»Hvad nytter en penetrationstest, hvis virksomheden ikke lukker de fundne huller?«

Han ligner ikke prototypen på en, der har lavet it-indbrud i en lang række internationale virksomheder. Slipset og jakkesættet ligner mere en konsulenttype - hvilket da også er netop det, han er.

Dan Haagman beskæftiger sig med cyber security i PA Consulting og kan fortælle hovedrystende historier fra det virkelige liv.

»Når vi laver penetrationstest af virksomheder, får vi adgang til systemerne i 95 procent af tilfældene. Men det mest interessante for virksomheden er ikke selve afsløringen af sikkerhedshullet, men mere den tankegang eller de processer, der gjorde hullet muligt,« siger Dan Haagman til Version2.

Han forklarer, at hacking involverer en stor del psykologi, og at man kan læse rigtig meget ud af relativt få informationer:

»It-systemer er lavet af mennesker og repræsenterer, hvordan de tænker. Der vil altid være mønstre, og ud fra, hvordan systemet er skruet sammen, kigger vi efter de åbenlyse ting. Og helt ærligt: Nogle huller burde virkelig ikke være der. Så går vi ind og spørger, hvordan det kan være. Er det virksomhedens kultur, forkerte processer - eller slet og ret inkompetence, der har skylden?,« siger Dan Haagman til Version2.

Dermed lægger han op til et mere holistisk syn på it-sikkerhed, end bare at sørge for ikke at have kendte sikkerhedshuller.

»De fleste systemer, vi bryder ind i, klares med et par fingre og en webbrowser. Det er slet ikke nødvendigt at bruge særlige hackerværktøjer. Det kan også være så simpelt som at sende en mail til regnskabsafdelingen, hvor pdf'en med fakturaen er inficeret, så vi får adgang til systemerne,« siger han videre.

Dan Haagman suppleres af sin danske kollega Janus Friis Bindslev.

»Du er nødt til at anskue it-sikkerhed i et forretningsmæssigt perspektiv, for du kan ikke beskytte alt. Det er ikke økonomisk muligt. Du er nødt til at vide hvad dine vigtigste sikkerhedsrisici er, og hvilket niveau dine sårbarheder befinder sig på,« siger Janus Friis Bindslev til Version2.

Han henviser også til en dugfrisk undersøgelse, PA Consulting har lavet af it-sikkerheden i de største danske virksomheder, der viser, at 78 procent regelmæssigt foretager såkaldte penetrationstest af egne it-systemer, altså hvor en sikkerhedsekspert skal prøve at trænge igennem forsvarsværkerne. Det bemærkelsesværdige er dog, at kun 56 procent af virksomhederne tager konsekvensen og implementerer løsninger på de problemer, testen påpeger.

»Tester vi virksomheden seks måneder senere, er de samme huller der stadig,« supplerer Dan Haagman.