Interview

»Jeg har hørt topchefer sige, it-sikkerhedschefer skal hyres, så de kan fyres«

8. november 2017 kl. 05:117
Det er på tide at få en diskussion omkring, hvordan bestyrelser, ledere, politikere og samfundet forstår it-sikkerhed, mener koncernsikkerhedschef i Tryg.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Der går snart ikke en eneste dag uden et datalæk, et hackerangreb eller som minimum en byge af DDoS-angreb. Det er på tide, at it-sikkerhed bliver prioriteret, taget alvorligt, bliver diskuteret og ikke bare bliver løse ord, mener Tom Engly, koncernsikkerhedschef hos Tryg, der har hørt topchefer sige, at:

It-sikkerhedschefer er sådan nogle, du hyrer, så du kan fyre dem, når det går galt.

Tom Engly arbejder til hverdag som koncernsikkerhedschef hos Tryg

»Så er der jo en ledelse, der ikke har forstået, hvad det går ud på. Så har man jo ikke forstået it-sikkerhed. Vi prøver at gøre en masse for sikkerheden, men vi ved jo godt, at der findes ikke 100 pct. sikkerhed. Så hvis man som ledelse har holdningen, at man bare fyrer den, der sidder på området, så er der brug for en diskussion,« siger Tom Engly.

Han påpeger, at problemet i den tankegang opstår, hvis ledelsen ikke afsætter nok penge til it-sikkerhed og så blot ansætter en it-sikkerhedschef, man kan fyre, når det går galt – bare så de viser, at de har handlet.

Artiklen fortsætter efter annoncen

Tom Engly har dog set en forandring på opmærksomheden, it-sikkerhed har fået over de seneste år, hvor lederne i højere grad har fået øjnene op for nødvendigheden af at have styr på området – uden nødvendigvis at forstå, hvad virkeligheden er på området.

»Vi har i mange år levet med, at it-sikkerhed var noget, man snakkede om, men så gjorde man ikke mere ved det. Det er først de senere år, det har indfundet sig på direktions- og bestyrelsesgangene. Det var ikke et hot emne, men det er det heldigvis blevet,« siger han.

Hvem har det endelige ansvar?

Når angreb og nedbrud er blevet hverdag for branchen, så er det nødvendigt at kunne placere, hvem der sidder med ansvaret, og som i sidste ende kan risikere at få en fyreseddel i hånden, påpeger Engly.

»Det er en diskussion, der er værd at tage. Hvem er det, der i sidste ende skal ristes, når det går galt? Vi lever da i en verden, hvor alle kunne stå på den rist. Og det kunne jo være mig i morgen,« siger Tom Engly, der i Tryg blev ramt af et ransomware-angreb i 2016 .

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

»I Tryg har ledelsen helt sikkert taget cybersikkerhed til sig, og emnet står meget højt på både direktions- og bestyrelsesagendaen, ligesom Tryg i øjeblikket opruster på sikkerhed for et tocifret millionbeløb,« understreger Tom Engly, hvis bekymring ikke er rettet mod egen ledelse, men snarere branchen som helhed.

At placere det endelige ansvar vil højst sandsynligt være noget, der skal vurderes fra sag til sag, men som udgangspunkt starter man fra toppen af hierarkiet.

»Det er den øverste ledelse, der har ansvaret. Men hvis ledelsen har afsat nok ressourcer til it-sikkerhed, så er det klart, at det godt kan være it-sikkerhedschefen, der har fejlet. Hvis man har fået pengene, så er det jo legitimt nok at fyre ham. Det skal heller ikke være carte blanche,« siger Tom Engly.

Ingen total garanti for datasikkerhed

Vi skal forholde os til, at den risiko, der er, ikke kan elimineres 100 pct. Vi kan kun prøve at minimere risikoen for, at det sker.
»Vi skal gøre os bevidste om, at vi er digitale borgere i et digitalt samfund. Det har nogle konsekvenser, som vi ikke selv er klar over endnu. Man kan høre det, hver gang det går galt. Politikerne står i kø for at forklare, hvor dårligt det er, og noget af det er jo sikkert rigtigt, men er dét det fulde billede?« spørger koncernsikkerhedschefen og fortsætter:

»Vi skal forholde os til, at den risiko, der er, ikke kan elimineres 100 pct. Vi kan kun prøve at minimere risikoen for, at det sker. Så lad os prøve at komme på samme planet, og lad os prøve at være sammen om det, så når der endelig sker noget, så står vi ikke med vidt forskellige synspunkter.«

Han oplever, at branchen er begyndt at åbne mere op, så det er muligt at tale om, når der sker brud på sikkerheden. I de tilfælde mener han, at det hjælper mere at arbejde sammen end at pege fingre ad de ramte.

Emner
7 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
7
Povl H. Pedersen
10. november 2017 kl. 10:17

men ikke 100% hvis man gør noget ved det. Man er nødt til at have den tynde klient til at tilgå backend systemer.

Og isolering, og adskille nøgler og data. Dvs persondata i et system, og UUID til at associere det med data i et andet system (ikke CPR). Og noget overvågning på kommunikation fra det system der kombinerer de 2 datasæt, så mærkelige mønstre opdages. Men medarbejderwe der plukker enkeltrecords ud er svære at fange, hvis de opretter en sag på forsikringen/patienten. Det kræver automatisk advisering hver gang en sag åbnes.

Så der kan laves noget.

  • more_vert
    • insert_linkKopier link
6
Gert Madsen
10. november 2017 kl. 09:24

Er det en joke eller en meget special form for sort humor?

Sikkerhedsmæssigt giver det meget mening kun at registrere det man behøver. Der er for megen registrering, "fordi man kan", eller fordi man "kunne ske at få brug for det ". Det er blevet så slemt, fordi ulempen, nemlig risikoen for læk, har været konsekvensløs for registerejerne.

  • more_vert
    • insert_linkKopier link
5
Pelle Nielsen
9. november 2017 kl. 09:53

"Situationen er selvfølgelig anderledes for et forsikringsselskab, der bliver nødt til at have nogle oplysninger gemt for at kunne drive forretningen." Er det en joke eller en meget special form for sort humor?

Forsikringsselskab forretnings form er ikke forskellig fra Danske Spil, det er væddemål de lever af. Sundhedssystemet har vel mere brug for danske borgeres genomer til end et væddemål forretning. Hvorfor skulle et privat foretagende være mere sikker end offentligt? Det er vel hvad man vil gøre tinge til.

  • more_vert
    • insert_linkKopier link
4
Alex R. Tomkiewicz
8. november 2017 kl. 19:41

Vi skal forholde os til, at den risiko, der er, ikke kan elimineres 100 pct.

Sagen er at sikkerhed faktisk kan laves så tæt på 100% at problemerne vil være små eller i det mindste overskuelige og håndterbare - og ubegrundet frygt vil være - ja, ubegrundet.

Men så længe man taler om sikkerhed ved hjælp af floskler, klichéer og mangelfulde generaliseringer - ja, så kan man ikke se træerne for bare skov. Der findes brugbare løsninger - men de ligger indenfor rigtig "systems engineering" og ikke indenfor de absolut billigste løsninger og ikke indenfor popsmart bling-bling udvikling.

  • more_vert
    • insert_linkKopier link
3
Alex R. Tomkiewicz
8. november 2017 kl. 19:32

Så er der jo en ledelse, der ikke har forstået, hvad det går ud på.

Ellers også har de forstået hvad det går ud på - hvis man som leder primært er ekspert i sociale manøvrer. Så er det ofte den machiavellanske duelighed i politiske og sociale manøvrer som giver de største resultater. Vores samfund og sociale strukturer belønner ofte disse færdigheder. Men man kan selvfølgelig som leder komme til at skære armen af sig selv (og andre) med sit dobbelte lyssværd :-)

Men det er selvfølgelig ikke den "Engineering" og de tekniske udfordringer og løsninger som tekniske eksperter taler om. Problemet er bare at sikkerhed er økonomi: Det kan for det meste ikke betale sig at lave mere end det minimalt krævede - eller det som er fordelagtigt i en konkret situation.

Et større fokus på og en generel forbedring af IT- og datasikkerhed - og hele dataopsamlingsproblemet - vil formentlig først komme med lovgivning som præciserer og udpeger ansvarlighed og konsekvenser. GDPR er/kan være første skridt.

  • more_vert
    • insert_linkKopier link
2
Jan Gronemann
8. november 2017 kl. 13:15

Det er gammelkendt at offentlige instanser har konsulenthuse hyret - inklusive faste konsulenter til daglig drift - fordi de på den måde kan kaste bolden videre til næste konsulenthus når lokummet brænder. Så var det vel bare et spørgsmål om at "det næste" var dem der havde bestukket tilstrækkeligt.

  • more_vert
    • insert_linkKopier link
1
Hans Schou
8. november 2017 kl. 08:40

Hvordan sikre man 100%, at danske borgeres genom ikke kommer i forkerte hænder?Det er billigt og utroligt nemt: Man lader være med at indsamle danske borgeres genomer.

Situationen er selvfølgelig anderledes for et forsikringsselskab, der bliver nødt til at have nogle oplysninger gemt for at kunne drive forretningen. Og så er 100% sikkerhed uopnåeligt.

  • more_vert
    • insert_linkKopier link