Danske firmaer splittet over forslag om pligt til at melde hackerangreb

Illustration: leowolfert/Bigstock
Novo Nordisks koncerndirektør mener, at det ikke vil være brugbart, hvis danske virksomheder bliver pålagt at melde, når de bliver udsat for hackerangreb.

Skal danske virksomheder pålægges at melde til myndighederne, når de bliver udsat for hackerangreb? Det mener flere partier på baggrund af gentagne udmeldinger af Center for Cybersikkerhed, som ønsker mere åbenhed. Men virksomhederne er delte, skriver Jyllands-Posten.

Hos medicinalvirksomheden Lundbeck er it-direktør Michael Skånstrøm åben over for forslaget, hvis det indebærer, at virksomhederne kan få assistance.

Novo Nordisks koncerndirektør med ansvar for it, Lars Fruergaard Jørgensen, mener derimod, at det bør være frivilligt og foregå i lukkede fora.

»Jeg tror ikke, at en meldepligt vil være specielt brugbar, for hvad skal man melde? Virksomheder bliver forsøgt angrebet dagligt, og en pligt vil rejse en række spørgsmål om, hvornår noget er alvorligt nok,« siger Lars Fruergaard Jørgensen til Jyllands-Posten.

Brancheforeningen It-Branchen påpeger ligeledes, at det er vigtigt at få defineret et skel for, hvornår en hændelse skal rapporteres, så det kun er hændelser med betydning for samfundet, som virksomhederne får pligt til at melde.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Simon Bjørnes

"Novo Nordisks koncerndirektør med ansvar for it, Lars Fruergaard Jørgensen, mener derimod, at det bør være frivillig og foregå i lukkede forummer."

For dælen da det kan da ikke være så svært at forstå! Sikkerheden halter i SÅ mange Danske virksomheder.

I skal melde det så befolkningen, staten og andre virksomheder ved hvordan i håndtere sikkerheden.
Hvordan skal vi ellers kunne vide at i håndtere vores data ansvarligt hvis i ikke melder sikkerhedsbrud.

Vil i ikke udstilles så gør hvad i kan for sikkerheden for på nuværende tidspunkt er i fløjtende ligeglade med vores data og det skal ændres.

Igen mester ikke logik "Jeg tror ikke, at en meldepligt vil være specielt brugbar, for hvad skal man melde?"
Jo ser du man skal melde at ens systemer er blevet cracket oh eventuelt hvad man fremover gør for at undgå det.

  • 1
  • 6
Martin Nielsen

Der må være en rimelig grænse. For virksomheder der ikke gemmer personlige oplysninger, må det være frit om de vil oplyse om hackerangreb. Virksomheder hvor der er kundedata, om det så bare er et brugernavn og adgangskode, bør der være oplysningspligt, hvis bare der er den mindste chance for at hackerne har haft muligheden for at tilgå disse data.

  • 5
  • 0
Kevin Johansen

Man skal vel huske at opveje samfundets interresse i at borgeres data deles mod samfundets interresse i at beholde arbejdspladser.

Så hvert sikkerhedsbrist bør vurderes ud fra om der kan opstå "børs-panik" på den baggrund, hvilket potentielt set kan skade samfundet væsentlig mere.

  • 0
  • 2
Lasse Hedeby

Nu kommer du mange postulater i din kommentar som ikke har hold i virkeligheden.

For det første snakker vi her om virksomheder og ikke en offentlig instans. Tror du selv på at en virksomhed som Novo Nordisk der lever af dere forsknings resultater og teknologi, ikke tager IT sikkerhed alvorligt. At de så bliver angrebet dagligt er jo netop et udtryk for at de har noget som andre også vil have.

Det svare til at sige at sikkerheden i en bank er dårlig, fordi der sker bankrøverier. Det er jo ikke rigtigt, det sker fordi nogen gerne vil have pengene.

Og så skriver du "vores data". Siden hvornår er Novo Nordisk vores data? Det er da ikke USSR det her. Det er en privat virksomhed som investere store summer i forskning og produkt udvikling. Sådan noget skal holdes hemmeligt, ellers kan de ikke gøre det samme om 10 eller 20 år.

Og så lige til din sidste sætning. Selvom en virksomhed gør hvad den kan, tror du så selv på at angreb stopper. NEJ. Så længe der er et incitament til at brude ind et sted, vil nogen forsøge det. Når det så er sagt, har de jo selvfølgelig ikke et budget som NSA eller Kinas pendant. Men det har den danske stat eller du heller ikke.

Ovenstående gælder for stort set alle store danske virksomheder, de forsøger selvfølgelig at beskytte det de lever af.

  • 3
  • 0
Allan Høiberg

Det giver mening at virksomheder, der kan have mistet personfølsomme oplysninger har pligt til at oplyse det - hvis det en dag lykkes nogen at gennemføre en så kompleks offentlig opgave som en databasetabel af typen [CPR,har_muligvis_været_stjålet], de berørte data kunne indberettes til, og som kunne tjekkes forud for f.eks. fjernsalg, ville vi være et stort skridt nærmere noget, der kan dæmme op for effekten af identitetstyveri.

Til gengæld ville det være helt til grin at det skulle indberettes hver gang jeg kan se i loggen, at nogen har forsøgt at kontakte min mailserver med brugernavnet bob, eller min webserver med stien til en Wordpress-admin-side (begge dele ikke-eksisterende). Men når man tænker på cookielovgivningen klarsyn, er det nok dét, de kære politikere har i tankerne. [/sarcasm]

  • 0
  • 0
Flemming Nielsen

@ Lasse:

Jeg fristes til at sige, at netop når vi taler om den farmaceutiske industri, så er det et direkte og rimeligt hårdt krav, at virksomheden holder et højt sikkerhedsniveau, netop fordi de er underlagt GxP requirements (og en hel stribe af tilsvarende standarder), der internationalt er reguleret af WHO, der bevidst søges samordnet med ISO standarder, og lokalt håndhæves af statslige tilsynsmyndigheder. Og alt dette har også konsekvenser for godkendelsen, dokumentationen, implementering og drift af samt tilsynet med IT systemer, herunder også de sikkerhedsmæssige aspekter.

Jeg tror ikke jeg på stående fod kan komme i tanke om andre industrier eller brancher, der er mere gennemregulerede, bliver gransket lige så nøje og skal levere lige så meget dokumentation for hvad de helt præcist gør, end netop den farmaceutiske industri, også ift. de IT systemer der anvendes af den enkelte virksomhed. Det skulle da lige være atomkraftværker, men det er blot et gæt fra min side.

Hvis ønsket er at øge viden og beredskabet ift. IT sikkerhed i industrien generelt, så er den samlede udfordring nærmere at få løftet øvrige industrier og brancher op på et tilsvarende governance og maturity level, som det den farmaceutiske industri bliver målt op mod, for at kunne opnå godkendelse af deres produkter/ydelser hos myndighederne. Men det ville muligvis blive til et overbureaukratisk helvede for hele industrien, som man næppe ville kunne leve med, uden at produkter og serviceydelser bliver markant dyrere.

  • 2
  • 0
Gert Madsen

Siden hvornår er Novo Nordisk vores data


Data om min person er mine data, uanset hvor eller hvem som har registreret dem.

Novo har forskningsresultater, og undersøgelser, som de ganske givet sørger for at passe godt på.

Men - nu kender jeg ikke Novo, men ganske mange firmaer har en marketing/salgsafdeling, som har en meget autonom/anarkistisk tilgang til IT. Og det er oftest der, de personfølsomme data gemmes.

Endeligt er der firmaer, hvis forretning kun i mindre omfang vil blive berørt af en datalæk. De skal også have et incitament til at passe ordentligt på de personfølsomme data (vores data,) som de på en eller anden måde har fået i deres varetægt

  • 2
  • 0
Log ind eller Opret konto for at kommentere