Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Alle taler om NIS2, det kommende EU-direktiv med fokus på at sikre virksomheders datatrafik af personhenførende data.
Det nye direktiv, som stadig mangler endelig godkendelse og dermed stadig kan ændres en smule, betyder, at alle fra de største enterprises til offentlige enkeltmands-virksomheder – med enkelte undtagelser - skal sikre og dokumentere al datatrafik til og fra virksomheden.
Det lyder som en voldsom omgang, men der findes it-løsninger og certifikater, som (relativt) let løser problemet for de fleste virksomheder.
Men ingen taler om elefanten i rummet: At der er brancher, som for alvor kommer i klemme om lidt.
En af de brancher er retail-branchen. For en væsentlig del af NIS2 er, at nogle skal leve op til endnu strengere krav, hvis det betegnes om kritisk infrastruktur, hvilket blandt andet gælder organisationer med 250+ ansatte, som sælger fødevarer – altså de fleste dagligvarekæder.
De skal stå til ansvar for, hvis der sker et nedbrud i stil med, hvis en virksomhed mister personfølsomme data i forhold til GDPR.
Men fælles for retailbranchen er, at de alle benytter POS-systemer, Point-of-sales, terminaler, kasseapparater, kært barn har mange navne.
Retailbranchens vigtigste redskab, men nu også dens største akilleshæl – og NIS2 lægger op til helt nye typer sanktioner mod virksomheder, som ikke har styr på deres it-sikkerhed:
Det kan koste direktøren jobbet og retten til nogensinde at drive virksomhed igen.
Point of Sales = Point of Attack
POS-systemer er noget af det mest standardiserede i verden. De afvikler næsten alle sammen det samme styresystem – Embedded Windows – og har gjort det i årevis.
Jeg vil tro, at knap 80 procent af Danmarks – hvis ikke verdens – POS-systemer, er baseret på Windows XP.
For et POS-system må ikke fejle, da det betyder, at virksomheden går glip af omsætning. Derfor er det gennemtestet, og et POS-system kommer ofte med 10 års garanti og levetid.
Det er samme princip, som har betydet, at Pathfinder-robotten, som drønede rundt på Mars, var styret af DOS. For det var det eneste system, som var gennemtestet nok.
Netop derfor ser du stadig den dag i dag POS-systemer baseret på Embedded Windows XP afviklet på håbløst gammel teknologi og hardware. Men det skal heller ikke andet end at afvikle POS-softwaren.
Problemet er dog, at de systemer kun yderst sjældent (læs: aldrig) bliver opdateret, og når it-kriminelle kender indgangsvejen ind i et POS-system, så kan det kopieres mod næsten alle andre virksomheder. Forskellen – og ofte også det første lag beskyttelse – ligger først i backend-systemet.
Det var formodentligt det, vi så i forbindelse med 7-Eleven-angrebet i sommers.
”Men kan man så ikke bare opgradere til Windows 10 eller 11?”
Nej, det kan man ikke.
Win10 har et minimumskrav til hardware, et krav som POS-enheder slet ikke kan leve op til – og det koster en formue, hvis Salling og Coop skal udskifte deres eksisterende systemer – og samtidig kan det ikke bare over klares over en nat: Jeg har arbejdet med det tidligere i butikker med 50 POS-systemer, og det tog 18 måneder.
Så hvad gør man?
Kan koste direktørposten
Det første, man kan gøre, er at uddanne sit personale.
Jeg har set alt for mange gange i alt for mange butikker, at ansatte bruger POS-computerne til at surfe på nettet, og jeg har set alt for mange åbne og tilgængelige USB-porte, hvor jeg – hvis jeg var it-kriminel – kunne have sneget en lille ondsindet USB-pind ind.
Men det næste er at overveje at beskytte de enkelte enheder med et End-point-system.
Det er lidt besværligt, for det skal være et end point, som passer til et ældre OS, nemlig Embedded Windows XP, men de findes derude, hvis eneste formål er at opdage unormal adfærd – altså alt andet adfærd end POS-softwaren selv (hvilket fører tilbage til, at de ansatte skal holde op med at tjekke nyhederne på POS-skærmene, når der ingen kunder er…).
Og det skal branchen begynde at tage seriøst, for hackerne har fået blod på tanden.
De har spottet, at retail-branchen igennem flere år ikke har taget it-sikkerheden seriøst, og der er allerede dialog på Dark Web om, hvilke danske retail-virksomheder, der er det næste mål.
NIS2 lægger op til, at straffen for databrud bliver op til 2 procent af årsomsætningen, hvilket ofte sker samtidig med et GDPR-brud og dermed op til 4 procent af årsomsætningen.
Men faktisk kan det koste hoveder, for NIS2 lægger op til, at det er den øverste direktør i virksomheden, som har det endelige ansvar, og et brud på NIS2, som kan påvises at være på grund af sløset it-sikkerhed, kan resultere i, at direktøren mister retten til nogensinde igen at drive virksomhed.
Hvis ikke det er et vink med en vognstang, så ved jeg ikke, hvad er,.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.