BREAKING:Region Syddanmark skal betale historisk stor bøde for grove overtrædelser af GDPR

Sikkerheds-teknik er ikke så vigtig

Tema: Firewall, antivirus, IDS og IPS. Tekniske sikkerhedsløsninger er der masser af, men uden sikkerhedsbevidste brugere kan pengene være spildt.

London: I februar i år blev der i anledning af Valentinsdag uddelt gratis cd'er med Valentinshilsener i Londons centrale finansdistrikt.

Selv om forretningsfolkene i Londons finansdistrikt normalt har travlt, havde nogle ansatte i en større bank og to forsikringsselskaber tid til at tænke på Valentin og kærlighed.

De tog cd'erne med på arbejde og stak dem ind i deres arbejds-computer.

Senere i år - i juni måned - fandt en række amerikanske medarbejdere i en amerikansk kreditforening USB-memorysticks spredt ud på kreditforeningens område.

De lå på parkeringspladsen, i rygeområder og andre områder tæt på kontorbygningen.

Nogle af medarbejderne var nysgerrige. De tog USB-memorysticksene med ind på arbejde og stak dem i deres arbejds-pc's USB-drev.

Hverken Valentin-cd'erne eller USB-memorysticksene var uskyldige.

De var udstyret med spyware, der indsamlede logins, password og anden information, som blev sendt via mail. Ikke til forbrydere, men til sikkerhedsfirmaer, der testede sikkerheden hos virksomhederne.

Brugernes sikkerhedsbevidsthed skal højnes

Via medarbejderne sneg malwaren sig forbi firewalls, antivirus, anti-spyware og andre tekniske sikkerhedsforanstaltninger.

Var de engelske og amerikanske medarbejdere specielt godtroende eller ubekymrede om sikkerhed?

Nej, det samme kunne højst sandsynligt ske i Danmark.

Preben Andersen fra DK Cert beskæftiger sig indgående med it-sikkerhed og han mener at der lægges for megen vægt på tekniske løsninger og investeres for lidt i uddannelse af brugerne.

- It-afdelingerne er meget fokuseret på firewalls, antivirus, anti-spyware, Intrusion Detection og Prevention Systemer, mens brugernes sikkerhedsuddannelse rangerer lavt på it-afdelingernes sikkerhedsliste – hvis den da overhovedet er med på listen, siger han.

Virksomhederne skal bruge mere energi på at gøre medarbejderne meget bevidste om it-sikkerhed, mener Preben Andersen.

Fokuseres for lidt på blød sikkerhed

Han underkender ikke teknologiens betydning, men mener, at der fokuseres for lidt på den bløde sikkerhed, den menneskelige faktor.

- Selvfølgelig skal de tekniske løsninger også være på plads, men du kan lave alle de tekniske løsninger du vil, men hvis brugerne omgår dem, så er de ikke meget værd. I ledelsen tror man, at det nok skal gå alt sammen så længe man har anti-virus, spam og firewall. Men det er ikke helt rigtigt, mener Preben Andersen.

Billedet ser ud til at være det samme på den anden side af Atlanterhavet.

I det amerikanske forbundspolitis årlige rapport om it-sikkerhed ”CSI/FBI Security Survey” fremhæves sikkerhedsmæssig uddannelse af brugerne som noget centralt.

Vigtigt: Sikkerheds-awareness
- Endnu engang opfatter den store andel af virksomhederne sikkerhedsawareness som vigtig. Gennemsnitligt set mener virksomhederne fra de fleste sektorer, at deres organisation ikke investerer nok i dette område, hedder det blandt andet i rapporten.

Hvis medarbejdere ikke er bevidste om sikkerhedsrisici, er det nemmere for kriminelle at anvende såkaldt social engineering til at lokke adgangskoder og anden vigtig systeminformation ud af folk.

- Det er ikke mit indtryk, at social engineering, hvor man ringer op og beder om user-id og password over telefonen, sker så tit mere, men phishing er en videreudvikling af det kneb. Nu sker udleveringen af information via nettet i stedet for en telefon, siger Preben Andersen.

Halvdelen vil blive ramt

Gartner forudsiger, at halvdelen af alle virksomheder vil blive ramt af social engineering eller virus i løbet af de næste to år, så der er grund til at øge folks bevidsthed.

- De fleste siger, at det kan aldrig finde sted i vores virksomhed, men realiteten er, at der er nogen der hopper på de forskellige tricks, for det bliver ved med at finde sted, mener Preben Andersen.

Social engineering er de kriminelles hemmelige våben, hvis de tekniske sikkerhedsystemer forekommer for uovervindelige.

- Når de automatiske sikkerhedssystemer bliver for gode, så må de kriminelle ty til det bløde punkt, hvilket ofte er mennesker, siger Jay Heiser fra Gartner.

Han er dog lidt mere skeptisk over for, om man kan uddanne problemet væk.

- Jeg ved ikke hvordan man træner folk i at undgå social engineering. Man kan give eksempler på social engineering og man kan lære af de eksempler, men man kan ikke forudsige alle typer af bedrageri, siger Jay Heiser.

Han understreger dog, at højnelse af brugernes sikkerhedsbevidsthed er meget vigtig. Man skal blot ikke tro, det løser alt.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Konica Minolta Business Solutions Denmark A/S
Salg af kopimaskiner, digitale produktionssystemer og it-services.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere