Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 29. august 2003.
virkelighed: Hackerangreb og skræmmebilleder - dagligdag og irritationsmomenter for en ganske almindelig virksomhed.
D har prøvet lidt af hvert. Og været nødt til at forholde sig til problemstillinger, hans virksomhed slet ikke var gearet til. For man kan ikke ignorere it-sikkerhed, selv om man hellere vil sælge vandhaner.
Som medejer af et stort, sjællandsk VVS-firma sælger D vandhaner og alskens andet godt fra blikkenslagerverdenen. Men hackere og udøvere af anden fjendtlig it-virksomhed har gennem årene gjort, hvad de kunne for at obstruere arbejdet. Og gennem otte år foranlediget, at sikkerhedsandelen af it-budgettet blev øget fra ingenting til omkring 25 pct. af de nu mellem 1 og 1,5 mio. kr.
D, der beder om anonymitet til denne artikel, husker, da virksomheden med dens 30-40 medarbejdere fordelt på fem afdelinger og et hovedkvarter gik fra faste linier mellem afdelingerne til ADSL og fik hul igennem til nettet.
- I starten gik det fint med at bruge internettet som bærevej, men pludselig blev det langsommere og langsommere. Vi fandt ud af, at vores firewall ikke var konfigureret godt nok. Den var under hårdt pres af nogle, som søgte at komme ind i systemet.
Afsenderadresserne var de første gange internetudbydere i lande som Israel og Brasilien - altså folk man ikke kunne finde frem til. Tredje gang var det imidlertid en stor jysk it-virksomhed.
- Vi ringede over til dem og spurgte, hvad de lavede på vores netværk, og hvad meningen var med deres forsøg på at komme ind i virksomheden. Da vi gav dem IP-nummeret på synderen, viste det sig at være en maskine, der stod i et hosting-center og ikke blev brugt. Den var selv blevet overtaget og stod så og forsøgte at overtage andre svage maskiner.
Overlagt virusangreb er også med i det it-sikkerhedsmæssige rædselskabinet.
- To gange er vi blevet lagt ned af konkurrenter med virusangreb. Ved det seneste for et års tid siden kom der fra deres domæne pludselig en bølge af emails med et hav af virus til samtlige email-adresser i vores virksomhed. Vi oplevede det som decideret ondsindet, selv om det var kluntet lavet, fortæller D. Han erkender, at han ikke ved, om det var med overlæg. Men, som han siger, så virkede det umådeligt påfaldende.
D er nok træt af hackere, men han lyder omtrent lige så træt af de it-sikkerhedsfirmaer og -konsulenter, hvis mission det er at bekæmpe dem. Man skal ikke lade sig skræmme af dem til at lade hensynet til it-sikkerhed gå forud for forretningen, er hans konklusion.
- Hvis vi skulle havde prioriteret it-sikkerhed først hver gang, højere end hvad vi har gjort med flere afdelinger, intelligente servicevogne, e-handel og alt muligtÉ Hvis vi skulle have taget sikkerhedsbrillerne på først hver gang, var vi aldrig kommet i gang med noget som helst. Vi havde aldrig solgt så meget som en vandhane over nettet. For så var vi blevet skræmt ned i skyttegravene af it-sikkerhedssælgere og havde brugt alle pengene, og vi havde aldrig turdet noget som helst.
Omkostningerne
Omkostningerne til konkrete hacker- og virusangreb har trods alt været begrænsede. Systemet har været lagt ned en dags tid, hvilket har givet et produktionstab. Dertil kommer nogle timer til folk, der kom ind for at rydde op.
Den sikkerhedsmæssige vedligeholdelse af systemerne hos det sjællandske VVS-firma er ikke struktureret, om end firewall'en jævnligt bliver tjekket.
Til gengæld har firmaet en it-sikkerhedspolitik - det var nødvendigt som konsekvens af hacker- og virusangrebene. Der er f.eks. regler for åbning af filer i mails og for surfing.
- Medarbejderne er skolet i ikke at gøre noget ufornuftigt. Besøge pornosites og den slags. De bliver fanget hver gang, når de overtræder reglerne. Busted! Og så gider de ikke igen, for det er bare for pinligt. Det har luget mange problemer væk, så der i hvert fald ikke internt er de store problemer, siger D.
