6. oktober 2008, 06:30 – opdateret 16. maj 2012, 18:35

Saxo Bank. De ansatte får at vide, at hver tredje vil blive fyret. Fyringen vil ske »pr. konvolut«. Når det sker, får den fyrede 15 minutter til at forlade arbejdspladsen. Bankens økonomi er strålende. Den poster også millioner i et sponsorat af et omstridt cykelhold, mens de 315 personer knipses væk.

Var jeg en af ramte, var jeg blevet forbandet over fremgangsmåden. Måske tilmed så forbandet, at jeg ville ønske, jeg kunne give den arrogante ledelse en lærestreg.

I IT-sikkerhedskredse tales om en regel, der hedder 10-80-10 og gælder menneskets opførsel. 10 pct. af os vil altid opføre os pænt, altså følge regler og love. 10 pct. vil altid gøre det modsatte. De resterende 80 pct. vil bryde loven, hvis muligheden for at slippe godt af sted med det er god, og fordelen er stor.

Mon Saxo Banks topledelse holdt ekstra øje med, hvad der skete med systemer og data op til konvolutdagen? Var der nogen, der pludselig sendte store filer ud af huset? Blev et administrator-password til et kernesystem ændret i utide? Blev en PCs harddisk pludselig krypteret? Mon alle de fyrede var slettet i sekundet, de blev ledsaget ud af hoveddøren? Havde nogen af dem stadig mobil adgang nogle timer eller døgn efter?

Jeg bruger eksemplet, fordi overdrivelse fremmer forståelsen af, hvad der kan ske i en fyringssæson, der ikke er set magen i mange år. Finanshuse verden over knækker, og de der ikke gør, spænder livremmen ind, skruer helt ned for risikovilligheden, så andre rammes. Hundredetusinder af mennesker må se jobbet forsvinde grundet ledelsens uansvarlighed.

Gidseltagning af systemer
Nu får vi se, om gidselstagningen af IT-systemer øges. Afhængigheden af dem har aldrig været større, ligeså kompleksiteten og dermed uigennemskueligheden. Fristelsen til at give ledelsen fingeren via relativt enkle trick kan være stor.

Jeg maler fanden på væggen, men andre har været der. IT tages i stigende omfang som gidsel af frustrerede ansatte. Selv glade ansatte, headhuntede til større lønningsposer, misbruger systemadgang til at suge nyttig viden med sig ud.

Da jeg i sidste uge fik en sikkerhedsbriefing af IBM, hørte jeg blandt andet om koncernens eget fokus på, hvad der sker med systemadgang, når for eksempel en softwareudvikler eller en underleverandør har sidste arbejdsdag. Det var, hvad der fik mig til at tænke på Saxo Bank.

Men sikkerhedsbriefinger udgør et paradoks. På den ene side labber man de anonymiserede appetizere fra virkelighedens gysere i sig. På den anden side, siger man »spis brød til«, når en teknokrat tilter over i skrækscenarier med hackere og terrorister. Især når man kommer fra Danmark, hvor IT-infrastukturen er mere robust end i USA, og hvor IBMs eget problem er nedbrud, ikke hackere.

Men IBM er faktisk verdens største inden for IT-sikkerhed. Rødderne går tilbage til store hundedyre mainframes, som var spået dinosaurernes skæbne, men overlever, også takket være den indbyggede høje sikkerhed.

De kriminelle går efter de yngre, mere porøse teknologier. IBM selv har opkøbt omkring 50 sikkerhedsfirmaer – heriblandt ISS (Internet Security Systems).

Kernen af problemet, kvalitetsproblemer med software takket være sjusk eller uvidenhed, er IBM også inde over, blandt andet med værktøjer, der scanner applikationerne for netop svagheder. 75 pct. af alle angreb i første halvår 2008 havde fokus på applikationerne.

Prislappen er stor, men IBM har netop udsendt en mindre applikationsscanner målrettet IT-afdelinger uden den helt store pengepung.

Uhyggeligt lag på lag rod
Sikkerhed er blevet en rodet affære, fordi den ikke er »bagt« ind i produkter fra Microsoft og andre. Den klistres på, lag på lag, efterhånden som angrebene udvikler sig. Nogle virksomheder er oppe på 30-40 forskellige lag.

Derfor er IT-sikkerhed fed business. Dens andel af IT-budgettet udviser en vækst tre gange større end alle de andre poster, fortæller IBM.

Sikkerhed udgør i dag typisk 8-10 pct. af hele IT-budgettet. De udgifter æder sig desværre ind på det sparsomme budget til innovation i en tid, hvor budgetterne skæres.

Lige nu tales der højt om en vidundermedicin, virtualisering, hvor man få mere for mindre. Smid dine mange små servere, med applikationer og databaser, på porten. Køb langt færre, men større servere, og opdel hver af dem i små virtuelle servere. Gå fra en server-kapacitetsudnyttelse på under 10 pct. til måske 25 pct. Spar penge, personale og energi. Bliv grøn!

»Det lyder alt sammen vældig godt, men det sker til en pris,« lød det fra IBM. »Nu vil de kriminelle kunne nøjes med at angribe et sted, frem for flere.«

Vil koncernen blot sælge flere mainframes? Eller undervurderes sikkerhedsproblemerne midt i hypen? Min blog bizzen.blogs.business.dk er åben for kommentarer.