Eksperter peger på it-bagdør: Mindre firmaer udgør en risiko for statens it-sikkerhed

It-sikkerhedsniveauet hos mindre virksomheder i Danmark halter, og de kan bruges af hackere som bagdør til vigtig infrastruktur. Sådan lyder det fra professor fra Syddansk Universitet, som bakkes op af Center for Cybersikkerhed.

Små og mellemstore virksomheder udgør en sikkerhedsrisiko for staten. Sådan lyder advarslen fra eksperter i digital sikkerhed, skriver DR Nyheder.

Årsagen er, at sikkerhedsniveauet halter efter hos de tusindvis af mindre virksomheder, der er underleverandører til vigtig infrastruktur. Derfor kan de bruges som bagdøre af hackere, der ønsker at ramme centrale offentlige myndigheder.

»Rygraden og hjertet«

»De mindre europæiske firmaer udgør rygraden og hjertet i vores digitale økonomier. De er ikke i sig selv vigtig infrastruktur, men de leverer til den,« siger Jan Lemnitzer, assisterende professor ved Center for War Studies på Syddansk Universitet, til DR.

Han tilføjer, at de fleste firmaer er baseret på teknologi, der kan gå ned fra det ene sekund til det andet.

Den pointe bakkes op af Center for Cybersikkerhed under Forsvarets Efterretningstjeneste.

It-sikkerhedsmyndighedens chef, Thomas Lund-Sørensen, pointerer, at niveauet af cybersikkerhed hos både små og store virksomheder i Danmark ikke er tilstrækkeligt højt.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
martin nielsen

Barren er hvor den er sat, og det hjælper ikke at stå og hyle over den nu engang er sat for lavt.

Hvis du vil have at barren sættes højere så må du jo for helvede give en indikation af hvad der så er "godt nok" sikkerhed, eftersom alt hvad der bliver lavet i dag jo åbenbart ikke er godt nok.

It-sikkerhedsmyndighedens chef, Thomas Lund-Sørensen, pointerer, at niveauet af cybersikkerhed hos både små og store virksomheder i Danmark ikke er tilstrækkeligt højt.

Okay, men hvad har du gjort ved det? Jeg mindes ikke nogensinde at have læst et eneste skriv fra... hvem var det? It-sikkerhedsmyndigheden?

  • 3
  • 0
Christian Nobel

Hvad havde man forventet i et land hvor man i lang tid ukritisk har leflet for et vist firmas usikre monokultur.

Hvis vi nu i stedet havde brugt den indvendige side at hovedet, og havde været innovative her i landet, så ville billedet se helt anderledes ud.

Men bortset fra det, så ligner det endnu en (om end lidt forklædt) variant af cfcUs sædvanlige send-flere-penge udmeldinger - måske det ville være meget mere interessant at se på hvordan vi her i landet fik lavet et rigtigt og handledygtig IT-sikkerhedsorgan, som ikke var underlangt krigsministeriet.

  • 7
  • 0
Mogens Bluhme

Der er ingen tvivl om at at sikkerhed er et problem for SMB-virksomhederne.

Men Target-angrebet blev startet med at en medarbejder hos en leverandør fik inficeret sin PC. Ingen af de to firmaer var IT-firmaer men brugere af IT, som alle er i dag.

IT-mastodonterne vil sikkert forsøge sig med en skræmmekampagne for at det offentlige ikke skal vælge små firmaer i udbud - men for specifikt leverandører af IT-ydelser modsat leverandører af non-IT-ydelser men med IT interfaces, har jeg ingen dokumentation på at sikkerheden skulle være ringere.

Mastodonter som Atea, KMD mm. vil nok forsøge at udnytte situationen, tro mig.

Ingen af disse er dog specielt troværdige til at kaste den første sten.

  • 3
  • 0
Hans Nielsen

Et "lille" firma i Danmark med 200 mest Danske medarbejder, som skal sikkerhedsgodkendes.

Eller et større med 100.000 spredt i hele verden.

EN inficeret PC på en medarbejder, eller direkte betalt er jo nok til at lave et sikkerheds hul

Så rent statisk så er det store fima mindst 500 GANGE farligere.

Ud for samme tankegang, så er et firma som sikkert lever af det offenlige, og derfor ved de går neden om og hjem. hvis de laver lort i den. Nok mere opsat på at opretholde sikkerheden end et stor firma.

Hvem har lavet denne enfoldige report ?

Måske en som er betalt, eller har et job på hånden ved en af de store firmaer ?

Men det giver mening, en ganisation som helt vil overvåge os alle sammen, de ser vel helst, at der bruges det mest usikkere software.

  • 2
  • 0
Nis Schmidt

Helt uden borgerere, medier og andre rygtespredere ville det være lettere at få offentlig IT til at virke - og ingen ville lave ballade.
(Denne model forudsætter dog at "Inderne og Kineserne", som skal henholdsvis udvikle og producere de "goder", som "danskerne opfinder", forstår, at "danskerne skal sidde på flæsket" .)

"Blæse og have mel i munden" lader til at være en gyldig model i visse kredse.

God søndag alle sammen.

/Nis

  • 0
  • 0
Louise Klint

Jeg synes det er problematisk, hvad CFCS har gang i.
I DR-artiklen, der linkes til, anbefaler chefen for CFCS direkte, at
mindre virksomheder overlader it-sikkerheden til professionelle:

Skal man have en server stående i et kosteskab, så skal man nødvendigvis selv være ansvarlig for at opdatere sine systemer.
Der vil vores råd nok være, at hvis man ikke er sat i verden for at lave it, så skal man måske overveje at købe it-ydelserne ude i byen.
Thomas Lund-Sørensen, chef for CFCS

https://www.dr.dk/nyheder/indland/hackere-kan-ramme-os-ubevogtet-bagdoer...

Problemet er, at CFCS netop sælger sådanne ydelser.
Både til den private og til den offentlige sektor.
(”Forebyggende sikkerhedstekniske undersøgelser”,
L215 § 6a, gældende fra 1. juli i år).
https://www.ft.dk/samling/20181/lovforslag/L215/index.htm
https://www.ft.dk/samling/20181/lovforslag/l215/20181_l215_som_vedtaget.htm

Derfor kommer jeg i tvivl om CFCS’ motiv og dermed også om troværdigheden i deres udmeldinger.

Giver CFCS deres anbefalinger som cybersikkerhedsmyndighed,
med nationalt ansvar på området?
Eller er anbefalingerne et led i at få kunder i butikken?

Jeg synes, at de udtalelser, som centerchefen kommer med til DR, de ligger tæt op ad det, der hedder anprisning – reklame. Også derfor kommer jeg i tvivl.

Den dobbeltrolle, som CFCS spiller, synes jeg,
kompromitterer centerets troværdighed.
Den dobbeltrolle, der består i, at de både er national cybersikkerhedsmyndighed, med ansvar for bl.a. at udarbejde analyser af trusselsbilledet.
Og samtidig har ydelser – imod selvsamme trusler – at sælge.

Dette gør, at CFCS ikke (længere) er neutrale, som myndigheder skal være.

Jeg undrer mig meget over, at det kan få lov til at foregå.

  • 2
  • 0
Louise Klint

Man må ikke underkende, at artiklens problematikker også rummer
muligheden for profit.

Forsikringsbranchen øjner her profitmaksimering via line-extension – udvidelse af sortimentet med et nyt produkt, nemlig salg af cyberforsikringer.
Og lobbyer for et lovindgreb på området, som vil gøre disse lovpligtige:
23.11.19: https://www.berlingske.dk/internationalt/jeg-loeb-ud-for-at-slukke-usaed...

Godt hjulpet på vej af en forsker (fra Center for War Studies/SDU), som allerede er ude med en anbefaling af selvsamme, ligesom ministeren er positivt stemt herfor:
22.11.19: https://www.dr.dk/nyheder/indland/dansk-it-sikkerhed-er-hullet-som-en-si...

^^ Var dét den reelle dagsorden?
Det, denne lille kampagne i virkeligheden handlede om?

Budskabet tjente et formål.
Der skulle opnås noget:
1) Først påpege et problem.
= Små og mellemstore virksomheder har ikke styr på it-sikkerheden.
Det kan få store konsekvenser.
Ikke blot for dem selv, men spredes på nationalt plan,
også til kritisk infrastruktur ad bagvejen.
”Mindre virksomheder er en sikkerhedsrisiko for staten”, som DRs overskrift lyder.
DRs artikel kl. 06, forleden:
https://www.dr.dk/nyheder/indland/hackere-kan-ramme-os-ubevogtet-bagdoer...

2) Dernæst lancere en løsning.
= Cyberforsikringer.
DRs artikel kl. 08 (2 timer senere samme dag):
https://www.dr.dk/nyheder/indland/dansk-it-sikkerhed-er-hullet-som-en-si...

En løsning hvormed både forsikringsbranchen, it-branchen og CFCS
får en bid af kagen. Vupti.

  • 2
  • 0
Louise Klint

Og der er mere til ovenstående ^^.
Også CFCS kan såmænd se en fordel i lovgivning på området.
At gøre cyberforsikring obligatorisk.

Først en anbefaling fra den knapt så uvildige forsker:

Trods årtiers informationskampagner er it-sikkerheden hos danske virksomheder fortsat hullet som en si.
Derfor bør forsikring mod cyberskader gøres obligatorisk for virksomheder af en vis størrelse.
Det vil forstærke nationens samlede cyberforsvar og samtidig gøre firmaerne mere robuste.
Sådan lyder anbefalingen i et forskningspapir fra Center for War Studies ved Syddansk Universitet.

Alene ved at tegne en forsikring ved vi, at virksomhederne går igennem en proces, der styrker cyberforsvaret og samtidig tilfører et beredskab, hvis de bliver ramt.
De vil blive tvunget til at gøre status over deres it-sikkerhed.
Alt det, der koster tid og penge, men som ikke bliver gjort, før det er for sent.
Siger assisterende professor, Jan Lemnitzer,
der står bag anbefalingen.

I dag er knap hver tiende danske virksomhed forsikret
mod cyberangreb, anslår Jan Lemnitzer.
Ved at ensrette og lovgive for området, vil man tvinge virksomhederne til at gennemgå it-sikkerheden og lappe de huller, der måtte være, forklarer han.
På samme vis, som der skal være lås på cyklen, før forsikringen dækker.

Det ville reformere dansk cybersikkerhed.
Danmark ville gå fra et normalt land, til den nok bedst forsvarede digitale økonomi i Europa, konstaterer han.

Og CFCS er enige, sjovt nok:

Hvis en cyberforsikring følges af nogle krav til den, der tegner forsikringen, om at sikre et vist minimumsniveau og dermed minimere sandsynligheden for at blive offer, så vil det have en positiv effekt.
Siger Thomas Lund-Sørensen, chef for Center for Cybersikkerhed.

Og nu kommer det spændende (min markering):

En lovmæssig ensretning vil, ifølge Jan Lemnitzer, også sikre, at
alle cyberangreb i modsætning til i dag bliver anmeldt til myndighederne.

Det vil givetvis også være en fordel, siger Thomas Lund-Sørensen.
Når vi har et overblik over, hvad der sker, så
vil vi blive i stand til at rådgive meget bedre.

22.11.19: https://www.dr.dk/nyheder/indland/dansk-it-sikkerhed-er-hullet-som-en-si...

A-ha! Det kunne de lide.

  • 1
  • 0
Log ind eller Opret konto for at kommentere