Brancheforening: Hackede virksomheder skal ikke i offentlig gabestok

Illustration: Virrage Images/Bigstock
Politiet kan i samarbejde med et nyt videnscenter sagtens efterforske en hackerforbrydelse, uden at hele offentligheden forskrækket skal følge med på sidelinjen, mener IT-Branchen.

Ovenpå afsløringer af velkoordinerede og yderst professionelt udførte hackerangreb på store danske virksomheder som Terma og Novozymes, har Folketinget fået øjnene op for hackingtruslen og har allerede nu foreslået tvungen meldepligt ved hackerangreb, som et modtræk, der skal få hackingens omfang frem i lyset.

Men IT-Branchen advarer om, at Folketinget farer for hurtigt frem, når de vil tvinge hackede virksomheder til at stå offentligt frem.

»En gabestok, der udstiller de ramte virksomheder, tjener intet formål. Det vigtigste er at få indblik i angrebsmetoderne, så det kan bruges til at styrke andre virksomheders forsvar. Det kan sagtens gøres anonymt, « siger chefkonsulent i IT-Branchen, Bjørn Borre.

Læs også: Hackersagen dag 13 – Forsvarer: Dansk politis efterforskning er ikke objektiv

Til det formål mener IT-Branchens chefkonsulent, at der skal oprettes et nationalt videncenter for sikkerhed og cyberspionage. Så kan man som virksomhed anonymt indrapportere hændelser og få hjælp til at udrede angrebet, hvis man er i tvivl om dets omfang og natur (Novozymes opdagede først angrebet, da en ekstern konsulent kom på besøg.)

En obligatorisk meldepligt bør ifølge IT-Branchen kun gælde alvorlige hackerangreb, mens der kan være værdi i at samle viden om også mindre angreb på frivillig basis.

Om et angreb er alvorligt nok til at blive anmeldt, vil man typisk kunne se ud fra den data, der bliver hacket. Og kan man ikke det, kan retningslinjerne hjælpe til med at afgøre, hvad der er alvorligt nok, mener chefkonsulenten.

Læs også: Hackere spionerede i Novozymes’ computere

»Det som vi som sikkerhedsbranche sammen med politiet kan hjælpe med, er at komme med nogle gode råd og anbefalinger; hvilke data hører til i den alvorlige ende, og hvilke data der ikke gør,« siger han og nævner portskanninger som et eksempel på noget, der ikke er værd at indrapportere, og som sker hver dag.

I forhold til anonym indrapportering vil det dog stadig være god forretningsskik, der får en eksempelvis en bank til at orientere sine kunder om et potentielt tab af personlige oplysninger, påpeger chefkonsulenten.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Pedersen

Virksomhederne skal i gabestok, så kunderne kan blive rigtig skræmte, og flygte fra dem.
Fordi virksomhederne er hamrende ligeglade, ved mindre virkelig kan mærke deres sløsede sikkerhed på bundlinjen.

Jeg er dog enig i at port-scanninger er ligegyldige, ligesom bruteforce forsøg mod diverse services også er lige meget så længe der ikke er nogle som trænger ind. Det svarer lidt til at nogle tosser står og hamrer på din dør, men at den ikke giver sig en centimeter. Dog bør en hver kompromittering af databasen, eller konfigurationsfiler osv, eller så snart man er det mindste i tvivl, indrapporteres. Det behøves ikke hypes til en stor ting, men det bør være tvunget af publicere på et særligt feed eller lignende. Hvordan man så vil effektuere det, det må guderne vide..

  • 8
  • 0
Søren Larsen

Hvilke virksomheder taler vi om her, virksomheden der driver et hacket system, eller virksomheden som har leveret det hackede system?

Repræsenterer IT-branchen ikke de sidste - som er de virksomheder som i virkeligheden risikerer at komme i gabestokken når de har leveret et system som bliver hacket fordi sikkerheden ikke er god nok?

  • 6
  • 0
Kasper Sandberg

Man kunne nok opsætte nogle regler der vægter skarpt udfra hvilket data der kræver offentliggørrelse, for eksempel persondata eller lignende.

Jeg vil dog også mene at enhver indbrud der kan formodes at være med det formål at lave industrispionage absolut skal meldes, hvor indbrud som har til formål at deface eller lignende er mindre alvorlige.

  • 0
  • 0
Michael Thygesen

Det her er sgu ikke et spørgsmål om at vi "forskrækket skal følge med fra sidelinjen", men at vi som forbrugere skal kunne træffe informerede beslutninger omkring vores data, og specielt hvem der må håndtere dem.

Det rager mig en papand hvad der sker efter McDonalds har fået hacket deres POS system, men jeg vil gerne vide at det faktisk er sket, så jeg kan købe min burger et andet sted.

Og ja, jeg vil også gerne vide hvilken klaphat der konfigurerede serveren, eller implementerede den 0-day der blev brugt. Det bør være i IT branchens interesse at komme af med dødvægt i form af elendige virksomheder der stadig tror at vi befinder os i et "gold rush".

  • 6
  • 0
Michael Thygesen

Hmm! Jeg vil nu mene at klaphatten er ham der udnytter defekten - ikke den stakkel der uforvarende implementerer en defekt han ikke på forhånd kunne vide noget om!

Ja det kunne man godt argumentere for. Det kommer lidt an på hvad, hvordan og hvorfor. Jeg køber ikke præmissen at udvikleren per default er en uforvarende lille stakkel der bare gerne vil tjene til dagen og vejen.

Det er alt for nemt at smide hænderne i vejret og skyde skylden på angriberen. Man glemmer bare lidt at angriberen ikke ville kunne udnytte defekten hvis den ikke var blevet introduceret til at starte med.

  • 2
  • 0
Finn Christensen

..En gabestok, der udstiller de ramte virksomheder, tjener intet formål...

Jeg glæder mig til at denne selvbestaltede og selviske 'fabrikantforening' kommer over kravlestadiet, og endelig rejser sig op og går ud i verden.

Indtil nu har 'fabrikantforeningen' mest været et kostbart[1] og lidet nyttigt drivanker, der bruger samfundets tid til bagstræberi.

Bestyrelse ..http://www.itb.dk/site.aspx?p=210

[1] Skatteyderbetalt i form af fradragsberettiget omkostning

  • 2
  • 0
Jørgen L. Sørensen

Man kunne nok opsætte nogle regler der vægter skarpt udfra hvilket data der kræver offentliggørrelse, for eksempel persondata eller lignende.

De fleste ("alle") virksomheder har vist registreret persondata om ansatte og/eller kunder.

Hvis man forestiller sig at der har været ubudne gæster: Hvorledes kan man så vide om de har fået fat i persondata? Ret beset kan man vel risikere at de har skjult deres spor og dermed hentet persondata selv om det ikke umiddelbart kan ses?

Jeg føler ikke virksomhederne kommer i gabestok - men synes det er ok at vi som mulige kunder eller lignende kan se hvis vore data kan være kommet uvedkommende i hænder --- og det gælder også offentlige styrelser mv. (jeg tænker på Robinson).

  • 1
  • 0
Log ind eller Opret konto for at kommentere