Kaspersky Security Analyst Summit: "Sikkerhedsbranchen gør ikke dens arbejde ordentligt, og det betyder, at folk ikke får den nødvendige sikkerhed på deres maskiner og i netværket."
Så kontant udlægger David Jacoby, der er sikkerhedsforsker i sikkerhedsfirmaet Kaspersky, tingenes tilstand.
"Branchen er fyldt med tomme løfter og dårlige undskyldninger," siger han til Computerworld.
Kan du give et konkret eksempel?
"Der er eksempelvis myter om, at passwords er svære at huske og om, at it-sikkerhed koster en masse penge. Det koster langt fra så meget, som folk går og tror. Firmaerne bruger for mange penge, fordi de ikke ved, hvad de skal bruge pengene på," fortæller han.
Kan du give et eksempel på det?
"Hvis du hyrer et hold penetrationstestere, så koster det eksempelvis et sted mellem 1.500 og 2.000 kroner i timen. Du sætter dem til at hacke dit netværk eller nogle udvalgte maskiner og efterfølgende udarbejde en rapport," begynder han.
"Men tænk engang, hvis de ansatte i virksomheden dokumenterede al deres viden om netværket på forhånd. Det er trods alt dem, der kender netværket. Giv dem en flaske vin for hver svaghed, de finder, så skal du bare se løjer."
Det er win-win
Men behøver således ikke at sætte sikkerhedsfolk til alt. Der er meget, du selv kan gøre for at øge sikkerheden i netværket, lyder hans pointe.
"Jeg har foretaget penetrationstests i 15 år og hver gang, vi har afleveret en rapport, var der folk i ledelsen eller it-teamet, der sagde, at flere af problemerne allerede var kendt. Du betaler altså for noget, som du allerede ved. Lad os sige, du finder halvdelen selv, så kan du spare halvdelen af udgiften eller få ny viden for pengene."
Så man kan altså spare penge ved at åbne øjnene på de folk, man allerede har?
"Ja. Samtidig spilder du konsulenterne deres tid. Så det er win-win. Når du ansætter konsulenterne, kan du give dem den rapport, som du selv har lavet, så kan de tage fat på ukendte problemer."
Er almindelige ansatte gode nok til det?
"De er måske ikke hardcore testere, men de kender netværket, og det er en god start i fejlfinding. Ligeledes er det god uddannelse af dit eget personale, der får et ejerskab til netværket."
Kan du give andre eksempler på, hvordan virksomheder kan spare penge?
"Masser af firmaer køber både software og hardware, men de aner ikke, hvordan det virker eller skal konfigurereres. Så læs manualen, skift default password og andre lavt hængende frugter. Det kan du spare mange penge på."
Og bare et stærkt password kan betyde forskellen mellem at blive hacket eller ej, mener den svenske sikkerhedsekspert.
Læs også: Danskerne er de dårligste i Europa til password: Sådan får du en sikker adgangskode
"Skab nogle gode regler for dine password. Det skal være nemt at huske for dig og svært at gætte for andre. Og brug ikke det samme password til Facebook og til din admin-konto."
Gammel viden bringes videre
Hvorfor tror du så, at virksomhederne køber software?
"Der er et kæmpeproblem i branchen. Du får altid at vide, hvad produkterne kan, men aldrig hvad de ikke kan. Og det er jo her problemerne opstår."
Men der er vel en grund til, at tingene er, som de er?
"Sikkerhedsfolk har hjernevasket folk i gennem årtier med gammeldags information. Ligeledes skriver journalisterne bare hvad, sikkerhedsfolkene siger, så folk ikke møder andre synspunkter. "
Ansvaret er vel i sikkerhedsbranchen?
"Helt sikkert. Sikkerhedsfolk er nok ikke de bedste til at kommunikere uden nødvendigvis at sælge produkter eller services. Det skal selvfølgelig læres."
Er det fordi, det er kompliceret stof?
"Det er ikke kompliceret at skabe et password. Det kan enhver. Men hvis du giver dit password væk, så er der intet sikkerhedsprogram i verden, der kan beskytte dig mod, at andre kan logge ind på din konto. Så simple er de basale færdigheder. Det er bare at gå i gang."
Læs også:
Teknik er ikke nok mod ransomware-angreb: Her er fem veje til moden it-sikkerhed
Internet of things er på trapperne: Fem skridt mod bedre sikkerhed
Der skal turbo på it-projekterne: CIO vil have løsningerne leveret på få dage
Se listen: Her vil CIO'erne prioritere it-investeringerne i 2016