dem. Det lyder måske lidt paranoidt, men man er nødt til at erkende, at nu hvor it-kriminalitet er blevet en forretning, kan alle potentielt købe sig til angreb online. Dermed er truslen relevant for alle. 19

20 Vil du læse mere? Du kan fordybe dig yderligere i dette og mange andre temaer på TDC Perspektiv, hvor vi publicerer faglige artikler om relevante og aktuelle emner. tdc.dk/perspektiv Kontakt TDC Sikkerhed