Cybertrusler er her, der og alle vegne. De vokser år for år. Og også helt almindelige danske virksomheder er i fare for at blive ramt – også selvom de bare er tilfældige forbipasserende.
Udfordringer er der nok af. Og det samme gælder it-sikkerhedsløsninger, som du hurtigt kan købe dig fattig i.
Derfor har vi skabt Security Central, en podcast hvor vi over 10 episoder, sammen med en række eksperter giver gode råd om de it-sikkerhedsudfordringer, som helt almindelige danske virksomheder oplever.
Husk også du kan abonnere på Security Central på iTunes (link), Spotify (link) eller RSS (link)
Husk: Vi hører meget gerne, hvad du syntes om den konkrete episode og/eller modtager forslag til spørgsmål og ideer til kommende episoder. Så tøv ikke med at sende en mail til lja@cw.dk med din feedback eller din ide.
1. Her er de aktuelle cybertrusler
I denne første episode stiller vi skarpt på det aktuelle trusselsbillede. For hvordan ser it-trusselsbilledet ud lige nu for en almindelig dansk virksomhed? Er virus stadig et problem? Og hvad med cryptolockers, politisk motiverede angreb, defacing, DDOS og alle de andre sikkerhedsklassikere?
Det ved denne episodes gæst, Christian Dinesen. For Christian arbejder som Senior Security Architect hos NNIT – et af Danmarks største it-firmaer – så læn dig tilbage og lyt med når Christian deler ud af sin store viden om it-sikkerhed.
2. En sur gammel it-sikkerhedschef taler ud: Hvorfor har I ikke mere styr på kulturen?
It-sikkerhed handler for det meste om computere, om hackere og om trusler der kan opgøres i bits og bytes.
Men spørger du sikkerhedsrådgiver, og tidligere global sikkerhedschef for Sony Mobile, Ken Bonefeld Nielsen er det kun halvdelen af historien.
For it-sikkerhed handler ikke kun om it. Det handler også om at skabe en sikkerhedskultur. En kultur der handler om ordentlighed helt ude på parkeringspladsen, om at få ledelsen til at bakke op og om at it-sikkerhed også er sjovt og spændende.
Så lyt med når vi sammen med Ken Bonefeld finder vi frem til de vigtigste ingredienser der skal til for at skabe en stærk sikkerhedskultur.
3. Kender du din virksomheds risikoprofil? Sådan finder du og arbejder med den
Ud over de klassiske trusler fra medarbejdere og ikke opdaterede maskiner er der også lige de kinesiske statshackere, snedige østeuropæiske it-kriminelle og de tilfældige angreb, som det der ramte Mærsk i 2017.
Så ja, man kan sagtens få lyst til at trække netstikket ud, slukke computeren og hive skrivemaskinen ud af arkivskabet.
Men stop lige inden du stor-køber frimærker og gær. For din tid og dine penge er bedre brugt op at finde hullerne i din virksomheds digitale forsvar.
Det ved Thomas Wong – for han har de sidste 15 år besøgt danske og europæiske virksomheder for at finde deres sikkerhedshuller – og har derfor efterhånden en af Danmarks stærkeste tilgange når det kommer til it-sikkerhed – en tilgang vi skal tale mere om i denne epsiode.
4. Sonja lever af at sende phishing-mails til sine kolleger i Ørsted
De fleste cybertrusler kommer ind via virksomhedens hovedindgang og sætter sig direkte foran skærmen.
For selv efter tusindvis af artikler om it-sikkerhed, oplæg og awareness-kurser tager medarbejderne stadig USB-sticks med hjemmefra og klikker løs på rigtigt mange af de spændende mails, som de modtager.
Nogle af angrebene kan tages i opløbet med smarte softwareløsninger – men i sidste ende er det kollegaerne, der skal klædes på.
Hos den store energivirksomhed Ørsted er det Sonja Beijneveld, der med en stillingsbetegnelse som ”Awareness Communication Consultant” har den opgave.
Så lyt med i dette afsnit, hvor Sonja Beijneveld deler ud af sine erfaringer med at etablere opmærksomhed fra gulvet til direktionsgangen - uden at du ender som den sure it-mand med skabet fuld af forbud.
5. Peter Kruse finder de typiske fejl i it-sikkerheden, som virksomhederne overser
Peter Kruse er en af Danmarks mest erfarne sikkerhedsfolk. Han er medstifter af den danske it-sikkerhedsvirksomhed CSIS. Og så er han et sandt orakel inden for it-sikkerhed.
Det er godt. For det er der brug for. Derfor er vi draget til Peter Kruses hjemby, Skanderborg, for at tale om virus og fejl.
For hvor stor er truslen fra virus i dag? Er antivirus stadig nødvendigt? Og hvad er formålet med de moderne vira?
Og mens it-kriminelle kan være snedige, så udnytter de ofte de fejl, som andre har efterladt.
6. Lone Juul Dransfeldt Christensen er certificeret hacker. Sådan gør hun B&O sikrere
It-sikkerhed er i alt for høj grad en defensiv strategi hos danske virksomheder.
Det betyder at mange virksomheder køber sikkerhedsforanstaltninger eller opdaterer software uden at teste om løsningerne nu også virker.
Spørger du Lone Juul Dransfeldt Christensen så er resultatet, at virksomhederne går rundt med en falsk tryghed om at alt er som det skal være.
Og det er det ofte ikke.
Det ved Lone Juul Dransfeldt Christensen for hun er certificeret hacker og har arbejdet for både konsulenthuse og store it-virksomheder med at teste huller i virksomheders it-sikkerhed. Senest for B&O hvor Lone arbejder som sikkerhedsarkitekt.
Så lyt med på denne episode af Security Central hvor vi går fra forsvar til angreb – og hører hvorfor det giver god mening, også økonomisk, at hacke sig selv.
7. 500 brugere fra Københavns Universitet faldt i en pshishing-fælde: Sådan undgår de at det sker igen
I juli 2019 blev Københavns Universitet ramt af et phishing-angreb.
Angrebet bestod af en vellignende mail, en besked om at der var mails, som ikke kunne nå frem og så et link man kunne klikke på.
Linket var dog hverken til supporten eller brugerens mailboks. Men ledte i stedet de uheldige ansatte videre til en side, der til forveksling ligner en officiel side fra Københavns Universitet.
På den falske side blev brugerne så bedt om at logge ind. Noget som mere end 500 brugere gjorde - uden at vide, at deres brugernavn og passwords reelt blev udleveret til de it-kriminelle bag angrebet.
Samtidig var angrebet så gennemført, at det var først da de stjålne brugerinformationer blev offentligt tilgængelige på internettet at KUs vicedirektør for IT, Klaus Kvorning Hansen og hans kollegaer, opdagede angrebets omfang.
Siden har Københavns Universitet arbejdet målrettet for at opdrage brugerne, lukke for suspekte links og gennemse sikkerheden. Et stort arbejde i en hvilken som helst organisation.
Og et arbejde som du kan høre Klaus Kvorning Hansen fortælle om i denne episode af Security Central. For husk: Phishing kan ramme os alle.
8. Det burde ikke komme som en overraskelse, men du er OGSÅ ansvarlig for sikkerhed i clouden
De fleste danske virksomheder anvender en eller anden form for cloud-tjeneste.
Enten direkte, ofte som kunde hos Amazon Web Services, Microsofts Azure eller Googles cloud – eller indirekte, som kunder hos it-firmaer, der bruger cloud-løsningerne til at drive deres tjenester.
Det er smart, det er nemt og det kan give adgang til ting, som man ikke kan derhjemme i kælderen.
Men sikkerheden, den er stadig dit ansvar uanset hvordan du vender og drejer det.
Derfor er det vigtigt at vide hvordan det står til med sikkerheden i cloud-verdenen – og hvordan du sikrer dig bedst muligt.
Det handler denne episode af Security Central om. Og til at hjælpe os med til at blive klog på cloud og it-sikkerhed får vi i denne episode hjælp af Jesper Sommer der er forretningsansvarlig for cloud hos it-virksomheden Progressive.
9. De farlige målrettede angreb: Industrispionage og statslige hackere
Mange af de kendte cyber-trusler rammer ofte tilfældige virksomheder. Og så er der de mere målrettede angreb, der går efter specifikke brancher, firmaer eller enkeltpersoner.
Nogle af dem mærker du med det samme. Men research viser at der ofte går måneden før de typiske målrettede angreb opdages.
I denne episode fokuserer vi på hvor stor truslen er fra de målrettede angreb, hvad de går efter og hvordan du kan komme dem til livs – eller i det mindste opdage dem hurtigere.
Det ved denne episodes gæst, Henrik Larsen, en del om. For han har de sidste fire år været chef for Danish Computer Security Incident Response Team – eller bare DKCERT.
10. It-sikkerhedschef og formand for rådet for digital sikkerhed: Det skal du forvente af din it-sikkerhedsleverandør
Det bliver stadig sværere at holde trit med udviklingen inden for sikkerhedsområdet.
For en ting er at stress-niveauet stiger. Især hvis du har hørt nogle af historierne i de foregående 9 episoder.
Noget andet er at investeringsbehovet vokser i takt med at de it-kriminelle bliver smartere – og fordi lønnen stiger i takt med at kampen om de rette medarbejdere strammer til.
Mange virksomheder vælger derfor at outsource hele eller dele af deres sikkerhedsløsninger til såkaldte managed løsninger. Det vil sige it-sikkerhed som abonnementsordning.
Det lyder besnærende. Men der findes som bekendt ingen gratis frokoster.
Derfor har vi i denne sidste episode i denne omgang allierede os med den erfarne sikkerhedsekspert Henning Mortensen – der kan hjælpe os med hvilke krav du skal stille til din leverandør af it-sikkerhed.
Henning arbejder til dagligt som it-sikkerhedschef hos AO Johansen der sælger materialer til byggebranchen og er desuden formand for rådet for digital sikkerhed.