Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 27. januar 2006.
Danskerne scorer relativt lav i kendskab til, forståelse for og efterlevelse af it-sikkerhed. Den avancerede og fleksible it-anvendelse, der skal forbedre Danmarks konkurrenceevne presses af dårlig it-sikkerhedskultur.
Færre men mere sofistikerede angreb. Det er det aktuelle trusselsbillede, som Security Services Leader i IBM Global Services Nick Coleman tegnede, da han i denne uge præsenterede selskabets årlige Global Business Security Index Report, som analyserer den globale it-sikkerhedstilstand på baggrund af materiale fra koncernens 3.000 eksperter på området.
Alene i Danmark sidder der 300 it-sikkerhedseksperter hos IBM. De kan konstatere, at antallet af virus i e-mails er halveret i forhold til 2004. Til gengæld er de blevet mere ondskabsfulde og ofte led i professionel it-kriminalitet.
- Som forbruger kan man opleve at blive inficeret med virus, som har til formål at indsamle personlige data på computeren og bruge dem som afpresningsmiddel, fortalte Nick Coleman.
Et billede der bekræftes af udviklingschef Mikko Hypponen fra it-sikkerhedsfirmaet FSecure. Han beretter om eksempler på den slags virus, som målrettes ganske få modtagere, så distributionen ikke ryger i de såkaldte "honningkrukker", som sikkerhedsfirmaerne bruger til at opspore nye virus-angreb.
Både Mikko Hypponen og Nick Coleman peger på et skifte på it-sikkerhedsområdet fra hærværksmænd i form af teenagere og nørder til organiseret kriminalitet begået af organiserede bander. Den udvikling bekymrer også it-sikkerhedseksperter i Danmark, hvor det nu nedlagte Rådet for IT-sikkerhed i denne uge udsendte sin sidste årsberetning.
- Vi mener, at det er helt afgørende, at it-sikkerhed i Danmark kommer højere på dagsordenen end hidtil. Sker det ikke, risikerer vi, at en stor del af befolkningen bliver utryg ved den nye teknologi, og det vil hindre udbredelsen af nye og mere effektive systemer både i erhvervslivet og hos det offentlige, skrev rådets formand Allan Fischer-Madsen i sin præsentation af årsberetningen.
Samtidig offentliggjorde Videnskabsministeriet på www.netsikker.nu en analyse af befolkningens kendskab til, forståelse for og efterlevelse af it-sikkerhed - en såkaldt KFE-analyse fra virksomheden Parkegaard og Kristensen Sikkerhed i Århus. Analysen er foretaget på baggrund af data fra en undersøgelse i maj 2005.
Men KFE-analysen indekserer altså resultaterne efter en værdisætning, som er aftalt med Rådet for IT-sikkerhed og Videnskabsministeriet. En aftale der i dette tilfælde betyder, at indeksværdierne skal være mellem 80 og 100 for at være acceptable. Mellem 60 og 79 er de acceptable, men opmærksomheden bør være større og mellem 50 og 59 er der en vis opmærksomhed om it-sikkerhed, men ikke nogen grundlæggende forståelse for området.
Det overordnede resultat for analysen blev:
• Kendskabsindeks: 57
• Forståelsesindeks: 63
• Efterlevesesindeks 51
"Det indikerer, at der i respondentgruppen/befolkningen til en vis grad er forståelse for, at it-sikkerhed er et vigtigt område, men også at der er langt til et niveau, hvor it-sikkerhed har betydning for den enkelte bruger."
Sådan lyder hovedkonklusionen i KFE-analysen, der også analyserer KFE-indeks for køn, alder og uddannelse. Data som skal danne grundlag for fremtidige indsatsområder.
Det manglende kendskab til it-sikkerhed og frygten for organiserede kriminelle aktiviteter, risikerer både at smitte af på danskernes lyst til e-aktiviteter fra indkøb på nettet til anvendelse af det offentliges borgerbetjening samt virksomhedernes anvendelse af it til at skabe øget videndeling og fleksibilitet. Som mangeårig iagttager af danskernes e-aktiviteter understreger professor Niels Bjørn-Andersen fra Copenhagen Business School, at skrækhistorierne hænger ved længe og påvirker adfærden, selvom de positive oplevelser ved et godt køb eller en nem betjening hos det offentlige trækker ligeså meget i den anden retning.
Ifølge Brian K. Birkvald, der er security principal i IBM's sikkerhedsgruppe, så er manglende it-sikkerhedskultur hos medarbejdere skyld i mellem 70 og 80 procent af alle de hændelser, som ødelægger eller kompromitterer en virksomheds it-sikkerhed. Han peger på, at mobilitet, fleksibilitet og videndeling udgør en høj it-sikkerhedsrisiko, fordi de færreste virksomheder aktivt arbejder med politikker for dokument- og datahåndtering og dermed har regler for, hvordan virksomhedens viden skal håndteres i alle hjørner af moderne netværksteknologi.
Læs også temaet om virus side 12-13
