IT-sikkerhed

Cybertruslen skal tages alvorligt

Af ren og skær hjælpsomhed oplyser mange medarbejdere deres adgangskode, selvom de ikke burde. Øget viden om IT-sikkerhed er i dag mindst lige så vigtigt som antivirusprogrammer og firewalls, mener Pernilla Rönn, ekspert i informationssikkerhed.

Internet of things, (IoT), øget nettrafik på flere enheder, avanceret informationshåndtering og raffineret phishing – i den digitale tidsalder øges sårbarheden over for hacking med lynets hast. Pernilla Rönn, som er Business Area Manager for informationssikkerhed i det tekniske konsulentfirma Combitech, advarer om, at truslerne mod virksomhederne bliver flere og mere avancerede i fremtiden. Men der er håb.

– Når bevidstheden om risici og trusler øges, mindskes faren for hacking. At ændre sin adfærd omkring IT-sikkerhed er alfa og omega, siger Pernilla Rönn.

Egentlig ville hun have været journalist. Det var mest af alt et tilfælde, at hun begyndte at ­studere datavidenskab, en bred uddannelse med både programmering, teknologi og økonomi på skemaet. Eftersom ord som ”kryptering”, ”trusler” og ”risici” lige var noget for Pernilla, søgte hun et krypteringsjob. Det var i 1994, og siden da har hun været en entusiastisk sikkerhedsfanatiker. Men talentet for at skrive har Pernilla trods alt haft brug for i konsulent­rollen – hun holder af at skrive udredninger og rapporter, ”at arbejde med virksomheden og ikke kun de tekniske løsninger er super sjovt”.

Hvorfor er IT-sikkerhed så spændende et område?

– I dag er fokus skiftet fra IT-sikkerhed til informationssikkerhed, som er et stort område. Det indeholder meget mere end teknik, f.eks. processer, organisation og metodik. Derfor er det en luksus at arbejde med disse interessante spørgsmål. Jeg befinder mig lige midt i samfundsudviklingen, eftersom sikkerhed behøves overalt.

Lever du selv op til det, du fortæller andre?

– Ja, lidt erhvervsskadet er man jo. Jeg er tilbageholdende med, hvad jeg poster på sociale medier, og alle mine adgangskoder er nøje beskyttet. Jeg tjekker, om der er overvågningskameraer, og jeg klikker aldrig på links eller filer i e-mails, hvis jeg ikke ved, hvem afsenderen er.

Med øget indsigt øges det generelle sikkerheds­niveau, viser testresultater, som Combitech har sammenfattet. Og det er muligt at ændre folks opførsel med enkle midler.

Hvordan undersøger I en virksomheds bevidsthed om disse spørgsmål?

– Vi kan f.eks. ringe til medarbejderne og lade som om, at vi ringer fra helpdesken og skal bruge deres adgangskode. Og folk hopper lige i fælden. Hele 80 % gør, hvad de ikke burde, og oplyser deres adgangs­kode. Vi kan oven i købet sende phishing-mails og bede modtagerne afsløre deres brugernavne. Så får vi et mål for, hvor bevidste medarbejderne er om sikkerhed.

Trods alle advarslerne i medierne, og trods det, at truslerne efterhånden er velkendte, gentages ­fejlene. Ofte skyldes det, at folk ønsker at være venlige og hjælpsomme. Paraderne sænkes, hvilket er ødelæggende, når hensigten er ond.

Pernilla Rönn pointerer, at alle tests foretages med respekt for det enkelte menneske, og at Combitech bagefter forklarer, at det er en del af et studie foranlediget af virksomheden. Meningen er, at læreprocessen skal være tankevækkende og ændre på folks adfærd. Budskabet er, at hvem som helst kan lave fejl, og at alle kan ændre deres opførsel for at være ­bedre på vagt.

Har hackerangrebene ændret sig?

– Nu kan de foregå over lange perioder. I stedet for at være massive er de udholdende. Og hackerne selv er meget dygtigere end tidligere. Tænk bare på det, der skete for de store banker i 2015. Det var en 16-årig svensk dreng, som var ophavsmand til hackerangrebet hjemme fra sit værelse i Växjö.

Hvad skal virksomhederne gøre for at beskytte sig?

– I dag skal sikkerhedstankegangen indgå i virksomhedens grundlæggende processer.

Organisationen og dens adgange, risici og trusler skal være i centrum. Ud fra det planlægger og udvikler man virksomhedssystemet med henblik på kontinuitet. En effektiv hændelseshåndtering er alfa og omega. Hvis virksomheden udsættes for et angreb, skal man være hurtigt på banen igen for at fortælle omverdenen, hvad der er sket. Informations- og sikkerhedsspørgsmålene bør være rodfæstede hos alle i virksomheden.

Bør vi også som privatpersoner tænke i IT-sikkerhed?

– Samfundet er enormt sårbart, og folk forstår ikke, hvor eksponerede de rent faktisk er på nettet. ­Følger man f.eks. en person på Facebook i nogle dage, får man et godt indblik i personens vaner og præferencer. Tekniske sikkerhedsløsninger er ikke nok. Alle får noget ud af at øge deres bevidsthed om trusler og risici!

Hvorfor vælge en IT-driftstjeneste fra Dustin?

80 % oplyser deres adgangskode, når vi lader som om, vi er helpdesken.

Pernilla Rönn

Alder: 46

Familie: Mand og to døtre. ”Ingen husdyr, selvom børnene plager”.

Bopæl: Centralt i Växjö

IT-fejl: ”Aldrig! Jo, forresten. Jeg glemte at låse skærmen en gang. Så tog en kollega gas på mig. Efter det har jeg ikke glemt at låse ...”

Grænsen på de sociale medier: ”Feriebilleder er i orden. Men jeg skriver ikke noget om mit helbred eller om børnene”.

Favorithjemmeside: ”Jeg er lidt af en shopaholic. Det er mest tøj og sko, jeg køber på nettet”.

5 af Pernilles bedste råd til øget IT-sikkerhed:

  • 1. Identificér virksomhedens værdier og sæt ind på at beskytte dem digitalt. Tænk på, at jo mere vi er opkoblet til nettet, jo mere sårbare er vi.
  • 2. Sørg for at have teknisk overvågning og at opdage hændelser. Virksomhedens proces for hændelseshåndtering skal fungere, så medarbejderne ved, hvad de skal gøre, hvis der sker noget.
  • 3. Det svageste led er de ansatte. Skab en kontinuerlig bevidsthed om trusler og risici.
  • 4. Vær ekstra forsigtig med din håndtering af IT, når du rejser. Brug skærmbeskyttelse på PC’en og vær opmærksom på omgivelserne, når du taler i mobil.
  • 5. Glem ikke at bruge sikkerhedsindstillingerne på de sociale medier. Begræns dine indcheckninger.

Tekst: Elisabeth Krogh
Foto: Peter Jönsson