Skønt vira formelig vælter ind over virksomhedernes servere og pc'er, er erhvervslivet hurtigt til at glemme den daglige fokus på virustruslen med faren for ødelæggende angreb.
Nok tjener konsulentfirmaer og antivirusproducenter godt på at rådgive om ordentlig sikkerhed og installere systemer, der klarer det hele ? men kunderne er oftest større virksomheder. De mindre virksomheder orker det ikke ? og derved er sikkerheden svagere her.
Faktisk peger en konsulent i antivirusproducenten Network Associates, Simon Leech, på denne gruppe virksomheder som et veritabelt overvintringssted for vira ? efter at viraene har haft deres første spredningsrunde.
Så ligger viraene gemt her på et netværksmiljø, der ikke bliver scannet med opdaterede antivirus-programmer. Viraene fortsætter så med at blive spredt rundt til kunder og leverandører, siger han, der i dag talte på en konference om sikkerhed i virksomhederne ? arrangeret af sikkerhedsfirmaet NetIQ på SAS Scandinavia Hotel.
Problemet for alle er, at virusprogrammørerne i stigende grad automatiserer deres frembringelser. Det blev tydeligt for mange virksomheder i sommeren 2001, hvor Code Red huserede via Microsoft Internet Information Servere, forklarer han.
- Virusen var programmeret til at starte med at blive spredt den 17. juli og stoppe igen den 20. juli, mens selve angrebene først stoppede den 28. juli. Herefter stilnede det af ? og alle tænkte: Hey, vi er ikke ramt. De fik så ikke tjekket, om de havde stoppet hullet i Microsoft IIS, siger han og fortsætter:
- Det ramte dem i nakken. Personen bag Code Red havde nemlig timet virusen til at aktivere sig igen hver den 1. i en måned, så den 1. august, 1. september og så videre røg der pludselig Code Red afsted, forklarer han.
Mangel på sikkerheds-politik
Viraene koster erhvervslivet milliarder af kroner i tabt arbejdsfortjeneste og reparationsarbejde som følge af virusangreb. En analyse fra IDC Nordic ? udarbejdet i samarbejde med Computerworld Online ? fra april viste, at hver tredie danske virksomhed oplevede et virusangreb i 2001.
Anslået kostede det sammenlagt fire milliarder kroner. Firmaerne ved også godt, at risikoen for virus og hackerangreb findes. I en undersøgelse fra Danmarks Statistik ? ligeledes fra april ? fremgik det, at 29 procent af en række adspurgte virksomheder anså virus-risikoen som en alvorlig barriere for øget brug af internet.
Men alligevel glimrer forekomsten af firmaer med en formuleret politik ved sit fravær. Det noterer erhvervslivet selv ? eksempelvis organisationer som Dansk Industri og Handelskammeret - og den mangel møder Simon Leech også.
Virksomhederne bliver bedre til det, men der er stadig lang vej. De små virksomheder har ikke kræfter til en ordentlig politik, der indebærer tjek på rutiner for opdatering, beskyttelse af alle pc'er og servere samt det interne netværksmiljø. Det er sjældent, at én mand kun beskæftiger sig med det, selvom det er nødvendigt, siger antiviruskonsulenten.
I fremtiden tror han imidlertid, at en gennemtænkt sikkerhedspolitik bliver et decideret konkurrenceparameter.
Selv om et firma kun har 20 ansatte, kan det godt levere en tjeneste til et stort firma, hvilket kræver adgang til det store firmas netværk. Dårlig sikkerhed i det lille firma kan føre til spredning af en virus herfra og over i det andet firmas netværk ? og videre ud til andre leverandører.
- Derfor vil kravene om ordentlig sikkerhed blive en del af fremtidige kontrakter ? og de første tegn kan allerede ses nu, fortæller Simon Leech.
- Der er større koncerner, der nu kræver af deres leverandører, at de er godkendt af sikkerhedsfirmaer som værende omhyggelige med sikkerheden. Et krav om certificering vil derfor blive normalt, noterer han.