It-sikkerhed handler ikke kun om teknik, men derimod om at få regler og procedurer til at fungere i virksomhedernes organisation og forretning. Sådan lyder det fra Rasmus Theede, der udover en fortid som sikkerhedsansvarlig i virksomheder som Mærsk, KMD og NNIT også er tidligere formand for Rådet for Digital Sikkerhed.
Hans budskab kom ved Version2’s konference Infosecurity, hvor han som stifter og administrerende direktør i Sparkle Security talte på vegne af IDA.
Her præsenterede han konklusionerne på en it-sikkerhedsundersøgelse, Nordic state of information security, (PDF), som Sparkle Security har gennemført på basis af interview med 285 virksomheder i meget forskellige størrelser og fra forskelige brancher, i Danmark, Norge, Sverige, Finland og Holland.
Her talte man med alt fra menige medarbejdere, sikkerhedschefer og administrerende direktører.
En af de skræmmende konklusioner er, at op mod 80 procent af virksomhederne trods markante investeringer har problemer med den helt basale sikkerhedsforhold som back up, malware og overblik over virksomhedernes data.
En af forklaringerne er ifølge Rasmus Theede, at rigtig mange eksperter har rigtig mange forskellige meninger om, hvad der er god it-sikkerhed.
Det får mange virksomheder til enten at give op, eller kaste sig ud i store sikkerhedsprojekter, som bare aldrig kommer til live ude i virksomhedernes organisation.
I stedet anbefaler han, at man ‘spiser elefanten i små bidder’ og arbejder på at få en bedre it-hygiejne, ligesom man skal vaske hænder, når man har været på toilettet.
Et organisatorisk projekt
»Sikkerhed er ikke et it-projekt, men et organisatorisk projekt,« slår han fast.
»Jeg var på et tidspunkt sikkerhedschef i en stor dansk virksomhed. Det første jeg gjorde, var at gå rundt til alle i direktionen og sige: »Hej Jeg hedder Rasmus, hvad kan jeg hjælpe dig med.« En af direktørerne fortalte, at det var første gang i de 20 år han overhovedet havde hilst på sikkerhedschefen,« fortæller Rasmus Theede.
»Man bliver nødt til at spørge til, hvad folks problemer er. Hvordan arbejder I? Hvad er det værste der kan ske, og hvordan kan jeg hjælpe jer. Det giver et overblik over, hvad der er vigtigst for forretningen, hvor fejlene opstår og hvordan man som sikkerhedsansvarlig skal prioritere.«
Ukompliceret
På baggrund af sin interview-undersøgelse siger han, at langt de fleste sikkerhedsproblemer i danske virksomheder er ret ukomplicerede.
»Det handler ikke primært om kinesiske hackere og avancerede angreb. Denne type angreb eksisterer også, men langt de fleste databrud er helt banale. For eksempel en medarbejder, der sender et fortroligt excel-ark til de forkerte modtagere, virksomheden, der glemmer at tage backup eller ransomware, der spreder sig, fordi virksomhedens systemer ikke har været opdateret længe. Så start nu med at få styr på det,« siger Rasmus Theede.
»Find dine data, opdater din software. Så har du det mest basale på plads, før du kaster dig ud i at købe en spændende boks til en million kroner.«
Han retter samtidig skytset mod manglende forståelse og dårlig kommunikation imellem forretning, rådgivere, leverandører, jurister og sikkerhedsansvarlige. De taler ofte helt forskellige sprog, og forfalder nemt til at akademisere it-sikkerhed eller gøre det til et spørgsmål om juridiske redegørelser, standarder og certifikater.
»Vi ser alt for ofte, at virksomheden bruger en masse krudt på at skrive komplekse sikkerhedspolitikker, som aldrig rigtig når ud eller bliver forstået i resten af organisationen. Når noget så går galt, skælder vi ud på de medarbejdere, som ikke har overholdt reglerne,« siger Rasmus Theede.
»Men i bund og grund forstår medarbejderen ofte ikke reglerne og aner ikke hvordan de skal overholdes.
»Ofte taler vi som rådgivere om teknik, bøder og bål og brand. Vi bliver nødt til at tale med virksomhedernes ledelse, så de forstår, hvad de skal gøre.«
Medarbejderne sidder med aben
Standardiserede regler, som kommer ned fra oven, kommer ifølge Rasmus Theede ofte i karambolage med de ansattes ønske om at lave et godt stykke arbejde.
»Et eksempel er medarbejder i den offentlige sektor, som lige ud siger: »Hvis vi ikke deler det her password, kan vi slet ikke passe vores arbejde«. Medarbejderne har simpelthen ikke tid til at følge reglerne. Det betyder mere, at de kan nå målene for de opgaver, de er ansat til, end at de følger nogle sikkerhedsregler. Her giver det måske bedre mening at kigge på, om måden man arbejder på kan forbedres, eller om man kan forbedre it-systemerne, frem for at tvinge medarbejderne at overholde regler, som de reelt ikke har mulighed for at overholde. Dette vil give både bedre reel sikkerhed og gladere medarbejdere.«
»Det har været meget populært at sige, at medarbejderne er den største trussel for it-sikkerheden. Nogle mener endda, at man bare skal fyre de medarbejdere, der bryder sikkerhedsreglerne. Men de klikker ikke på et farligt link, fordi de er dumme. De er under et stort arbejdspres. Reglerne er besværlige, og der er andre krav som prioriteres højere i hverdagen,« siger Rasmus Theede.
Papirtigre
Han medgiver, at den store opmærksomhed om persondataforordningen (GDPR) generelt har fået sikkerhed højere op på dagsordenen. Men mange af de nye krav er juridiske begreber under paroler som Retten til at blive glemt, Data protection by design og kryptering. Det lyder godt, men i praksis dækker det meget komplekse problemstillinger, der griber dybt ind i medarbejderenes hverdag. Resultatet er en masse papirarbejde, standarder og certifikater, som Rasmus Theede kalder for »papirtigre«.
»Du bruger en masse krudt på teorietisk sikkerhed, papirarbejde, cirkulærer, GDPR og politikker, der aldrig kommer til at leve ude i organisationen. Hvis du laver en sikkerhedspolitik, som ingen læser og bare gør, som de plejer, så har du brugt tid og penge på noget, der aldrig kommer til at give værdi,« siger han.
»Samarbejdet imellem jurister og sikkerhedsfolk er uhyre vigtigt, især når det kommer til kompleks lovgivning som GDPR. Men med jura alene går det bare ikke. Vi ser ofte store dyre projekter, der alene er kørt advokatfirmaer og hvor der er brugt millioner af kroner på papir, uden at anbefalinger og politikker nogensinde er kommet ud og leve ude i virksomhederne. Det kan godt være, du har implementeret standarder og har fået et fint certifikat på, at du har beskrevet din arkitektur og er compliant. Så har du sådan en papirtiger, der kan fortælle dig, at alt er på plads og i orden, men det lever ikke ude i organisationen og du er ikke mere sikker,« slutter Rasmus Theede.