De alvorligste sikkerhedsproblemer hos danske virksomheder er dem, som du aldrig hører om.
Sikkerhedsangreb er nemlig tabu og samtidig ser firmaer og medarbejdere sikkerhedsangreb og nedbrud som tab af ære og som værende selvforskyldt.
Fordommene koster uvurderlig viden for kolleger i andre virksomheder som med indsigt i sagerne måske kunne forhindre lignende sikkerhedsproblemer.
Danske sikkerhedsfirmaer har lange lister over sikkerhedsproblemer og hændelser, som de ramte virksomheder aldrig deler med andre og som aldrig bliver offentliggjort, fordi virksomhederne frygter tab af prestige og image, hvis offentligheden fik kendskab til problemerne.
Men sådan behøver det slet ikke at være, mener Ulf Munkedal, som er direktør for sikkerhedsfirmaet FortConsult.
Ærlighed giver pluspoint
"Hvis man går ud med åben pande og tager de tæsk, det giver, får man også nogle point for at være ærlig," siger Ulf Munkedal.
Imidlertid er holdningen hos mange ansatte, der arbejder med it-sikkerhed, at man ikke er et offer men skyldig, hvis man bliver ramt af en hacker.
Man har selv bragt sig i en situation, hvor man kunne angribes og man er dermed dum, fortæller Ulf Munkedal.
"Det, synes jeg, er en meget forkert opfattelse. Det svarer jo til holdningen fra gamle dage om, at hvis man gik i lårkort, så opfordrede man nærmest til voldtægt," siger Ulf Munkedal.
Derfor er vi nødt til at have flyttet på nogle holdninger. Det vil give mere åbenhed, som kan være til gavn for alle, mener sikkerhedseksperten.
Tabuer gør problemer større
Sikkerhedsområdet er nemlig utroligt svært at få indsigt i på grund af tabuer og ting, som ikke bliver sagt. Og det kan faktisk gøre problemerne større, fordi folk tror, at problemerne er værre, end de i virkeligheden er, fortæller Ulf Munkedal.
Samtidigt betyder den manglende åbenhed omkring sikkerhedsproblemerne, at virksomhederne risikerer at ignorere vigtige problemer, som de burde fokusere på, fortæller sikkerhedseksperten.
Selv om sikkerhedsproblemer kan komme til at skade den enkelte virksomhed, opfordrer Ulf Munkedal alligevel til at være åben omkring problemerne.
"Det er det, man kommer længst med. Hvis man bliver fanget i at prøve at skjule noget, giver det faktisk dobbelt skade," siger Ulf Munkedal.
Lov skal tvinge firmaer til offentliggørelse
Hos DK-Cert mener leder Shehzad Ahmad, at den manglende åbenhed er et af de største problemer for sikkerheden i Danmark.
"Danske virksomheder er overhovedet ikke åbne og ærlige nok, når de bliver ramt af sikkerhedsproblemer," siger Shehzad Ahmad.
Generelt hører vi nemlig kun om problemer, der tvinger eksempelvis banker til at kontakte et større antal kunder, fordi der er gået noget galt. Og det sker kun, hvis virksomhederne vurderer, at kunderne selv vil gå til pressen, hvis man ikke kommunikerer sikkerhedsproblemet ud, fortæller sikkerhedseksperten.
Derfor mener Shehzad Ahmad, at danske virksomheder skal tvinges til at offentliggøre sikkerhedsproblemer ved et lovindgreb, sådan som det er tilfældet i USA.
Her har bøder, der kan mærkes, sammen med kravet om offentliggørelse medført et boom i udbredelsen af krypterings- og sikkerhedssoftware, fortæller Shehzad Ahmad.
Tvang giver vigtig viden
Formålet med at tvinge virksomhederne til at offentliggøre sikkerhedsproblemerne er udover den præventive effekt, at andre kan lære af fejlene.
Ideen om et lovindgreb tiltaler også Ulf Munkedal hos Fort Consult, som støtter ideen om, at virksomheder skal tvinges til at offentliggøre datatab.
"I USA har det i al fald fået sat fokus på at håndtere folks data på en sikker måde," siger Ulf Munkedal.
Ifølge direktøren er lovindgrebet i USA blevet en del af ligningen om virksomhedernes it-sikkerhed og udgør nu en væsentlig post i virksomhedernes it-budgetter.
Mange problemer ties ihjel
Hos sikkerhedsfirmaet Secode fortæller landechef i Danmark Arnt Ove Nedrebø, at det generelt er meget sjældent, at danske virksomheder vælger at offentliggøre informationer om sikkerhedsproblemer.
"Jeg ved, at en del it-sikkerhedsfirmaer er med til at løse problemer, som aldrig bliver offentliggjort," siger Arnt Ove Nedrebø.
Når firmaerne vælger at holde problemerne hemmelige, skyldes det, at de vil opretholde kundernes tillid.
"I den virkelighed vi kender, er det ofte i de hændelser, som ikke bliver offentliggjort, at den vigtigste lærdom ligger,” siger Arnt Ove Nedrebø.
Men selv om han mener, at det kan være værdifuldt at kunne få indblik i andres sikkerhedsproblemer, mener han, at der bør ske en sikkerhedsmæssig afvejning af, om en hændelse skal offentliggøres.
”Hvis det kan skade virksomhedens sikkerhed yderligere at offentliggøre problemet, skal man ikke gøre det. Når noget bliver offentliggjort, har man også masser af copycats, der vil prøve det samme," siger Arnt Ove Nedrebø.
