Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Mange virksomheder har tendens til at blive fanget på et stadie, hvor de forbereder, forebygger og anlægger et hav af forsvarslinjer for at sikre sig, at ingen hacker kan penetrere deres cyberfort.
Men selvom det er godt med tunge forsvarslinjer, kan især mindre virksomheder hurtigt bruge for mange ressourcer på at forberede sig. Dermed er der en risiko for, at de glemmer detektion- og responsdelen, hvor cybertrusler rent faktisk bliver opdaget, analyseret og handlet på.
Det på trods af, at de fleste it-sikkerhedsansatte vil mene, at det er langt det vigtigste, når det kommer til it-sikkerhed.
Vi anbefaler altid at kigge på NIST Frameworket, der er udviklet af det amerikanske National Institute of Standards and Technology. Det er en guide til, hvordan man effektivt sikre sin virksomhed mod den øgede cyberrisko.
NIST indeholder fem stadier: Identificér, beskyt, opdag (detekter), reagér (responder) og gendan.
Selvom alle stadier i NIST Frameworket er vigtige, er detektion- og responsdelene dem, der er allermest afgørende i en virksomheds cyberforsvar.
Desværre kræver det ofte mange ressourcer og it-kompetencer at have et succesfuldt detektions- og responsprogram. Derfor kan det hurtigt blive en uoverskuelig opgave – især for mindre virksomheder.
Jeg oplever ofte, at det er grunden til, at små og mellemstore virksomheder vælger udelukkende at være afhængige af forebyggende foranstaltninger, som f.eks. antivirus-software og firewalls.
Selv højt digitaliserede virksomheder hører jeg af og til spørge: Hvorfor ikke helt droppe detektionsdelen og bruge vores begrænsede ressourcer på at forebygge bedre, så ingen cyberkriminelle kommer igennem vores forsvar?
Forebyggelsesparadokset slår skår i beskyttelsen
Det bliver et paradoks, når virksomheder fokuserer mere på at forebygge et angreb for ikke at blive ramt, frem for at forberede sig på den situation, der vil forekomme når de rent faktisk bliver ramt.
Paradokset ligger i, at det slet ikke er dårligt at forebygge mod cyberangreb, men at det i en digital virkelighed ikke er tilstrækkeligt. I dag er det lige så vigtigt, hvis ikke vigtigere, at lære af de ubudne gæsters tricks og vide, hvordan man skal handle, når de bryder igennem virksomhedens forsvar.
I takt med, at angrebene bliver mere sofistikerede, stiger sandsynligheden nemlig for, at cyberkriminelle kan omgå virksomhedens forsvar. Hackerne lærer hurtigt det defensive landskab at kende og vil prøve at omgå forsvarslinjerne og forsøge at komme uset ind ved at gemme sig i, hvad der ligner, uskyldige filer.
De nyeste teknikker og de mest sofistikerede cyberkriminelle vil på den måde overskride virksomhedens detektionsmuligheder fuldstændigt. Og det kan gøre skade på virksomheder, som kun benytter sig af detektionsteknologier.
Fysisk vs. digital sikkerhed
Organisationer og virksomheder, der kun benytter sig af en forebyggende sikkerhedsmodel, er normalt på de første trin af sikkerhedsstigen – som i deres øjne, til tider, er de eneste trin.
Uanset om vi er offline eller online, har vi mennesker en tendens til hurtigt at vurdere mulige trusler i det område, vi befinder os i - og derefter tage en beslutning om eventuelle sikkerhedsforanstaltninger.
Hvis man f.eks. bor i et godt boligkvarter, låser man blot døren, når man går.
Bor man i et belastet boligkvarter, nøjes man ikke med at låse døren. Man monterer en ekstra hængelås, sætter kameraer og et ’her vogter jeg’ hundeskilt op. Man går også lige en ekstra runde i huset for at sikre, at alt er som det skal være, inden man går i seng.
Problemet opstår ofte, når denne form for fysisk sikkerhed overføres 1:1 til virksomheders netværk, der har langt flere indgange end et hus. Hvis man alligevel vælger at bruge denne sikkerhedsmodel på digitale netværk, skal man i så fald gå ud fra, at man på internettet altid befinder sig i et belastet kvarter.
Som nævnt kan det være en stor mundfuld for især mindre virksomheder at rykke videre fra forebyggelsesstadiet. Men frygt ej, hjælpen er nær.
Jeg ved nemlig, at danske it-serviceleverandører og MSP’er kender dette paradoks. Det er derfor deres job at rådgive og gøre det klart over for virksomhederne, at alle dele af NIST Frameworket er vigtige.
For ja, det er en god idé at pakke virksomhedens netværk ind i vat og prøve at modstå cyberangreb. Men det er langt vigtigere at opfange angrebet og vide, hvordan man skal handle, når man bliver angrebet.
Og ikke mindst sikre sig, at der også er tænkt på gendannelse af data. For det er ikke et spørgsmål om, hvorvidt man bliver ramt. Det er et spørgsmål om hvornår. Hvornår penetrerer cyberkriminelle virksomhedens første, anden og tredje forsvarslinje, og hvad skal der så ske bagefter?
Jeg siger ikke, at forkromede beredskabsplaner, trusselsvurderinger og backups er løsningen på alt. Jeg siger bare, at der aldrig er nogen, der har fortrudt at være på forkant, når uheldet var ude.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.