Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 29. august 2003.
ned på jorden: Det koster ikke så dyrt at blive hacket, som mange - særlig amerikanske undersøgelser - peger på. Investeringslysten, når det gælder it-sikkerhed, er også mindre i Danmark end i udlandet, vurderer CERT i Danmark.
Hvad koster det at blive hacket? Ikke så meget som nogle undersøgelser gerne vil have erhvervslivet til at tro.
- Vi ser ofte tal, ikke mindst fra USA, af endog meget anseelig størrelse. Overføres de til danske forhold skal vi noget længere ned på jorden, siger Preben Andersen, chefkonsulent hos Uni-C og leder af DK-CERT, der overvåger it-sikkerheden i Danmark som en del af det internationale samarbejde Computer Emergency Response Team.
Helt afgørende når omkostningerne skal opgøres, er, hvor længe virksomheden ligger stille som følge af et angreb. Her afhænger omfanget af virksomhedens størrelse.
Er det en blikkenslager i Køge, der er blevet ramt, fordi han har købt sig en server men ingen firewall, så er prisen blot, at han ikke kan udfakturere osv. en dags tid eller to. Plus lidt til at formatere serveren. Er en af Danmarks helt store virksomheder lagt ned, koster det virkelig mange penge at have medarbejderne til at sidde uvirksomme.
- Man må sige, det afhænger af, hvad det er for en virksomhed, og hvor hårdt den er ramt, siger Preben Andersen.
Med i billedet hører, at andelen af alvorlige hacker-angreb med f.eks. professionel industrispionage som formål, kun udgør en lille marginal af angrebene. Selv kender han ikke til nogen danske sager overhovedet. Om end der selvfølgelig er udenlandske virksomeheder, der gerne vil vide, hvad deres danske konkurrenter laver. Hovedparten af hackerne, vel 98-99 pct., er "de unge gutter med kasketskyggen i nakken", som CERT-chefen beskriver dem.
Salig uvidenhed
Med den rene hackervirksomhed sker der typisk det, at virksomheden ikke opdager, den er blevet hacket.
- Langt hovedparten af de hackede aner det ikke. Det er altså ikke forbundet med omkostninger. Så sker der ofte det, at man får en henvendelse fra en anden virksomhed om, at der sker underlige gerninger fra ens hackede maskine. Derpå leder man efter problemet, og det behøver ikke koste voldsomt mange penge at finde og løse. Det kan en medarbejder eller to klare. Således rammer det ikke virksomheden som sådan, siger Preben Andersen.
Hans erfaring er, at danske virksomheder investerer mindre end udenlandske i it-sikkerhed.
- It-sikkerhed bliver sædvanligvis indpasset i den almene fordeling i budgetlægningen, ikke som noget af det højest prioriterede. Selv om mange tror, at ved at sætte fokus på it-sikkerhed bliver der automatisk åbnet for bankboksen.
En af forklaringerne er manglende fokus i direktion og bestyrelse på problemet. Dels fordi hovedvægten lægges på det forretningsmæssige, når it-afdelingen skal købe ind. Dels fordi der er blevet råbt "Ulven kommer!" lidt for mange gange i medierne og fra salgsivrige it-leverandører.
- Ledelserne er så tonedøve over for de sikkerhedsproblemer, som dukker op alle vegne i medierne hele tiden. Det er en væsentlig forklaring på, at der ikke er større opmærksomhed. Man er træt af at høre de salgsbudskaber, der hægtes på. Ledelserne anser udgifter til it-sikkerhed som lidt kedelige. Man tager det skam højtideligt, det skal bare ikke koste for mange penge, siger Preben Andersen.
Han nedtoner nok omfanget af de økonomiske konsekvenser og påkrævede investeringer, men ikke at problemet er alvorligt.
Få en sikkerhedspolitik
- Ingen har interesse i at blive hacket. Og enhver direktion, der siger nej, når it-afdelingen kommer og beder om penge til en firewall, pådrager sig ansvar for potentielt ubodelig skade. Håndterer man personfølsomme data, kan man lynhurtigt få ørerne i maskinen hos Datatilsynet - der i øvrigt selv blev hacket for nylig - hvis man ikke har sikret sig tilstrækkeligt, siger Preben Andersen.
Mens it-leverandører taler for investeringer, plæderer sikkerhedseksperten for, at virksomhederne sørger for at få en sikkerhedspolitik - med klare regler for medarbejderne, registrering af systemerne etc. Og han beklager, at mange virksomheder ikke har nogen.
- Det ligger det desværre overraskende tungt med. Hvorimod man f.eks. med en bilpark til enhver tid vil have styr på biler og benzin og have regler for privat kørsel. Den filosofi, at tingene skal foregå ordentligt, bør også gælde it-området.
