Interview: "Cybersikkerhed er både enormt kompliceret og ret enkelt på samme tid," fortæller sikkerhedsdirektør i CSC, Rasmus Theede.
"Den traditionelle danske virksomhed kan faktisk komme enormt langt gennem disciplin og fodarbejde. Ni ud af ti hændelser kan nok udgås med viden, som vi har haft i mange, mange år. Patch-styring, backup eller styr på data og brugere er jo ikke ny viden."
Jeg er taget på jagt efter historien om, hvordan en af landets største it-virksomheder ser på de allestedsnærværende it-sikkerhedsproblemer, som danskerne står overfor, hvorfor EU-forordningen skal tages alvorligt, og hvad sikkerhedsfolkene i CSC selv har lært af sager som CPR-hacket og tys-tys-kilden?
Det har bragt mig en tur til Retortvej 8 i Valby, hvor jeg besøger en af de mest indflydelsesrige sikkerhedsfolk i kongeriget for at høre om erfaringerne og om it-sikkerhed fra den øverste hylde.
Rasmus Theede, der er chef for firmaets afdeling for cybersikkerhed i de nordiske lande og den baltiske region, tager venligt imod i receptionen og tilbyder den obligatoriske kop kaffe, før vi indtager hver sin side af mødebordet i hans kontor, der ligger på tredje sal i den store hvide bygning i udkants-København.
Siden 1. juli 2016 har han været indehaver af det kontor, efter han forlod et lignende job hos konkurrenten KMD.
Læs også: KMD's sikkerhedschef stopper - har fået topjob hos konkurrent
Ansvaret for sikkerheden for CSC's tjenester og kunder hviler på hans skuldre ved siden af ansvaret for en familie med tre børn, en igangværende MBA-uddannelse og deltagelse i fire offentlige råd om digital sikkerhed.
"Der er nok at se til," som han siger.
Under konstant beskydning
Hvor ofte bliver CSC egentlig udsat for angrebsforsøg på it-fronten?
"Det er svært at sige, for det er oftest vores kunder, der bliver angrebet. Men da vi har mange offentlige kunder, så står vi overfor mange forskellige udfordringer. DDoS, hacking, ransomware."
"Vi har det hele under radaren. I sidste uge fik et hav af offentlige institutioner en trussel om, at hvis de ikke betalte et beløb, så ville de blive udsat for DDoS-angreb. Der er hele tiden noget."
Hvordan ser et sikkerheds-setup ud til at modstå den udfordring?
"Vi har et standardskjold, men oven på det så handler det meget om individuelle løsninger til den enkelte kunde.
Hvordan finder I den rigtige balance på en løsning, så den passer til den enkelte virksomhed?
"Det er faktisk et spørgsmål, som berører hele sikkerhedsbranchen. For det første skal man snakke sikkerhed og ikke teknik. Det hjælper ikke noget at slynge om sig med termer, som ingen rigtig forstår. Sikkerhedsfolk skal forstå hvor data ligger, hvordan arkitekturen er eller hvilke trusler, branchen står overfor. Det er hjemmearbejde," siger han.
Det lyder som om sikkerhedsløsninger handler mere om tillid og forberedelse end om hardware?
"Der er tre ting. Gennemsigtighed i løsningen, forventningsafstemning mellem leverandør og kunde samt tillid til, at dit sikkerhedsfirma er dygtig nok til at tage hånd om udfordringerne og finde de rigtige teknologier. Der er mange i sikkerhedsbranchen, der bare vil sælge dimser."
Er sikkerhedsbranchen det vilde vesten?
"Ja, på nogle områder. Derfor er tilliden mellem leverandør og firmaet vigtig. EU's General Data Protection Regulation (GDPR) forsøger også at sætte regler op for sikkerhed, men den løser ikke alle problemer."
Borgeren er vigtigere end loven
Hvad er svagheden i EU's forordning, der træder i kraft i 2018. Den sætter jo både retningslinjer for krav og sanktioner?
"Det er nok mere opfattelse af, hvordan den skal fortolkes, der er svagheden."
Det må du forklare.
"Lige nu går snakken meget om det tekniske og om bøder. Vi har glemt, at EU har vedtaget forordningen for at beskytte den enkelte borger. Det må være udgangspunktet."
Så det fokus, der er på EU-forordningen, er lidt skævt i forhold til hensigten?
Ja. Det kan blive til en papirtiger. Når man tænker sikkerhed, så skal det gøres for at beskytte den enkelte borger og ikke for at opfylde nogle regler. Hvis man kun ser på, om revisionen er tilfreds, så bliver det aldrig rigtig godt."
Er juristerne og revisionsselskaberne ved at æde sig ind på dette område og gøre det til en juridisk diciplin formfor en sikkerhedsopgave? Er det et skråplan, der gør det endnu mere besværligt at kommunikere mellem forretning, it og nu også jurister?
"Juraen er vigtig at have med, men vi skal passe på, at det ikke bliver til en juridisk øvelse. GDPR skal være en aktiv indsats for at beskytte borgeren. Det skal ikke være en aktiv indsats for at overholde en lovgivning."
"Det handler om at gøre sit hjemmearbejde som at udstikke reglerne, uddanne medarbejderne og sørge for compliance. Digital protection officer må ikke blive en elfenbensstilling."
Er juristerne ved at gøre GDPO til en juridisk opgave?
"Nej. Jeg vil ikke klandre juristerne for at være for langt fremme. Det er nok it-sikkerhedsfolkene, der skal huske at rykke med. Vi skal snakke løsninger i stedet for at kopiere de slides, som juristerne bruger. Juristerne kan fortælle hvorfor, så kan sikkerhedsfolkene finde løsningerne."
Er der en risiko for, at lovgivningen ligefrem bremser for sikkerheden. Hvis bare reglerne er opfyldt, så er virksomhederne ligeglad med, om den enkelte person er beskyttet?
"Det er der en risiko for, men så mangler vi en mening med, hvorfor vi gør det. Vi skal stadig tænke os om, selv om der er en lovgivning. Hvis man bare overholder lovgivningen, så er det kun lige bestået. Vi skal tage ansvaret og gå efter et 12-tal, ellers taber vi kapløbet."
Teknologi kommer til sidst
Hvis teknologien ikke er det vigtigste fokusområde, hvad er så? Hvor fokuserer I?
"Teknologi skal bare understøtte behovet. Det vigtige er samtalen, der kan opklare hvor langt, den enkelte virksomhed er. Herefter skal firmaet have sin it-hygiejne på plads. Du skal patche, du skal have styr på dine brugere, du skal have sikkerhedsregler eller en tegning over dit netværk. Når det er på plads, kan man fylde teknologi ind i ligningen. Det er en fejl, hvis man starter med teknologi."
Hvor vigtige er de basale sikkerhedsregler som styr på netværk, data eller patching?
"Jeg tror, at ni ud af ti sikkerhedsproblemer kan undgås ved at have de basale ting på plads. Ransomware er et eksempel. Har du en backup, så er problemet ikke så slemt. Har du ikke en backup, så kan det være katastrofalt."
"Et andet stort problem er miskommunikation mellem it og forretningen. De er nødt til at afstemme forventningerne og tale samme sprog."
Hvordan gør de det?
"Når en sikkerhedsmand kommer og siger, at der er 1,2 sårbarheder per server, så er forretningen stået af. I stedet må vedkommende forklare, hvad det betyder. At det kan koste penge for en kunde eller, at virksomheden kan risikere en bøde, hvis hullerne ikke bliver lukket. Begge parter skal gøre sig umage med at snakke tydeligt og forstå hinanden."
Hvordan bekæmper I helt konkret sikkerhedsproblemerne?
"Vi er en kæmpe it-virksomhed med et stort internationalt sikkerhedslag. Sikkerhedsanalytikere, efterforskere og folk, der konstant holder øje med hvad, der sker på nettet eller kigger på log-filer. Det bagland bruger vi i stedet for at bygge vores egen lokale løsning, hvilket er tilfældet i de fleste danske selskaber."
"Jeg vil gerne bruge de internationale muskler og kombinere dem med den skandinaviske måde at snakke sammen på."
Så du har en sikkerhedspulje liggende, som du kan trække på?
"Præcis."
Dækker disse oplysninger også vores lille landområde?
"Ofte er de langt foran hvad, der sker her. Der er både FBI, MI5 og alle mulige andre tunge organisationer, der kan byde ind. Der kan selvfølgelig opstå lokale udfordringer, som vi må se på, men det giver mening, at vælge noget, der er gennemprøvet fremfor noget, som vi selv skal stykke sammen."
Usikkerhed er et grundvilkår
Det er ingen hemmelighed, at I selv har prøvet at blive ramt af sikkerhedsindbrud eksempelvis i forbindelse med CPR-hacket og tys-tys-kilden fra Se og Hør. Er i blevet klogere efter disse episoder?
"Det har vi lært meget af, men det er der også mange andre, der har. I forbindelse med Se og Hør-sagen lå alle virksomheder eksempelvis vandret for at sikre, at noget lignende ikke kunne ske hos dem," siger Rasmus Theede.
Er det det værste I har været ude for?
"Jeg har kun været her i fire måneder, så det er svært at sige, men personligt har jeg oplevet flere alvorligere eksempler, der er blevet håndteret internt."
Så man kan godt blive overrasket en gang i mellem, selv om man er sikkerhedsmand?
"Ja, selvfølgelig. Det er et grundvilkår, som vi må acceptere. Infrastrukturen er super-kompleks, og vi er hele tiden bagud i forhold til de it-kriminelle. De skal bare gætte rigtigt en gang. Vi skal gætte rigtigt hver gang."
""Tænk på NSA. De bruger milliarder på sikkerhed, men havde en Edward Snowden. Så skal vi være klart til krisehåndteringen, når problemerne dukker op, for man kan ikke planlægge sig ud af alle hændelser."
Så du kan ikke garantere, at der kommer en lignende sag?
"Der er ingen, der kan garantere sikkerhed. Hvis din leverandør siger det, så find en anden."
Læs også:
Det store CSC-hack: Datatilsynet klar med hård kritik af Rigspolitiet
"Man burde undersøge CSC i stedet for en retssag mod hackere"