Velux' it-sikkerhedschef: Tanken om cyberangreb kan holde mig vågen om natten

Illustration: Aleksandr Kalugin/Bigstock
Truslen fra cyberkriminalitet aldrig været større, anfører it-sikkerhedschefen i Velux.

I it-sikkerhedskredse er der en igangværende diskussion om, hvilken type it-kriminalitet der truer landet mest: russisk-initierede cyberangreb, der har til formål at underminere demokratiet; kinesisk industrispionage via internettet; eller hacking og anden gemen kriminalitet, der har til formål at tappe erhvervslivet for penge.

It-sikkerhedschef Henrik Lei, Velux. Illustration: Screendump/LinkedIN

Henrik Lei, som er chef for it-sikkerheden i Velux, er meget opmærksom på det sidste, og på at der er blevet flere af de alvorlige, målrettede angreb, der virkelig kan koste en virksomhed dyrt.

»Det er ikke persondataforordningen eller risikoen for at få en bøde af Datatilsynet, der holder mig vågen om natten, selv om vi selvfølgelig også tager de ting alvorligt. Det, som virkelig kan bekymre mig, er tanken om angreb, der kan true vores produktion. Og tanken om at blive nødt til at træffe store beslutninger i blinde – for eksempel i forhold til, om vi skal fortsætte fejlfindingen i systemerne eller slette det hele og begynde forfra,« fortæller Henrik Lei til DI Business.

Han har været it-chef i Velux i 12 år, og ifølge ham har truslen fra cyberkriminalitet aldrig været større, selv om de fleste virksomheder ifølge ham er blevet bedre til at håndtere de mere tilfældige og generelle angreb.

»Alle virksomheder bliver udsat for cyberangreb, selvom de måske ikke altid opdager det. Det vil være forkert at sige andet,« tilføjer han.

PwC’s rapport om it-sikkerhed, Cyber­crime Survey 2018, bekræfter Henrik Leis erfaring.

Her har 251 danske og 111 norske virksomheder og organisationer fortalt om deres forhold til cybersikkerhed – og 49 procent af respondenterne svarer, at de har haft øgede udgifter til udbedring og efterforskning af sikkerhedshændelser.

Den viser også, at det især er de private virksomheder, som er bekymrede for cybersikkerheden.

Men opmærksomheden er stadig ikke stor nok, mener Morten Rosted Vang, som er chefkonsulent med fokus på blandt andet it-sikkerhed i DI Digital.

»Der er ingen tvivl om, at virksomhederne er på vej mod en større forståelse af, hvad det indebærer at være en sikker digital virksomhed. Men sandheden er, at det kræver dedikerede ressourcer og et fokus fra topledelsen – og der halter mange danske virksomheder stadig bagefter,« siger han til DI Business.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Mads Bendixen

... på, hvad denne udvikling gør ved os som mennesker. Ikke noget godt....


Tidligere var det risikoen for brand, tyveri, hærværk etc. der havde samme effekt på den ansvarlige. Som han selv siger:

Det, som virkelig kan bekymre mig, er tanken om angreb, der kan true vores produktion. Og tanken om at blive nødt til at træffe store beslutninger i blinde – for eksempel i forhold til, om vi skal fortsætte fejlfindingen i systemerne eller slette det hele og begynde forfra,« fortæller Henrik Lei til DI Business.

Så er det ikke et "IT-angreb" han frygter, men produktionstab. Den frygt var der også i den analoge verden, hvor f.eks. papirer kunne gå op i røg.

Anne-Marie Krogsbøll

Tak for svar, Mads Bendixen

Jeg tror faktisk ikke, at de ting, du nævner, var/er i stand til at holde folk vågne i samme grad.
1. De ting er der jo stadig - IT-angreb er kommet oven i.
2. IT-angreb er langt mere uigennemskueligt - det er sværere at være sikker på, at man har gjort det, der skal til.
3. Han nævner det jo altså i forbindelse med IT-angreb - ikke de andre ting.

Henrik Schack

starte med at beskytte sig selv lidt mod phishing/spear-phishing hos Velux.
Den nuværende konfiguration af velux.com/dk giver fri hænder til banditterne i forhold til den slags, både med Velux som mål, men også Velux kunder og samarbejdspartnere kan nemt rammes med falske Velux emails.

Klavs Klavsen

Re: Anne-Marie
Du er normalt et fornuftigt menneske, men her mener jeg altså du har misforstået noget.

IT er jo et VALGFRIT TILVALG. Hvis IKKE man fik en værdi ud af det, der gav mere værdi end omkostningen herved, så lod man da forhåbentlig være :)

IT er bare nogle klodser der sender 0 og 1'er rundt.. Og så er det jo op til os som samfund, at sikre os at det vi gør med det, er fornuftigt.

Når velux vælger at have tilgang til internettet fra deres produktionsapparat, må de jo have vurderet at IT (og tilknytningen af det til internettet) giver dem større værdi, end risikoen herved. Når IT chefen ligger søvnløs, så skulle han måske revurdere sin beslutning ;)

Problemet er bare, at der IKKE undervises i folkeskolen om hvad IT egentlig er for en størrelse - og derfor går ~99% af befolkningen med en fuldstændig absurd opfattelse af at IT er "bare lige".. og har slet ingen forståelse for hvor komplekst det faktisk er/kan være og hvor farligt det kan være at gøre "de forkerte ting" med IT.

Så IT er altså bare et værktøj, hvor man desværre lader "sælgere" promovere "hvor godt og nemt det er" - men ikke sørger for at befolkningen som helhed forstår "hvad der er op og ned" mht. hvad IT egentlig kan og IKKE kan - og der er samtidigt stadig ikke nogen aftalte standardiseringer (sådan noget som en IT-havari kommission kunne bidrage til at udvikle) som man kan læne sig op ad, mht. sikring af at ting er udført fornuftigt - hvorfor det er meget "vilde vesten" - og kun de få rigtigt dygtige, har en chance for at gøre et ordentligt stykke arbejde.

Det er bare ikke IT's skyld.. Det er simpelthen fordi vores uddannelsessystem er for ringe mht. at klæde den almene befolkning på, og når nogen af disse så bliver beslutningstagere - træffes de forkerte beslutninger. Bare at lære alle lidt "almindelig kildekritik" - ville få os langt :)

Anne-Marie Krogsbøll

Tak for var, Klavs Klavsen.

Det er bare ikke IT's skyld.. Det er simpelthen fordi vores uddannelsessystem er for ringe mht. at klæde den almene befolkning på, og når nogen af disse så bliver beslutningstagere - træffes de forkerte beslutninger. Bare at lære alle lidt "almindelig kildekritik" - ville få os langt :)


Ja, jeg har også i mange år tænkt, at det var et spørgsmål om at opdrage folk (inkl. mig selv) til at forstå, hvad der foregår, herunder både fordele og risici ved udviklingen. Men jeg synes, at håbet om, at det vil virke, er blegnet, og de mange oprindelige skjulte bivirkninger ved digitalisering er begyndt at piple frem alle vegne - accelereret af den frembrusende udviklingen indenfor BigData og AI.

Og for mit eget vedkommende er utrygheden afgjort blevet større, jo mere jeg har fulgt med på området. Jeg tror smpelthen ikke mere på, at ret mange andre end dem i toppen - IT-genierne og magtens/pengenes elite - har noget chance for at forstå det og gøre sin indflydelse gældende. Det er for kompliceret, for uigennnemskueligt, for bundet op på enorme økonomiske og magtpolitiske interesser til, at verdens borgere har en chance for at følge med.

Og jeg tror også, at denne kompleksitet og uigennemskuelighed er for stor en belastning for de fleste menneskeers hjerner at forholde sig til. Folk giver op - de har mange andre ting i dagligdagen at forholde sig til. Og selv hvis det skulle lykkes at få god undervisning ind i skolen og andre steder, så går udviklingen så hurtigt, at borgere i al almindelighed altid vil være langt, langt. langt bagud for, hvor det virkeligt sker. Og derfor undergraver denne udvikling demokratiet - det bliver et ekspert/elitevælde.

Jeg faldt over denne gode og tankevækkende debatindlæg af Jacob Mchangama om farerne ved udviklingen:
https://foreignpolicy.com/2018/12/25/the-welfare-state-is-committing-sui...

Jeg har lyst til at kalde det resulterende styre et "manipulatur", og andre kommentatorer her på V2 har fundet på det gode ord "Digitalitur". Mchangama kalder det et "algokrati". Han har mere faglig viden og overblik end mig - men han udtrykker præcist, hvad det er, som bekymrer mig så meget.

Klavs Klavsen

Re: elite vælde
Det er jo netop hvad der sker, når der udvikles stærke værktøjer.. De kan blive misbrugt.. Men desværre kan man ikke "af-opfinde" ting.. og ligesom andre gode værktøjer har IT rigtig mange fordele, som giver en ganske reel konkurrencefordel ifht. andre lande og firmaer.

Det betyder bestemt ikke at tvangsdigitalisering er OK - det er snarere tåbeligt, især når man tydeligvis ikke har forstået hvordan sådan noget kan angribes på en forsvarlig måde. Problemet her, mener jeg virkelig primært er at vi er nødt til at lære den brede befolkning hvad IT faktisk er - istedet for at give dem ipads og lade dem tro det bare er "magisk sovs".. eller kun en "skærm udgave" af en tilsvarende process på papir. Heldigvis kan jeg forstå at IT skulle komme på skoleskemaet.. så jeg håber da at de næste generationer vil få mere forståelse for IT som værktøj.

Vi i vesten, fik efter min opfattelse, netop det gode samfund vi har idag, fordi vi evnede at lave et godt uddannelsessystem.. Nu er der bare kommet nye værktøjer til, som vi MÅ sikre os også at uddanne vores befolkning til, for ikke at de skal føle og være som du netop skriver.

Anne-Marie Krogsbøll

Tak for svar, Klavs Klavsen.

Jeg kan godt sympatisere med dine tanker og argumenter - jeg har desværre bare mistet troen på, at der er nogen fornuftig måde at styre dette "monster" på på anden måde end at slå bremserne lidt i og gå et par skridt tilbage til noget, vi - dvs. den brede befolkning - nogenlunde kan begribe konsekvenserne af.

Og hvad er det, vi skal lære i skolerne? Jeg kan blive bekymret for, at det bliver en form for indoktrinering om, at vi ukritisk skal omfavne AI og give afkald på retten til privatliv - jeg tror ikke på, at det på nogen måde vil blive tilladt med opdragelse til kritisk sans på det punkt - snarere tvært imod. Pensum vil være, at AI er et gode - så bare giv os dine data.

En Microsoft-direktør har et debatindlæg i Politiken om fuld fart frem i den offentlige sektor på AI-området:
https://politiken.dk/debat/debatindlaeg/art7019839/Arbejdsgange-i-den-of...

Der skal nok blive lyttet til ham - men ikke til os andre, som har det skidt med udviklingen.

Klavs Klavsen

jeg har desværre bare mistet troen på, at der er nogen fornuftig måde at styre dette "monster" på på anden måde end at slå bremserne lidt i og gå et par skridt tilbage


Desværre så er det lidt som mange andre værktøjer.. (atombomben mv.) - du kan ikke "lige bremse op" - da andre jo nu kender til værktøjet også..

Vi skal bestemt blive ved med at få stoppet alle disse "velmendende tiltag" -som dem med alt for mange data, hele tide kommer med, men det bliver aldrig løst, før vi starter med uddannelse af den brede befolkning. Og det sker kun ét sted.. i folkeskolen. Så det er her vi først og fremmest bør sikre os, at det gøres ordentligt.

Og hvad er det, vi skal lære i skolerne?

  1. At IT KUN er byggeklodser.. 0 og 1'er - der bygges i lag, på lag på lag til at skabe hvad man ønsker.

    • det er altså ikke korrekt at man "ikke kan lave denne tåbelige GUI om til at være mere brugervenlig" osv. osv.
  2. Læren om persondata - når vi nu putter vores egne data i IT - er det super vigtigt at folk forstår hvorfor ALLE har noget at skjule.. historier som Orwell's 1984 mv. - så alle får en forståelse af hvad vi risikerer hvis vi ikke passer på vores data.

  3. Læren om hvor man opdeler i f.ex. den udøvende, lovgivende og dømmende magt - for at de kan forstå hvad godt IT sikkerhedsdesign drejer sig om - istedet for at tro "alt i én "IT magt" er en super god idé. Se også "The Matrix" historien.. (mennesker bygger maskiner, der selv bygger maskiner og pludselig finder maskinerne ud af at mennesker er problemet og egentlig fungerer bedre som batterier for maskiner :)

  • se f.ex. også hvorfor NASA's styrecomputere - baserer sig på flertalsafgørelser.. blandt flere computere ;)
Anne-Marie Krogsbøll

Jamen, jeg kan kun give dig ret i, at det er sådan, det burde foregå, Klavs Klavsen. Jeg ser bare ikke for mig, at det faktisk kommer til at ske - der er for stærke interesser involverede, og det får mig til at slå bak.

du kan ikke "lige bremse op" - da andre jo nu kender til værktøjet også..

Ja - der hvor jeg synes, man godt kunne slå bak, er ved ikke at mase på med yderligere digitalisering på områder, hvor det ikke er absolut uundgåeligt - og ved at erstatte digitale processer med ikke-digitale alle de steder, hvor det faktisk godt kan lade sig gøre - selv om det måske koster lidt (det gør digitalisering jo også). På den måde bliver jo vi mindre sårbare, og skal spekulere på færre angrebsområder for hackere.

Og hvad ligner det f.eks., at Movia har fjernet alt, hvad der hedder køreplaner fra deres standere, og nu henviser folk til enten:

1: Sørg for at være smartphone-ejer, og for at denne er opladet, og at du befinder dig et sted, hvor der er dækning, og hvor der ikke er så meget trafikstøj, at du ikke kan høre, hvad kundeservice siger i telefonen - så kan du altid få næste afgang.

2: Sørg for at eje en computer og en internetforbindelse, sørg for at have tilstrækkeligt godt syn og it-kundskab til at kunne anvende dem, og sørg så for altid at planlægge alle ture i detaljer i god tid, så du hjemmefra har fuldt overblik over alle køreplaner, du får brug for.

3: Sørg for at have en telefon, som du hjemmefra kan ringe til kundeservice fra, så de kan fortælle dig, hvornår den næste bus kommer - hvis du altså har sørget for at have nummeret på stoppestedet ved hånden, og der ikke er en times ventetid til kundeservice - eller det er udenfor åbningstiden.

Hvem har glæde af det? Absolut ikke borgerne - absolut embedsfolk, som sikkert får bonusser for det - absolut de kræfter, som ønsker at afmontere den offentlige transport.

Et andet menneskefjendsk eksempel:

Hvad ligner det - når man nu absolut skal tvangsdigitalisere befolkningen - at man ikke kan finde ud af at have en central registrering af digitalt fritagede, således at fritagelsen gælder for alle kommunikationer fra det offentlige til de pågældende? Hvorfor får man stadig breve fra eks. Skat i e-boks - for Skat gider altså ikke kigge efter oplysninger om digital fritagelse? Og der er mange andre eksempler på det?

Eller hvad med denne: Tving skolebørn til at udlevere deres sjæleliv, og giv det videre til analyseinstitutter.

Det er bare tre eksempler på, at digitalisering intet har at gøre med at servicere befolkningen bedst muligt. Digitalisering er til for topembedsfolk, som kan få store bonusser for at gennemføre den, for politikere, som kan love urealistisk guld og grønne skove på baggrund af den, for økonomiske interesser, som kan bruge den til spekulation over landegrænser, og for samfundets stærkeste. Restgruppen - alle os andre - kan rende og hoppe i digitaliseringens hellige navn.

Klavs Klavsen

Der kan vi jo kun være enige.. tvangsdigitalisering er en absurd idé - og de firmaer der har et monopol (direkte statstildelt eller ej), bør bestemt styres tilstrækkeligt til at vi sikrer at alle borgere kan være med.

Det ændrer bare ikke på, at hvis ikke forståelsen bliver større for disse ting, så får vi nok aldrig et flertal for sådanne fornuftige ting :(

Derfor jeg mener vi bør sikre os at folkeskolen underviser i de nødvendige ting - for ellers er det en tabt kamp.

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize