Det er efterhånden ikke til at vide, hvad man skal tro.
Næsten hver uge bringer medierne nyheder fra sikkerhedseksperterne om endnu et truende angreb. Først erobrede Downandup-ormen tæt på 10 mio pc'er i verden, i følge sikkerhedsfirmaet F-Secure. Nu har kriminelle åbenbart overtaget kontrollen med mere end 8.000 danske pc'er, som derefter blev udelukket fra danske netbanker.
Hvad skurkene kontant får ud af deres hærværk, det vides ikke. Men jeg tvivler på, at der på nogen måde er tale om en milliardomsætning, samlet set. Selv om den sidste idiot ikke er født, så kan der næppe fuppes for trecifrede millionbeløb ved hjælp af løfter om gevinster i ikke-eksisterende lotterier, eller ved at sælge byggeaffald forklædt som potenspiller. Og mig bekendt er der meget, meget langt mellem vellykkede tømninger af hjemmebankkonti.
IT-sikkerhedsfirmaerne udgør derimod med sikkerhed en milliard-industri. Dermed har de et økonomisk incitament til at male situationen meget sort. Teoretisk set kan det vel heller ikke udelukkes, at brådne kar rent faktisk bidrager til problemet? I det mindste er en del af sikkerhedsadvarslerne fra anti-virusfiltrene falsk positive. Som det var tilfældet med de mange sikkerhedsadvarsler fra CAs Etrust produkt i sidste uge.
I går fulgte jeg mange mediers anbefaling om at køre F-Secures online-scanning på mine pc'er der hjemme. Da de er af ældre dato, kørte kontrollen det mindste af natten. Det eneste, der kom ud af det, var en række nonsense-fejlmeddelelser. Disse ville med sikkerhed skræmme livet af it-novicer.
Jeg er overbevist om, at langt, langt de fleste sikkerhedsfirmaer driver deres virksomhed ud fra reelle hensigter. Men sikkerhedstrusler - og især deres konsekvens - er meget svært gennemskueligt stof. Og det er i dag sikkerhedsfirmaerne, der dominerer nyhedsstrømmen. Med budskaber om at situationen forværres time for time.
Ressourcestærke virksomheder kan bruge penge og mandtid på at forholde sig til de enkelte trusler: Deres konsekvens og hvordan de bedst imødegås. I min virksomhed har vi brugt rigtigt mange ressourcer på at slukke ildebrandene efterhånden som de opstod. Og vi kommunikerer rigtig meget internt, om hvad man må gøre - og især ikke gøre - med sin pc.
Men hvad skal mindre virksomheder eller privatpersoner egentlig stille op?
Samtidig betyder de mange stramninger af sikkerheden på pc'er (og mac'er) i min organisation, at de er blevet væsentligt mere sløve. Både når de booter og i almindelig brug. De mange viruscheck stjæler simpelthen for mange hardware-ressourcer,
Vi har derfor alle brug for en løbende, neutral vurdering, af hvad vi kan og bør stille op mod de forskellige trusler. Hvem kommer med den i Danmark?
Endelig har vi behov for at skurkene bag de enkelte orme fanges og retsforfølges. Så svært kan det altså ikke være at finde banditterne, hvis man virkelig vil. Men hvorfor bliver der fanget så få? Er det fordi politi og efterretningstjenester prioriterer andre ting højere?
Lad os håbe at de ansvarlige for vurdering af truslerne og jagt på slynglerne snart vågner op til dåd!
___
Per Palmkvist Knudsen er it-direktør i JP/Politikens Hus A/S
Premium
Her er de tre største it-sikkerhedsudfordringer for bestyrelser: ”De fleste ved ikke, hvilken risiko de står overfor”