Brancheforening: Hackede virksomheder skal ikke i offentlig gabestok

16. oktober 2014 kl. 11:0410
Politiet kan i samarbejde med et nyt videnscenter sagtens efterforske en hackerforbrydelse, uden at hele offentligheden forskrækket skal følge med på sidelinjen, mener IT-Branchen.
Artiklen er ældre end 30 dage

Ovenpå afsløringer af velkoordinerede og yderst professionelt udførte hackerangreb på store danske virksomheder som Terma og Novozymes, har Folketinget fået øjnene op for hackingtruslen og har allerede nu foreslået tvungen meldepligt ved hackerangreb, som et modtræk, der skal få hackingens omfang frem i lyset.

Men IT-Branchen advarer om, at Folketinget farer for hurtigt frem, når de vil tvinge hackede virksomheder til at stå offentligt frem.

»En gabestok, der udstiller de ramte virksomheder, tjener intet formål. Det vigtigste er at få indblik i angrebsmetoderne, så det kan bruges til at styrke andre virksomheders forsvar. Det kan sagtens gøres anonymt, « siger chefkonsulent i IT-Branchen, Bjørn Borre.

Til det formål mener IT-Branchens chefkonsulent, at der skal oprettes et nationalt videncenter for sikkerhed og cyberspionage. Så kan man som virksomhed anonymt indrapportere hændelser og få hjælp til at udrede angrebet, hvis man er i tvivl om dets omfang og natur (Novozymes opdagede først angrebet, da en ekstern konsulent kom på besøg.)

Artiklen fortsætter efter annoncen

En obligatorisk meldepligt bør ifølge IT-Branchen kun gælde alvorlige hackerangreb, mens der kan være værdi i at samle viden om også mindre angreb på frivillig basis.

Om et angreb er alvorligt nok til at blive anmeldt, vil man typisk kunne se ud fra den data, der bliver hacket. Og kan man ikke det, kan retningslinjerne hjælpe til med at afgøre, hvad der er alvorligt nok, mener chefkonsulenten.

»Det som vi som sikkerhedsbranche sammen med politiet kan hjælpe med, er at komme med nogle gode råd og anbefalinger; hvilke data hører til i den alvorlige ende, og hvilke data der ikke gør,« siger han og nævner portskanninger som et eksempel på noget, der ikke er værd at indrapportere, og som sker hver dag.

I forhold til anonym indrapportering vil det dog stadig være god forretningsskik, der får en eksempelvis en bank til at orientere sine kunder om et potentielt tab af personlige oplysninger, påpeger chefkonsulenten.

10 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
4
16. oktober 2014 kl. 11:45

Det her er sgu ikke et spørgsmål om at vi "forskrækket skal følge med fra sidelinjen", men at vi som forbrugere skal kunne træffe informerede beslutninger omkring vores data, og specielt hvem der må håndtere dem.

Det rager mig en papand hvad der sker efter McDonalds har fået hacket deres POS system, men jeg vil gerne vide at det faktisk er sket, så jeg kan købe min burger et andet sted.

Og ja, jeg vil også gerne vide hvilken klaphat der konfigurerede serveren, eller implementerede den 0-day der blev brugt. Det bør være i IT branchens interesse at komme af med dødvægt i form af elendige virksomheder der stadig tror at vi befinder os i et "gold rush".

6
16. oktober 2014 kl. 14:16

Alt efter hvem man spørger, og kontekst, kan 0-day betyde både den defekt der endnu ikke er lukket, eller det kode der udnytter defekten.

Men jeg skulle nok bare have skrevet "defekt" i stedet for at spille smart :)

8
16. oktober 2014 kl. 15:30

Hmm! Jeg vil nu mene at klaphatten er ham der udnytter defekten - ikke den stakkel der uforvarende implementerer en defekt han ikke på forhånd kunne vide noget om!

Ja det kunne man godt argumentere for. Det kommer lidt an på hvad, hvordan og hvorfor. Jeg køber ikke præmissen at udvikleren per default er en uforvarende lille stakkel der bare gerne vil tjene til dagen og vejen.

Det er alt for nemt at smide hænderne i vejret og skyde skylden på angriberen. Man glemmer bare lidt at angriberen ikke ville kunne udnytte defekten hvis den ikke var blevet introduceret til at starte med.

3
16. oktober 2014 kl. 11:43

Man kunne nok opsætte nogle regler der vægter skarpt udfra hvilket data der kræver offentliggørrelse, for eksempel persondata eller lignende.

Jeg vil dog også mene at enhver indbrud der kan formodes at være med det formål at lave industrispionage absolut skal meldes, hvor indbrud som har til formål at deface eller lignende er mindre alvorlige.

10
17. oktober 2014 kl. 21:02

Man kunne nok opsætte nogle regler der vægter skarpt udfra hvilket data der kræver offentliggørrelse, for eksempel persondata eller lignende.

De fleste ("alle") virksomheder har vist registreret persondata om ansatte og/eller kunder.

Hvis man forestiller sig at der har været ubudne gæster: Hvorledes kan man så vide om de har fået fat i persondata? Ret beset kan man vel risikere at de har skjult deres spor og dermed hentet persondata selv om det ikke umiddelbart kan ses?

Jeg føler ikke virksomhederne kommer i gabestok - men synes det er ok at vi som mulige kunder eller lignende kan se hvis vore data kan være kommet uvedkommende i hænder --- og det gælder også offentlige styrelser mv. (jeg tænker på Robinson).

2
16. oktober 2014 kl. 11:27

Hvilke virksomheder taler vi om her, virksomheden der driver et hacket system, eller virksomheden som har leveret det hackede system?

Repræsenterer IT-branchen ikke de sidste - som er de virksomheder som i virkeligheden risikerer at komme i gabestokken når de har leveret et system som bliver hacket fordi sikkerheden ikke er god nok?

9
16. oktober 2014 kl. 17:36

..En gabestok, der udstiller de ramte virksomheder, tjener intet formål...

Jeg glæder mig til at denne selvbestaltede og selviske 'fabrikantforening' kommer over kravlestadiet, og endelig rejser sig op og går ud i verden.

Indtil nu har 'fabrikantforeningen' mest været et kostbart[1] og lidet nyttigt drivanker, der bruger samfundets tid til bagstræberi.

Bestyrelse ..http://www.itb.dk/site.aspx?p=210

[1] Skatteyderbetalt i form af fradragsberettiget omkostning

1
16. oktober 2014 kl. 11:25

Virksomhederne skal i gabestok, så kunderne kan blive rigtig skræmte, og flygte fra dem. Fordi virksomhederne er hamrende ligeglade, ved mindre virkelig kan mærke deres sløsede sikkerhed på bundlinjen.

Jeg er dog enig i at port-scanninger er ligegyldige, ligesom bruteforce forsøg mod diverse services også er lige meget så længe der ikke er nogle som trænger ind. Det svarer lidt til at nogle tosser står og hamrer på din dør, men at den ikke giver sig en centimeter. Dog bør en hver kompromittering af databasen, eller konfigurationsfiler osv, eller så snart man er det mindste i tvivl, indrapporteres. Det behøves ikke hypes til en stor ting, men det bør være tvunget af publicere på et særligt feed eller lignende. Hvordan man så vil effektuere det, det må guderne vide..