Rasmus Theede: Få styr på det basale - det handler ikke primært om kinesiske hackere

Illustration: Screendump/LinkedIn
Op mod 80 procent af virksomheder og organisationer har ikke styr på den helt basale it-sikkerhed, lyder det fra tidligere formand for Rådet for Digital Sikkerhed. Start med at få det mest basale på plads, og spis elefanten en bid ad gangen, lyder hans råd.

It-sikkerhed handler ikke kun om teknik, men derimod om at få regler og procedurer til at fungere i virksomhedernes organisation og forretning. Sådan lyder det fra Rasmus Theede, der udover en fortid som sikkerhedsansvarlig i virksomheder som Mærsk, KMD og NNIT også er tidligere formand for Rådet for Digital Sikkerhed.

Hans budskab kom ved Version2’s konference Infosecurity, hvor han som stifter og administrerende direktør i Sparkle Security talte på vegne af IDA.

Her præsenterede han konklusionerne på en it-sikkerhedsundersøgelse, Nordic state of information security, (PDF), som Sparkle Security har gennemført på basis af interview med 285 virksomheder i meget forskellige størrelser og fra forskelige brancher, i Danmark, Norge, Sverige, Finland og Holland.

Her talte man med alt fra menige medarbejdere, sikkerhedschefer og administrerende direktører.

En af de skræmmende konklusioner er, at op mod 80 procent af virksomhederne trods markante investeringer har problemer med den helt basale sikkerhedsforhold som back up, malware og overblik over virksomhedernes data.

En af forklaringerne er ifølge Rasmus Theede, at rigtig mange eksperter har rigtig mange forskellige meninger om, hvad der er god it-sikkerhed.

Det får mange virksomheder til enten at give op, eller kaste sig ud i store sikkerhedsprojekter, som bare aldrig kommer til live ude i virksomhedernes organisation.

I stedet anbefaler han, at man ‘spiser elefanten i små bidder’ og arbejder på at få en bedre it-hygiejne, ligesom man skal vaske hænder, når man har været på toilettet.

Et organisatorisk projekt

»Sikkerhed er ikke et it-projekt, men et organisatorisk projekt,« slår han fast.

»Jeg var på et tidspunkt sikkerhedschef i en stor dansk virksomhed. Det første jeg gjorde, var at gå rundt til alle i direktionen og sige: »Hej Jeg hedder Rasmus, hvad kan jeg hjælpe dig med.« En af direktørerne fortalte, at det var første gang i de 20 år han overhovedet havde hilst på sikkerhedschefen,« fortæller Rasmus Theede.

»Man bliver nødt til at spørge til, hvad folks problemer er. Hvordan arbejder I? Hvad er det værste der kan ske, og hvordan kan jeg hjælpe jer. Det giver et overblik over, hvad der er vigtigst for forretningen, hvor fejlene opstår og hvordan man som sikkerhedsansvarlig skal prioritere.«

Ukompliceret

På baggrund af sin interview-undersøgelse siger han, at langt de fleste sikkerhedsproblemer i danske virksomheder er ret ukomplicerede.

»Det handler ikke primært om kinesiske hackere og avancerede angreb. Denne type angreb eksisterer også, men langt de fleste databrud er helt banale. For eksempel en medarbejder, der sender et fortroligt excel-ark til de forkerte modtagere, virksomheden, der glemmer at tage backup eller ransomware, der spreder sig, fordi virksomhedens systemer ikke har været opdateret længe. Så start nu med at få styr på det,« siger Rasmus Theede.

»Find dine data, opdater din software. Så har du det mest basale på plads, før du kaster dig ud i at købe en spændende boks til en million kroner.«

Han retter samtidig skytset mod manglende forståelse og dårlig kommunikation imellem forretning, rådgivere, leverandører, jurister og sikkerhedsansvarlige. De taler ofte helt forskellige sprog, og forfalder nemt til at akademisere it-sikkerhed eller gøre det til et spørgsmål om juridiske redegørelser, standarder og certifikater.

»Vi ser alt for ofte, at virksomheden bruger en masse krudt på at skrive komplekse sikkerhedspolitikker, som aldrig rigtig når ud eller bliver forstået i resten af organisationen. Når noget så går galt, skælder vi ud på de medarbejdere, som ikke har overholdt reglerne,« siger Rasmus Theede.

»Men i bund og grund forstår medarbejderen ofte ikke reglerne og aner ikke hvordan de skal overholdes.

»Ofte taler vi som rådgivere om teknik, bøder og bål og brand. Vi bliver nødt til at tale med virksomhedernes ledelse, så de forstår, hvad de skal gøre.«

Medarbejderne sidder med aben

Standardiserede regler, som kommer ned fra oven, kommer ifølge Rasmus Theede ofte i karambolage med de ansattes ønske om at lave et godt stykke arbejde.

»Et eksempel er medarbejder i den offentlige sektor, som lige ud siger: »Hvis vi ikke deler det her password, kan vi slet ikke passe vores arbejde«. Medarbejderne har simpelthen ikke tid til at følge reglerne. Det betyder mere, at de kan nå målene for de opgaver, de er ansat til, end at de følger nogle sikkerhedsregler. Her giver det måske bedre mening at kigge på, om måden man arbejder på kan forbedres, eller om man kan forbedre it-systemerne, frem for at tvinge medarbejderne at overholde regler, som de reelt ikke har mulighed for at overholde. Dette vil give både bedre reel sikkerhed og gladere medarbejdere.«

»Det har været meget populært at sige, at medarbejderne er den største trussel for it-sikkerheden. Nogle mener endda, at man bare skal fyre de medarbejdere, der bryder sikkerhedsreglerne. Men de klikker ikke på et farligt link, fordi de er dumme. De er under et stort arbejdspres. Reglerne er besværlige, og der er andre krav som prioriteres højere i hverdagen,« siger Rasmus Theede.

Papirtigre

Han medgiver, at den store opmærksomhed om persondataforordningen (GDPR) generelt har fået sikkerhed højere op på dagsordenen. Men mange af de nye krav er juridiske begreber under paroler som Retten til at blive glemt, Data protection by design og kryptering. Det lyder godt, men i praksis dækker det meget komplekse problemstillinger, der griber dybt ind i medarbejderenes hverdag. Resultatet er en masse papirarbejde, standarder og certifikater, som Rasmus Theede kalder for »papirtigre«.

»Du bruger en masse krudt på teorietisk sikkerhed, papirarbejde, cirkulærer, GDPR og politikker, der aldrig kommer til at leve ude i organisationen. Hvis du laver en sikkerhedspolitik, som ingen læser og bare gør, som de plejer, så har du brugt tid og penge på noget, der aldrig kommer til at give værdi,« siger han.

»Samarbejdet imellem jurister og sikkerhedsfolk er uhyre vigtigt, især når det kommer til kompleks lovgivning som GDPR. Men med jura alene går det bare ikke. Vi ser ofte store dyre projekter, der alene er kørt advokatfirmaer og hvor der er brugt millioner af kroner på papir, uden at anbefalinger og politikker nogensinde er kommet ud og leve ude i virksomhederne. Det kan godt være, du har implementeret standarder og har fået et fint certifikat på, at du har beskrevet din arkitektur og er compliant. Så har du sådan en papirtiger, der kan fortælle dig, at alt er på plads og i orden, men det lever ikke ude i organisationen og du er ikke mere sikker,« slutter Rasmus Theede.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Klavs Klavsen

Helt Enig :)

Mit fokus vedr. sikkerhed har og vil altid være, at betragte medarbejderne som værende vand - der flyder den vej de nemmest kan komme.. så vil man faktisk forbedre sikkerheden - skal man gøre det den nemmeste vej for dem.

Sikkerhed behøver bestemt ikke at gøre livet mere besværligt.. Det kan faktisk gøres nemmere i nogen tilfælde (f.ex. at lave Remote SSH login via gpg-baseret sikkerhedsnøgle (såsom Yubikey) - med touch krav) - så skal de kun indtaste pin til sikkerhedsnøglen 1 gang om dagen - og røre den fysisk for at komme ind "på hvad som helst" - og bruger ikke noget kodeord længere (det er faktisk en ret stor sælger for mange ;)

  • 3
  • 0
Gert Madsen

"»Et eksempel er medarbejder i den offentlige sektor, som lige ud siger: »Hvis vi ikke deler det her password, kan vi slet ikke passe vores arbejde«. Medarbejderne har simpelthen ikke tid til at følge reglerne."
Var det ikke et noget hurtigt spring ?
Man har haft en sikkerhedserkendelse i det offentlige, som lader til at være blevet nedbrudt under digitaliseringen.
Man kan opnår jo ikke den situation ovenfor, uden at der har siddet ledere, som har skabt problemet.
Den enkelte medarbejder kan til en vis grad være undskyldt, men det samme kan man ikke med lederen.

  • 1
  • 0
Carsten Kanstrup

Nogle mener endda, at man bare skal fyre de medarbejdere, der bryder sikkerhedsreglerne. Men de klikker ikke på et farligt link, fordi de er dumme.

Der er principielt set ikke noget, der hedder farlige links, for hele grundlaget for internettet er jo netop, at man skal kunne klikke sig frem til ny og dermed ukendt information, og absolut ingen kan derfor på forhånd vide, om den side, man kommer ind på, er usikker eller ej. Problemet er, at man har åbnet op for nogle muligheder, som aldrig burde være der. Giv mig bare én eneste grund til, at en hjemmeside skal kunne installere programmer på min computer uden mit vidende og evt. kryptere min harddisk, og hvorfor skal f.eks. musen kunne gøre andet end det man forventer - nemlig at fungere som mus og absolut ikke åbne op for mouse jacks?

Tåberne er ikke selv de dummeste brugere, men dem, der har lavet disse usikre systemer, og ikke mindst dem, der køber IT-udstyr for milliarder af kr. uden at stille de mindste krav om sikkerhed. Man spørger bare, hvad primært Microsoft kan levere, og køber så det fuldstændig ukritisk. For den normale bruger er det desværre bare take-it-or-leave-it og så en masse bøvl med 3. parts software i form af antivirusprogrammer for at lappe på en tåbelig grundstruktur og programmørernes manglende evne til at overse egne programmer.

For ca. 30 år siden arbejdede jeg på en Commodore Amiga 2000 med to diskettedrev, men uden harddisk. Hvis den computer havde været mere kraftfuld og haft en internetbrowser, ville man idag kunne surfe og klikke på alt fuldstændig uden nogen som helst risiko, for hele BIOS systemet incl. en DOS lå i en ROM, som kun kunne ændres ved mekanisk udskiftning - en rigtig god idé, og det grafiske operativsystem, som blev opgraderet langt hyppigere, blev så læst ind fra én enkelt skrivebeskyttet diskette, som derefter kunne fjernes. I en sådan computer er der ingen steder, virus kan lave skade eller overleve, efter at strømmen er slukket eller hukommelsen resat. Med en passende hardwaremæssig opgradering til dagen standard og med hardwarebaseret skrivebeskyttelse af de enkelte områder på alle harddiske (software bliver aldrig nogensinde sikkert) ville jeg idag langt foretrække en sådan super Amiga frem for det usikre bras, bl.a. Microsoft og IBM har forpestet verden med siden. I gamle dage var det en selvfølge, at permanent lager kunne skrivebeskyttes; men det er "selvfølgelig" ikke muligt idag, for softwaren kan "selvfølgelig" ikke laves anderledes, end at der konstant skal være skrivemulighed til alt. De fleste computere idag har minimum 8 Gbyte RAM, hvilket rækker til selv de største hjemmesider, så hvorfor skal der være åbnet for generel harddiskskrivning, med mindre man specifikt beder om at gemme ét eller andet, og i så fald skal der kun åbnes udefter på den valgte gren af filsystemet, så alt nedefter incl. roden stadig er skrivebeskyttet.

Kom nu ind i kampen EU, stater og kommuner og evt. Mærsk, som vist har lært lektien, og stil nogle krav til det, I køber for milliarder - vi andre er leverandørerne desværre fuldstændig ligeglade med. Det kan da godt være, at Microsoft og andre "gamle" firmaer så ikke kan levere; men mon ikke der så er andre, der kan - evt. gamle Amiga-folk, der vejrer morgenluft, og/eller de firmaer, som har sikkerhedsgodkendte operativsystemer?

  • 2
  • 2
Troels Arvin

Inspiration fra Amiga er nok svær at sælge.

Jeg synes hellere, at man skal kigge på, hvor succesfuld smartphones har været: Du har milliarder af brugere, hvoraf mange er komplet ligeglade med sikkerhed. Og alligevel har der ikke været massive malware-bølger i stil med ILOVEYOU. Det viser, hvad der er muligt, når grund-operativsystemerne fra starten er gode til at holde applikationerne godt buret inde. Og det viser, hvor effektivt det er, når applikationer installeres fra et vel-kurateret software-katalog (også kendt fra Linux/BSD-verdenens repositories), hvorfra opdateringer også som udgangspunkt installeres jævnligt.

Den slags er langt mere effektivt end diverse slangeolieprodukter såsom antivirus (som de færreste finder brug for at anvende på smartphones).

  • 5
  • 0
Carsten Kanstrup

Inspiration fra Amiga er nok svær at sælge.

Hvorfor det? Den er netop et eksempel på, hvordan det kunne være gjort, men ikke blev det, fordi IBM med hjælp fra Microsoft var stor nok til at tromle deres løsning igennem, selv om den var på DOS-niveau, da Amiga kørte fuld multitasking med bl.a. 3D-grafik, ray-tracking og PostScript til Desktop Publishing.

Vis mig bare én ting, som Windows 10 idag gør væsentlig bedre og frem for alt mere sikkert, end Amiga gjorde for over 30 år siden. Vi skal netop tilbage til rødderne med bl.a. hardwarebaseret skrivebeskyttelse og adgangskontrol og software i en størrelse, der er til at overse, hvis vi skal dæmme effektivt op for de trusler, vi står overfor.

  • 2
  • 1
Jens Madsen

Det er intet problem, at lave både computere, og internet sikker, så at virusser aldrig vil have været opfundet, eller kunnet have eksisteret. Faktisk så simpelt, at det tilbage i 80'erne var de tanker, som man fik først, når man overvejede hvordan det skulle gøres. Imidlertid, så var det ikke det som vandt. Økonomien, og bagmændende ønskede systsemer der var hackbare. Computere der ikke kunne hackes var kedelige...

Unix og Linux er faktisk også lavet forkert.

OOP har fat i noget af det rigtige - nemligt isolation. Og programmerer du efter gode metoder, så du kun kan hente data og gemme data gennem funktioner, så viser det lidt af vejen.

Metoden er enkel: Ingen programmer må have adgang til andres data direkte. Ingen adgang direkte til operativsystemets harddisk. Ingen adgang til brugerens harddisk. Kun adgang til sig selv. Nogle vil måske invende, at det da ikke kan fungere. Det kan det nemt. Ønsker man data fra brugeren, så spørger man brugeren. Man kan ikke hente dem direkte. Det går gennem en funktion, der leverer data. Et kald til stifinderen fra programmet, giver mulighed for, at brugeren kan udvælge data, og sende videre til programmet. Og omvendt, et kald til stifinderen kan også give mulighed for, at brugeren kan gemme data. Programmet ved ikke hvad navnet er, eller hvor de er gemt. Når det gemmes fra gang til gang, så styres det af stifinderen. Det er den, som har adgang til brugens data.

Det er alt sammen sund fornuft og datalogi. Systematisk. Skridt for skridt. Helt enkelt. Men sådan skulle det ikke blive. Man stod for valget, og man valgte. Der kunne vælges logik og sund fornuft, eller kaos. Og der blev valgt kaos. Ingen regler, alt muligt. I dag er logik og sund fornuft en by i Rusland...

  • 2
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize