Så naive er vi, når det handler om IT-sikkerhed

Forskellen mellem, hvad vi investerer i IT-sikkerhed og de reelle omkostninger, kan måles i milliarder, og gabet bliver større og større.

– Hvis jeg skulle forsikre virksomheder mod IT-sikkerhedstrusler, ville jeg kræve en 40 gange højere præmie, siger Hans Werner, CEO hos IT-analysevirksomheden Radar.

Nordiske virksomheder investerer 25 milliarder kroner årligt i IT-sikkerhed. Men kun cirka en tredjedel af det beløb er budgetteret fra begyndelsen, resten er omkostninger, der opstår reaktivt i kølvandet på forskellige hændelser.

Risikoen for at ramme ind i sådanne hændelser inden for en cyklus på et år er så høj, at i forsikringssammenhæng burde præmien, som virksomhederne betaler i form af præventiv IT-sikkerhed, være 40 gange højere.

Det siger Hans Werner, som er CEO og grundlægger af analysevirksomheden Radar. Han siger, at vi driver digitaliseringen hårdt med en arkitektur, som i en del virksomheder er helt op til 40 år gammel. Desuden benytter vi os af internet som teknologi, “på trods af at sikkerhed ikke var en del af kravspecifikationen, da man i sin tid skabte internettet”.

– Sikkerhed er det område inden for IT, hvor der er størst mangel på kompetencer. Uddannelsessystemerne er træge, så i stedet for at vente på eller slås om de kompetencer, der findes, så er mit råd at købe IT-sikkerhed som en tjeneste, siger han.

Høj tærskel og lavere omkostninger

Ifølge Werner så bør vi hæve grænsen for de forebyggende investeringer i IT-sikkerhed. Over en vis grænse ville virksomheder slippe for en stor del af angrebene og dermed ikke behøve bruge lige så mange penge totalt set.

– Lad os antage, at vi brugte halvdelen af de 25 milliarder på det præventive budget. Så ville vi være mere på niveau med det aktuelle trusselsbillede og ikke behøve reagere i lige så høj grad på det, der sker.

Situationen adskiller sig en del de nordiske lande imellem.

– I Norge er olie og gas stort, og de virksomheder lever stadig i deres egne, beskyttede netværk, der ikke er koblet op på internettet som andre virksomheder. I Sverige er der meget innovation, industri, IT og forskning, og Sverige er derfor ekstremt udsat for alt fra databrud til industrispionage. Finland har også en tung industri, som er udsat, men de benytter i højere grad outsourcing og stoler mere på, at aktørerne tager sig af sikkerheden.

Sverige kan ikke lide skyen

Her ligger også et af Sveriges problemer, mener Werner. Sverige har et andet syn på cloud-tjenester end sine nordiske naboer og især inden for den offentlige sektor.

– De svenske myndigheder taler om, at det er usmart at lægge data i skyen. Det betyder, at man sidder med et decentraliseret kludetæppe af forskellige IT-systemer med mange, forskellige grænseflader og integrationer. Data lagres lokalt i systemer, der hele tiden skal vedligeholdes og opdateres. Der er for lidt central koordinering, hvilket fører til, at nogle myndigheder foretager deres egne fortolkninger.

Den svenske holdning kommer især til at virke selvmodsigende, fordi den svenske regering har som erklæret mål, at Sverige skal være bedst i verden til udnytte digitaliseringens muligheder. Men hvis Sverige skal undgå at bliver overhalet af andre lande, er man nødt til også at benytte den mest effektive teknologi, siger Hans Werner:

– Den mest sikre, mest effektive og bedst udviklede løsning er skyen. Naturligvis er der information, som man skal undlade at lægge i skyen for eksempel af hensyn til GDPR og national sikkerhed, men langt den meste information behøver ikke at håndteres på den måde.

Sørg for at sikre dit IT-miljø, når flere arbejder hjemmefra.

Hans Werner

Hans Werner, CEO, Radar

Læs også:

Årsagerne til ukendte IT-fejltagelser

30 juli 2020

Etisk hacking er vigtigere nu end nogensinde før

Dit IT-system har formodentlig mindst en ukendt bagdør, som står åben for hackere. Hvordan finder du den bedst, inden det er for sent? Bed hackerne om selv at finde den.