Det har ofte minimal sikkerhedsværdi, når organisationer og virksomheder køber nye it-sikkerhedsløsninger uden samtidig at have fokus på at skabe en ordentlig sikkerhedsadfærd i hverdagen.
Sådan lød budskabet fra Magnus Klaaborg Stubman, sikkerhedsrådgiver hos it-virksomheden Improsec, da han onsdag gæstede debatscenen på it-sikkerhedskonferencen Infosecurity.
Under oplægget påpegede han, at selvom it-sikkerhedskasser - altså eksempelvis firewall-løsninger m.m. - kan være en god hjælp, så er det i sidste ende menneskene i en organisation, der afgør det reelle sikkerhedsniveau. Derfor kan det koste dyrt, hvis ikke organisationerne er opmærksomme på det, når der skal oprustes på it-sikkerheden.
»Vi ser, at der nogle gange bliver brugt penge på it-sikkerhedsløsninger, som egentlig ikke giver sikkerhedsværdi for køberen,« sagde Magnus Klaaborg Stubman.
Simpelt men alvorligt
Ifølge sikkerhedsrådgiveren sker det jævnligt, at flere simple sikkerhedsforbehold ikke bliver overholdt i organisationer, og det er med til at svække it-sikkerheden, selvom der kan være indkøbt nye systemer.
»Det kan virke banalt, men det er enormt vigtigt, at der bliver lavet diskkryptering, og at computere eksempelvis låses, når medarbejderne ikke er til stede. Derudover ser vi desværre tit, at der bliver brugt standardpasswords i centrale it-systemer hos organisationer. Det er lige meget, hvor god en kasse du har købt - hvis du har et standardpassword, så er det intet værd,« sagde Magnus Klaaborg Stubman under oplægget.
Derudover er det vigtigt, at alle dele af en organisation indtænkes, når der arbejdes med it-sikkerheden, understregede han på konferencen og fremhævede, at han har set eksempler på, at to-faktor-godkendelse kun bruges enkelte steder i en organisation.
»Det er som at sætte en stærk port op, der skal forhindre adgangen til en have, og så samtidig plante en lav hæk resten af vejen rundt,« sagde Magnus Klaaborg Stubman.
Styr på procedurerne
På oplægget fremhævede sikkerhedsrådgiveren, at organisationer og virksomheder kan have mangler i deres helt konkrete sikkerhedsprocedurer, der skal sikre ordentlig adfærd, når først uheldet er ude.
»Der skal være en beredskabsplan. Hvordan kommunikerer man, hvis systemerne bliver angrebet, og hvem skal reagere på de her alarmer? 'De kommer regelmæssigt, og vi fik ikke lige tid til det,' hører vi tit. Mange har ikke engang sørget for at have en liste med telefonnumre, der kan bruges, hvis uheldet er ude,« sagde Magnus Klaaborg Stubman med henvisning til, at de sædvanlige lister med kontaktoplysninger kan være utilgængelige ved et it-nedbrud.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
