ComputerViews: Vi oplever i disse år nogle af de vildeste og største it-sikkerhedssager, som verden nogensinde har set.
Herhjemme har vi CSC-hacker-sagen, i udlandet har vi set læk af millioner af bruger-konti på én gang, som hos for eksempel eBay, hvor 145 millioner konti blev ramt af et megahack i foråret, mens russiske hackere angiveligt fornylig har stjålet mere end en milliard passwords fra store sites verden over. Hertil kommer, at hemmelig overvågning og privacy-udfordringerne i en tid, hvor alting smelter sammen.
Tidligere har vi set kæmpehacket af amerikanske Target, hvor enorme 110 millioner kunde-konti blev kompromiteret. Eller hvad med hacket af banken JP Morgan i oktober, hvor 83 millioner konti blev ramt.
Sagernes impact bliver så stor, fordi hele verden bliver mere og mere online og flere og flere mennesker bliver koblet digitalt sammen, ligesom de afleverer personlige oplysninger i stor stil til verdens store it-virksomheder.
It-sikkerhed har med andre ord aldrig tidligere fyldt så meget på den globale, digitale dagsorden.
Lad os se på nogle af de ting, som vi kan lære af sitationen.
Vi skal alle forstå alvoren
Det største sikkerhedsproblem for virksomhederne er faktisk ikke teknologi og mangel på teknologiske sikkerhedsløsninger, men derimod de ansatte.
Skødesløshed blandt de ansatte, lemfældighed med oplysninger eller mangel på sikkerheds-procedurer i virksomheden kan være farlige for enhver organisation - også selv om teknologierne er på plads.
Desuden: Ved virksomhedens it-organisation nok om it-sikkerhed? Er der styr på kompetencer, riscisi og løsninger? Eller er det noget, der nok bare 'kører af sig selv.'? Det er væsentlige spørgsmål for dig som CIO.
Et godt eksempel er Rigspolitiets koncern-it, der fornylig modtog lammende kritik fra Rigsrevisionen for sin it-sikkerhed - primært på grund af problemer med mandskabs-procedurerne.
Det kan du læse mere om her: Efter lammende kritik af politiets it-sikkerhed: Sådan vil it-chefen løse problemerne
Du skal kende din kode
Mange virksomheder har gennem de senere år været ganske flittige til at købe sikkerheds-løsninger, som er blevet implementeret i virksomheden og flettet sammen med virksomhedens øvrige løsninger.
Det ligger meget godt i tråd med tendensen om, at it-chefen og CIO'en primært skal fokusere på at sammensætte virksomhedens it-setup på den mest optimale måde fremfor at lade sine folk skrive den selv.
Faren er, at CIO'en mister overblikket over detaljen og koden i de enkelte komponenter.
Ved du for eksempel, hvor præcist i dit setup du har den sårbare version af SSL?
Læs også: Ny alarm: OpenSSL bløder igen
Med andre ord: CIO'en skal kende deres kode og kende de anvendte applikationer til bunds, hvor de andvendes og til hvad, ligesom du skal have en ide om prioriteringen af deres vigtighed i dit setup.
Tro ikke på penetrations-test
Penetrations-test har i mange år været meget udbredte, når man kører sikkerheds-test.
Her tjekker man systemets vandtæthed ved at forsøge at trænge ind i det udefra, og som regel er alle glade og bryster sig af et højt sikkerhedsniveau, hvis det ikke lykkes at trænge ind udefra.
Men man har ikke nødvendigvis høj sikkerhed, selv om man består en penetrationstest med top-karakterer.
I hvert fald kan vi godt gå ud fra, at samtlige de organisationer, der bliver hacket og får stjålet passwords, data og fortrolige oplysninger i stride strømme, har bestået selv ganske avancerede penetrations-test. Og altså dermed burde være sikre og vandtætte.
Grunden skal vi måske finde i, at selv de bedste og mest avancerede penetrations-test og 'white hackere' ikke kan hamle op med hackerne, der hele tiden flytter sig og udvikler nye metoder, som de løbende kan ændre og improvisere ud fra.
Et godt eksempel er fishing-metoderne, hvor hackerne forsøger at narre og snyde passwords og lignende fra godtroende brugere, ligesom 'de gode hackere' - white hackers - måske er mindre villige til at udføre regulære lovbrud - også selv om det drejer sig om test af en virksomheds sikkerheds-mure og lignende - ved eksempelvis at hijacke sites, udgive sig for at være andre, end de er og lignende.
Fysisk sikkerhed skal også være på plads
Er der åbne døre på din arbejdsplads, så alle og enhver kan komme forbi din arbejdsstation og lure på din skærm, din USB-stick, dine forbindelser og dine notater, når du eksempelvis er til frokost eller til møde?
It-sikkerhed er andet og mere end blot at sikre sig digitalt. Det handler også om basal fysisk sikkerhed, som faktisk har en betydning, fordi så mange medarbejdere pludselig hver især udgør en 'adgangsport' til virksomhedens dybere systemer og altså dermed en indgangsvej til ofte vitale dele af virksomheden.
Du skal forberede dig
Med den massive bølge af hacker-angreb er sandsynligheden for, at du bliver hacket, i sagens natur også steget.
Det har på flere måder ændret tilgangen til it-sikkerhed fra at være baseret på en forventning om, at der nok ikke sker noget, til at være baseret på, at der helt sikkert vil ske noget.
It-cheferne er med andre ord begyndt at tænke helt konkret over, hvad de helt nøjagtigt ville gøre, hvis de med sikkerhed vidste, at hackere ville trænge ind i virksomhedens systemer.
Læs også: Sådan forbereder du dig på cyberangreb
Du skal udarbejde en beredskabsplan
Det fører os hen til beredskabsplanen - altså den plan, der skal træde i kraft, hvis hackerne først bryder ind, og der går koks i systemerne.
Hvad nøjagtigt skal der ske i hvilken rækkefølge, når et hack opdages?
Læs også: Danske it-beslutningstagere tager et check på sikkerheden.
Læs også:
Danske virksomheder kan være hacket uden at vide af det
Alle dine browsere er blevet hacket sønder og sammen
Seks gode råd: Få styr på brugerne i dit netværk
Helt afgørende: Sådan får du sikkerheden skrevet ind i kontrakten
