Dansk Industri: Brug ikke internettet til forretningshemmeligheder

Illustration: leowolfert/Bigstock
Dansk Industris brancheorganisation Itek frygter, at udenlandske efterretningstjenester bedriver industrispionage. Store danske virksomheder tager truslen særdeles alvorligt.

»Lad være at bruge internettet til vigtige forretninger.«

Sådan lyder meldingen fra brancheformand i DI Itek Tom Togsverd. Efter whistlebloweren Edward Snowdens afsløringer af den massive overvågning, som NSA foretager af både borgere og virksomheder, er Tom Togsverd skeptisk over for virksomheders faktiske sikkerhed på internettet.

Han frygter, at forretningshemmeligheder, der bliver opsnappet af andre landes efterretningstjenester, vil blive misbrugt handelspolitisk.

»Når det offentlige har mulighed for at kigge alle over skulderen, så må vi have en forventning om, at de oplysninger ikke misbruges. Der skal være vandtætte skotter mellem forretning og efterretning. Men Snowden-sagen har rejst berettiget tvivl om, hvorvidt de skotter overhovedet er til stede,« siger Tom Togsverd til Version2.

Kræver løfte fra G20-lande

DI Itek-formanden opfordrer til politisk handling, og ser gerne en global aftale om informationssikkerhed.

»Min ønskeseddel går på, at det her bliver en del af en G20 aftale, hvor alle landene skal lægge hovedet på blokken og sige, at de informationer, der kommer frem i efterretningssammenhæng, ikke må bruges til andet. Som det er nu, kan man ikke være sikker,« siger Tom Togsverd til Version2.

Tom Togsverd mener, at hvis man skal afslutte vigtige forretninger, som man gerne vil holde hemmeligt, så skal man møde op personligt. Og han opfordrer også til, at man holder sig tilbage med at bruge cloudtjenester.

»Man skal være mere selektiv. Alt kritisk forretningsinformation, det vil sige dine patenter, dine produktionsbeskrivelser, alt det du gerne vil holde hemmeligt. Det skal du have liggende på din egen server,« siger Tom Togsverd og fortsætter:

»Jeg synes, det er sørgeligt. Vi har kæmpet for frihandel, og for at alt bare kan køre over grænserne. Men nu er der altså noget, der taler for det modsatte. Udviklingen bombes tilbage, og det er ærgerligt«, siger Tom Togsverd til Version2.

Virksomheder skærper cloud-politik

Og flere danske virksomheds giganter er da også opmærksomme på de potentielle sikkerhedsbrister ved cloud, som Tom Togsverd peger på. Både hos Novozymes og Grundfos, har man valgt at holde de mest forretningsfølsomme data på egne servere.

»Når der kommer anbefalinger som dem her, så skærper det selvfølgelig vores bevågenhed. Vi strammer gevaldigt op på vores politikker på området, så man er mere opmærksom på, hvad man sender ud. Det afhænger af sikkerhedsniveauet på de data, man snakker om. For eksempel oplysninger om dimensioner på en ny pumpe, der er afgørende for energiforbrug og levetid. Det skal selvfølgelig ingen steder,« siger Jens Hartmann, der er CIO i Grundfos, til Version2.

Grundfos' presseafdeling har dog efterfølgende kontaktet Version2 og meddelt, at skønt der ikke er faktuelle fejl eller misforståelser i ovenstående, så er nedenstående udtalelse mere retvisende for, hvordan virksomheden stiller sig i problematikken.

»Vi har generelt stor opmærksom på vores sikkerhed og de seneste eksempler, som er kommet frem, understreger bare, at vi skal fortsætte med at være oppe på tæerne på det område. Vi kan gøre meget ved at sikre vores systemer, vores automatikker og vores politikker. Og den del forsøger vi hele tiden at optimere til det bedst mulige.«

Og også hos Novozymes har man taget forholdsregler i forhold til skyen.

'Vi benytter os af cloud-tjenester, men vi har valgt ikke at bruge dem, når det kommer til forretningskritiske eller strategiske formål. Vi lever af innovation, og derfor er patentbeskyttelse og it-sikkerhed vigtigt for os,' skriver Novozymes i en mail til Version2.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Bjarke Alling

Ovenstående er et fint eksempel på at anvendelsen af NemID til Erhverv og NemID Medarbejdersignatur til både signering og kryptering af emails og dokumenter er en god løsning på et seriøst problem ved udveksling af data mellem samarbejdspartnere i forskellige lande.

Følger i forlængelse af debatten fra forleden http://www.version2.dk/artikel/it-branchen-faelles-elektroniske-fakturae...

  • 0
  • 6
#4 Jesper Lund
  • 4
  • 0
#5 Thue Kristensen

Hej Kristian. Du blander sammen på POCES og MOCES. NemID medarbejdersignaturen er netop en ægte standard x509 signatur med lokal privat nøgle samt worldwide trust.

Som man skal hente closed source kode fra Nets for at køre...

Det nytter altså ikke noget at man har sin nøgle på en USB-dims, når man en tvunget til at køre closed source kode fra Nets på maskinen som dimsen sidder i. Man har ikke nogen måde at vide om det er de rigtige ting ens privatnøgle signerer/krypterer/dekrypterer.

  • 6
  • 0
#6 carsten guldhammer

USA har ihvertfald med den ufrivillige lækage her bevist at det i værste fald kan blive et tilbage slag for at bruge den teknologi vi har nu.

jeg sider og tænker det måske kunne være nødvendigt at have 2 netværk i en virksomhed eller 2 sæt komputere pr medarbejder: 1 komputter der ikke er på internet og en der er og så kun lagring af filer på externe medier.

det vil jo ikke koste noget for usa at sige: vi bruger IKKE de hentede oplysninger, men vi kan vel ikke stole på at det er sandheden ?

  • 1
  • 0
#7 Bjarke Alling

Hej Thue,

Det nytter altså ikke noget at man har sin nøgle på en USB-dims, når man en tvunget til at køre closed source kode fra Nets på maskinen som dimsen sidder i. Man har ikke nogen måde at vide om det er de rigtige ting ens privatnøgle signerer/krypterer/dekrypterer.

Det passer ikke. Du danner selv lokalt din private nøgle og via et standard CSR request(PKCS10 mener jeg) modtager du dit x509 certifikat fra DanIDs PKI. Det er fuldstændig standard. Du skal overholde Digitaliseringsstyrelsen Certifikat Politik med hensyn til opbevaring og adgangskodebeskyttelse af din private nøgle. Du kan frit opbevare nøgle i en PKCS12 fil, i Windows CAPI store, på CryptoToken mv.

  • 1
  • 3
#8 Daniel Udsen

venstående er et fint eksempel på at anvendelsen af NemID til Erhverv og NemID Medarbejdersignatur til både signering og kryptering af emails og dokumenter er en god løsning på et seriøst problem ved udveksling af data mellem samarbejdspartnere i forskellige lande.

Ved vi noget som helst om hvordan moces realt virker og kan vi 110% garentere der ikke findes backup af den private nøgle, Hvis den private nøgle er gennereret eller læst med nemid's softare er det svært at stille den garenti.

Problemet her er at du ikke kan stole på at nemID ikke udlevere deres cache af gemte nøgler til NSA.

  • 1
  • 0
#10 Bjarke Alling

Hej Daniel

Ved vi noget som helst om hvordan moces realt virker og kan vi 110% garentere der ikke findes backup af den private nøgle, Hvis den private nøgle er gennereret eller læst med nemid's softare er det svært at stille den garenti.

Jo. Det ved vi. Det kommer an på hvordan du danner den. I Liga regi danner vi den med vores egen Java kode. Der ved jeg 110% hvem som er ihændehaver af den private nøgle.

  • 1
  • 1
#11 Thue Kristensen
  • 0
  • 1
#12 Daniel Udsen

Jo. Det ved vi. Det kommer an på hvordan du danner den. I Liga regi danner vi den med vores egen Java kode. Der ved jeg 110% hvem som er ihændehaver af den private nøgle.

Ok og jeg antager at nemid's verificering kun får adgang til den offentlige nøjle?

Igen har du det marketings mæssige problem nemid er kun sikkert under bestemte forholdsregler. Og ingen af de forholdsregeler vil nogensinde blive diskuteret på CEO/bestyrelses nivou.

Problemet her er vel dybest set at IT sikkerhed afgøres i de teknikske detaljer hverken politikere, ledelse, eller folkeskolen vil røre ved. Og gennerelt set er nemID ikke NSA sikring.

  • 0
  • 0
#15 Albert Nielsen

Herregudda, kære venner, i papirudgaven af Inseminøren kunne man for vel 15 år siden læse et antal artikler, som advarede om, at CIA udførte industrispionage mod NATO-medlemmer og andre venligtsindede lande.

Hvis man vil udveksle forretningshemmeligheder af enhver art via internettet - og holde dem hemmelige - kræver det stærk kryptering.

  • 2
  • 0
Log ind eller Opret konto for at kommentere