»Jeg har hørt topchefer sige, it-sikkerhedschefer skal hyres, så de kan fyres«

Det er på tide at få en diskussion omkring, hvordan bestyrelser, ledere, politikere og samfundet forstår it-sikkerhed, mener koncernsikkerhedschef i Tryg.

Der går snart ikke en eneste dag uden et datalæk, et hackerangreb eller som minimum en byge af DDoS-angreb. Det er på tide, at it-sikkerhed bliver prioriteret, taget alvorligt, bliver diskuteret og ikke bare bliver løse ord, mener Tom Engly, koncernsikkerhedschef hos Tryg, der har hørt topchefer sige, at:

It-sikkerhedschefer er sådan nogle, du hyrer, så du kan fyre dem, når det går galt.

»Så er der jo en ledelse, der ikke har forstået, hvad det går ud på. Så har man jo ikke forstået it-sikkerhed. Vi prøver at gøre en masse for sikkerheden, men vi ved jo godt, at der findes ikke 100 pct. sikkerhed. Så hvis man som ledelse har holdningen, at man bare fyrer den, der sidder på området, så er der brug for en diskussion,« siger Tom Engly.

Han påpeger, at problemet i den tankegang opstår, hvis ledelsen ikke afsætter nok penge til it-sikkerhed og så blot ansætter en it-sikkerhedschef, man kan fyre, når det går galt – bare så de viser, at de har handlet.

Tom Engly har dog set en forandring på opmærksomheden, it-sikkerhed har fået over de seneste år, hvor lederne i højere grad har fået øjnene op for nødvendigheden af at have styr på området – uden nødvendigvis at forstå, hvad virkeligheden er på området.

»Vi har i mange år levet med, at it-sikkerhed var noget, man snakkede om, men så gjorde man ikke mere ved det. Det er først de senere år, det har indfundet sig på direktions- og bestyrelsesgangene. Det var ikke et hot emne, men det er det heldigvis blevet,« siger han.

Hvem har det endelige ansvar?

Når angreb og nedbrud er blevet hverdag for branchen, så er det nødvendigt at kunne placere, hvem der sidder med ansvaret, og som i sidste ende kan risikere at få en fyreseddel i hånden, påpeger Engly.

»Det er en diskussion, der er værd at tage. Hvem er det, der i sidste ende skal ristes, når det går galt? Vi lever da i en verden, hvor alle kunne stå på den rist. Og det kunne jo være mig i morgen,« siger Tom Engly, der i Tryg blev ramt af et ransomware-angreb i 2016 .

»I Tryg har ledelsen helt sikkert taget cybersikkerhed til sig, og emnet står meget højt på både direktions- og bestyrelsesagendaen, ligesom Tryg i øjeblikket opruster på sikkerhed for et tocifret millionbeløb,« understreger Tom Engly, hvis bekymring ikke er rettet mod egen ledelse, men snarere branchen som helhed.

At placere det endelige ansvar vil højst sandsynligt være noget, der skal vurderes fra sag til sag, men som udgangspunkt starter man fra toppen af hierarkiet.

»Det er den øverste ledelse, der har ansvaret. Men hvis ledelsen har afsat nok ressourcer til it-sikkerhed, så er det klart, at det godt kan være it-sikkerhedschefen, der har fejlet. Hvis man har fået pengene, så er det jo legitimt nok at fyre ham. Det skal heller ikke være carte blanche,« siger Tom Engly.

Ingen total garanti for datasikkerhed

Vi skal forholde os til, at den risiko, der er, ikke kan elimineres 100 pct. Vi kan kun prøve at minimere risikoen for, at det sker.

»Vi skal gøre os bevidste om, at vi er digitale borgere i et digitalt samfund. Det har nogle konsekvenser, som vi ikke selv er klar over endnu. Man kan høre det, hver gang det går galt. Politikerne står i kø for at forklare, hvor dårligt det er, og noget af det er jo sikkert rigtigt, men er dét det fulde billede?« spørger koncernsikkerhedschefen og fortsætter:

»Vi skal forholde os til, at den risiko, der er, ikke kan elimineres 100 pct. Vi kan kun prøve at minimere risikoen for, at det sker. Så lad os prøve at komme på samme planet, og lad os prøve at være sammen om det, så når der endelig sker noget, så står vi ikke med vidt forskellige synspunkter.«

Han oplever, at branchen er begyndt at åbne mere op, så det er muligt at tale om, når der sker brud på sikkerheden. I de tilfælde mener han, at det hjælper mere at arbejde sammen end at pege fingre ad de ramte.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
Hans Schou

Hvordan sikre man 100%, at danske borgeres genom ikke kommer i forkerte hænder?
Det er billigt og utroligt nemt: Man lader være med at indsamle danske borgeres genomer.

Situationen er selvfølgelig anderledes for et forsikringsselskab, der bliver nødt til at have nogle oplysninger gemt for at kunne drive forretningen. Og så er 100% sikkerhed uopnåeligt.

Alex R. Tomkiewicz

Så er der jo en ledelse, der ikke har forstået, hvad det går ud på.

Ellers også har de forstået hvad det går ud på - hvis man som leder primært er ekspert i sociale manøvrer. Så er det ofte den machiavellanske duelighed i politiske og sociale manøvrer som giver de største resultater. Vores samfund og sociale strukturer belønner ofte disse færdigheder. Men man kan selvfølgelig som leder komme til at skære armen af sig selv (og andre) med sit dobbelte lyssværd :-)

Men det er selvfølgelig ikke den "Engineering" og de tekniske udfordringer og løsninger som tekniske eksperter taler om. Problemet er bare at sikkerhed er økonomi: Det kan for det meste ikke betale sig at lave mere end det minimalt krævede - eller det som er fordelagtigt i en konkret situation.

Et større fokus på og en generel forbedring af IT- og datasikkerhed - og hele dataopsamlingsproblemet - vil formentlig først komme med lovgivning som præciserer og udpeger ansvarlighed og konsekvenser. GDPR er/kan være første skridt.

Alex R. Tomkiewicz

Vi skal forholde os til, at den risiko, der er, ikke kan elimineres 100 pct.

Sagen er at sikkerhed faktisk kan laves så tæt på 100% at problemerne vil være små eller i det mindste overskuelige og håndterbare - og ubegrundet frygt vil være - ja, ubegrundet.

Men så længe man taler om sikkerhed ved hjælp af floskler, klichéer og mangelfulde generaliseringer - ja, så kan man ikke se træerne for bare skov. Der findes brugbare løsninger - men de ligger indenfor rigtig "systems engineering" og ikke indenfor de absolut billigste løsninger og ikke indenfor popsmart bling-bling udvikling.

Pelle Nielsen

"Situationen er selvfølgelig anderledes for et forsikringsselskab, der bliver nødt til at have nogle oplysninger gemt for at kunne drive forretningen."
Er det en joke eller en meget special form for sort humor?

Forsikringsselskab forretnings form er ikke forskellig fra Danske Spil, det er væddemål de lever af. Sundhedssystemet har vel mere brug for danske borgeres genomer til end et væddemål forretning.
Hvorfor skulle et privat foretagende være mere sikker end offentligt? Det er vel hvad man vil gøre tinge til.

Povl H. Pedersen

men ikke 100% hvis man gør noget ved det.
Man er nødt til at have den tynde klient til at tilgå backend systemer.

Og isolering, og adskille nøgler og data. Dvs persondata i et system, og UUID til at associere det med data i et andet system (ikke CPR). Og noget overvågning på kommunikation fra det system der kombinerer de 2 datasæt, så mærkelige mønstre opdages. Men medarbejderwe der plukker enkeltrecords ud er svære at fange, hvis de opretter en sag på forsikringen/patienten. Det kræver automatisk advisering hver gang en sag åbnes.

Så der kan laves noget.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017