Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Åh nej – endnu en klumme om it-sikkerhed.
Cybersecurity er på alles agenda for tiden. Så meget, at jeg vil tillade mig at kalde det for en regulær supertrend.
Store cyberangreb på hæderkronede danske virksomheder chokerer os. Rigsrevisionen giver skarp kritik af it-sikkerheden i ministerier, styrelser og andre offentlige organer. Oven i alt dette, så bliver adskillige it-sikkerhedsvirksomheder ramt af det såkaldte SolarWinds-angreb, hvor malware er gemt i opdateringer. Det man også kalder en APT (Advanced Persistent Threat). Eller bare det, som er kendt som et sofistikeret it-angreb.
Men er vi så alle sammen prisgivet?
Og hvordan skal vi egentlig forholde os til det med it-sikkerhed? Jeg er ikke en original tænker, så jeg tager bare kendte elementer og belyser dem på en ny måde. Og i den ånd, så vil gerne have trukket basal it-sikkerhed ned på jorden og have gjort det til en del af alles hverdag.
For det første, så vil jeg gerne gøre op med tanken om it-kriminelle som teknologiske masterminds.
Selvfølgelig er det nogen mennesker, der sprænger skalaen for kompetence og kreativitet, men dette er heldigvis ikke tilfældet for langt de fleste it-kriminelle.
De går nemlig efter de lavthængende frugter, og det er ikke anderledes i andre forhold i livet.
Over til naboen istedet
For en del år siden havde jeg indbrud i mit hus. Efterfølgende fik jeg en alarm. Men dét, som jeg egentlig betaler for, er blot nogle klistermærker og en SMS, hvis der har været ubudne gæster.
Og det vigtigste af alt er at vide, at indbrudstyve også er praktiske mennesker. De vil meget hellere bryde ind i huse uden en alarm og en hund, og dermed undgå unødig opmærksomhed og besvær.
Så jeg betaler i virkeligheden for, at de går over til en nabo der ikke har en alarm.
Men vær klar over, at hvor der er en vilje, der er der en vej. It-kriminelle der vil ind, kommer også ind.
Og indbrudstyve bryder også ind i strandvejsvillaer, hvor der er høje mure, gitre, alarmer, røganlæg, hunde osv. Man kan bare håbe på, at de bryder ind hos naboen.
Handler mest om sund fornuft
For det andet, så vil jeg gerne gøre op med tanken om, at det med basal it-sikkerhed er noget der kræver ekspertviden og dyb teknisk kunnen.
Langt det meste handler om sund fornuft og kan sagtens udføres af langt de fleste.
Jeg stødte på begrebet ”Common sense is not common practice” for nogle år siden og det er sandt, når det kommer til både it-sikkerhed og livet generelt.
Det burde dermed ikke være nødvendigt at tilkalde det digitale ordenspoliti, når du skal lave det, som nogle kalder sikkerheds-hygiejne. Der er mest af alt brug for en it-håndværker, der passer og plejer din infrastruktur.
Det er måske ikke det mest eksotiske arbejde, men det er tvingende nødvendigt. Så tænk lige på det næste gang du taler med din it-afdeling.
Det er dem, der udfører hverdagens små it-sikkerhedsmirakler, som ikke er så små endda. De er de egentlige cybersecurity helte. Jeg har før argumenteret for, at vi skal have innovation og kunsten at fejle på skoleskemaet. Disse discipliner kunne vi passende udvide med faget ”Sund it-fornuft”.
Så it-sikkerhed kræver et genbesøg ind i it-sikkerhedsverdenens ABC og en genoplivning af de gamle it-sikkerhedspligter.
Heldigvis, så er Danmark godt stillet. Således er både erhvervslivet, myndighederne og den generelle befolkning opmærksom på problematikken.
Det så man med al tydelighed, da Computerworld for nylig afholdt den digitale konference ”Strategiske IT Sikkerhedsdage 2021”. Og tak for det.
Vi er et land, der tager det med it-sikkerhed alvorligt. Og det skal vi også være. Danmark er et af de mest digitaliserede lande i verden og det ligger implicit i dette faktum, at vi også skal være langt fremme med it-sikkerhed.
Men vi er langt fra perfekte.
Kenneth Schwartz fra Cisco fastslår i sin glimrende klumme, at man skal have styr på grundlæggende ting, hvis man skal have høj it-sikkerhed.
Og Citrix-direktør Anette Vainer meddeler, at kun halvdelen af danskerne har styr på basal sikkerhed derhjemme.
Der er slet ingen tvivl om, at mange it-virksomheder har meget god teknologi, som kan hjælpe os alle med at sove lidt roligere om natten.
Men det er ikke nødvendigvis på det høje it-sikkerhedsniveau, at skoen trykker.
Mere bange for personerne
Jeg er mere bange for den person der sidder 40 cm fra skærmen og risikerer at trykke på et ondsindet link i en mail. Eller slæber en USB-nøgle med på arbejdet, der er inficeret med malware.
Og langt de fleste angreb har en simpel årsag. Og den årsag er næsten altid skødesløshed fra mennesker.
Det er lidt ligesom med biluheld eller flystyrt. Det er meget sjældent teknologien, der svigter. Til gengæld skal der næsten altid et menneske til at skabe en katastrofe. Og vi ser det – desværre – gang på gang, når der bliver jokket i it-sikkerhedsspinaten.
Det er meget sjældent teknologien og det er næsten altid mennesket. Vi har fantastisk teknologi, men vi er stadig stenaldermennesker. Stenaldermennesker med en smartphone vel at mærke.
Så det er vel næppe nogen kioskbasker når jeg konkluderer, at i alle segmenter, både private og offentlige virksomheder og hos private, så halter it-sikkerheden.
Jeg ser følgende løsninger på problematikken:
For virksomheder: På det overordnede og mere strukturelle plan, så skal sikkerheden overlades til professionelle. I en verden hvor vi er ved at transitionere til cloud-baserede services, så skal man have en tro på, at din serviceudbyder kan sit kram og dermed har styr på it-sikkerheden. Her kommer jeg altid til at tænke på en lufthavn. Det hedder altså et kontroltårn og ikke et tillidstårn, af en grund. Og det samme gør sig gældende hos din leverandør
For private: Jeg har før argumenteret for, at innovation og kunsten af fejle skal på skoleskemaet. Her kunne man passende tilføje faget ”Sund fornuft og it-sikkerhed”. It-sikkerhed er ligesom alle andre aspekter i livet. Alle ved godt, at man ikke bør ryge, drikke alkohol, stjæle og være utro. Og vi skal huske at bruge sikkerhedssele, låse dørene, bruge tandtråd og spise sundt. Men vi gør det ikke nødvendigvis.
Teknologi er bare en meget hurtig og meget omskiftelig verden. Så hvis du it-sikkerhedsmæssigt er en marginal skikkelse, der har konkluderet, at du ikke kan finde ud af det med it-sikkerhed selv, så skal det ikke svært at finde en der kan. Din it-sikkerhed skal ikke baseres på stokastiske principper
CISO’en kommet for at blive. Og vi skal have en nation, hvor alle bliver deres egne personlige CISO’er.
Det skal tilføjes, at selvom cybersecurity kræver et perfekt menneske, så elsker jeg det uperfekte ved netop mennesker. Vi har alle sammen fejl og mangler og det ligger implicit i vores natur. Så tak for det uperfekte menneske.
Hvor ville livet dog være trist, hvis vi alle sammen var perfekte.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.