"Det kan være fuldstændig ligegyldigt at bruge store summer på firewalls, og hvad man ellers kan få, hvis man ikke har styr på, hvad der foregår bag murene og har etableret en fornuftig sikkerhedskultur. Og det har man ikke i mange danske virksomheder".
Sådan vurderer Jakob Scharf, der tidligere har stået i spidsen for Politiets Efterretningstjeneste, kortfattet det danske erhvervslivs helt store udfordring med it-sikkerhed.
I dag er han direktør i sikkerhedsfirmaet CERTA, som han stiftede efter at have forladt PET i 2013.
Med sig tog han en række folk fra forskellige grene af efterretningsapparatet, og CERTA hjælper blandt andet store danske virksomheder med at få overblik over, hvor godt (eller dårligt) det står til med it-sikkerheden.
Ifølge den tidligere PET-chef griber de danske virksomheder grundlæggende sikkerhedsspørgsmålet helt forkert an.
"Virksomhederne starter simpelthen det forkerte sted. Det giver ingen mening at købe it-sikkerhedsprodukter, hvis du ikke først sørger for at have et klart overblik over, hvad du skal beskytte, og hvad du skal beskytte det fra," siger Jakob Scharf til Computerworld.
"Investeringerne er spildt, hvis du ikke uddanner medarbejdere i at tænke over, hvad de deler på sociale medier, hvilke mails de klikker på, og hvem der bør have adgang til hvilke data. Den kultur skal etableres som det allerførste skridt," tilføjer Jakob Scharf.
It-sikkerhed? Mig?
Når Scharf og CERTA laver en gennemgang af danske virksomheders sikkerhed, er der særligt en ting, der altid får alarmklokkerne til at ringe og peger på, at den sandsynligvis er gal med sikkerheden: Når ledere og menige medarbejdere er uenige om sikkerhedsniveauet i virksomheden.
"Jeg oplever meget ofte en enorm forskel på ledelsens opfattelse af medarbejdernes sikkerhedsbevidsthed og medarbejdernes oplevelse af deres egen rolle i forhold til informationssikkerheden," siger Jakob Scharf og uddyber:
"Den øverste ledelse vil som regel sige og forvente, at medarbejderne er meget sikkerhedsbevidste og tager alverdens forholdsregler. Men medarbejderne vil som regel have en opfattelse af, at it-sikkerhed er noget, de ordner ovre i it-afdelingen, og at det ikke har noget med dem at gøre. Og så du et problem".
Jakob Scharf erkender, at det kan lyde langhåret at snakke om kultur i stedet for konkret it-sikkerhed, når man nu driver et sikkerhedsfirma.
Men han påpeger, at de fleste brud på informationssikkerheden i større organisationer bunder i, at nogen internt i virksomheden har gjort noget forkert.
Det er interne personer, der klikker på den forkerte mail og får installeret ransomware. Det er ansatte der i god tro reagerer på en falsk email fra chefen og overfører penge fra virksomheden til kriminelle.
Det bedste forsvar er derfor, ifølge Scharf, at skabe en bevidsthed på alle niveauer i virksomheden om, at sikkerhed er vigtigt, ligesom der skal etableres fuldstændig klare arbejdsgange og regler for, hvem der har adgang til hvad fra hvilke enheder. Først derefter bliver det relevant at tale om, hvilken it-sikkerhed man eventuelt bør købe.
"Jeg tror sådan set, at NSA har meget godt styr på den tekniske it-sikkerhed. Men pointen er, at hvis en medarbejder bare kan sætte et USB-stik i en computer og tage informationer med ud af organisationen, så kan det jo være lige meget," siger Jakob Scharf og refererer til, hvordan Edward Snowden kunne stjæle og lække fortrolige NSA-dokumenter og værktøjer.
