Flere virksomheder er begyndt at arbejde med scenarier for, hvordan de skal reagere, hvis de bliver ramt af et hackerangreb.
Problemet er, at øvelserne for ofte begrænser sig til det tekniske setup: Hvordan sikrer vi virksomhedens data, og hvordan får vi hurtigt systemerne op at køre igen, hvis de bliver lagt ned eller kompromitteret?
Norsk sikkerhedsrådgiver og direktør for God Praksis certificeret med CISA og CISM fra ISACA og CISSP-ISSAP fra (ISC)2. Er grundlægger og hovedarrangør af verdens første og eneste kodeordskonference PasswordsCon.org. Holder oplægget ‘Lessons Learned From The Hacking of Ashley Madison‘ til it-sikkerhedskonferencen Infosecurity den 4. maj kl. 12.Per Thorsheim
Men især små og mellemstore virksomheder, der har it-systemer med følsomme persondata, glemmer at tænke scenariet helt til ende, lyder det fra den norske sikkerhedsrådgiver og direktør for God Praksis Per Thorsheim.
Bliver følsomme persondata lækket, er man som virksomhed også nødt til at tage højde for konsekvenserne for de ramte personer i sin strategi. Er man lige så uheldig som utroskabssitet Ashley Madison, der blev hacket sidste år, kan man indirekte få liv på samvittigheden.
»Hvis du tror, at du kun arbejder med computere og databaser, tager du fejl. Du håndterer information, som kan få folk slået ihjel,« siger Per Thorsheim, der vil fremlægge de lektioner, som man kan lære af Ashley Madison-lækket, til it-sikkerhedskonferencen Infosecurity den 3. og 4. maj i København.
Manglende empati
Ashley Madison-angrebet er et af de største læk af følsomme persondata i historien, hvor navne og personlige oplysninger på millioner af brugere, der havde brugt utroskabstjenesten, blev lagt ud offentligt.
Som konsekvens har der været flere rapporter om selvmord fra tjenestens brugere, der havde fået deres navn offentliggjort. Og i Saudi-Arabien, hvor homoseksualitet kan give dødsstraf, kom navnene frem på flere mænd, der søgte efter mandlige seksuelle partnere via Ashley Madison.
Virksomheden bag dating-sitet reagerede på angrebet med otte pressemeddelelser, hvor ordet ‘undskyld’ kun optrådte én gang i alt. Udmeldingerne var hurtige til at pege fingre ad alle andre end selskabet selv - en stor fejltagelse ifølge Per Thorsheim.
»Måden, virksomheden håndterede hele affæren på, var absolut forfærdelig. De beskyldte alle andre end sig selv for angrebet. Det er et førsteklasses eksempel på, hvordan man ikke skal gøre, hvis man bliver hacket,« siger han.
Derfor er det vigtigt for virksomheder, der håndterer følsomme persondata, at lave øvelser for, hvordan de skal håndtere et eventuelt datalæk, opfordrer sikkerhedsrådgiveren.
»De fleste virksomheder har ikke lavet den øvelse og gået igennem tankeprocessen for, hvad de vil gøre, hvis der for eksempel bliver lækket information om de ansattes misbrug af alkohol eller deres gældssituation,« siger Per Thorsheim og uddyber:
»Den typiske reaktion er at sige: ‘Vores tjeneste er nede - hvor hurtigt kan vi genoprette driften?’ Men det er ikke nok.«
Kom gratis med til Danmarks største IT-sikkerhedsevent!
Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
