Berlingske Business
17:13Mærsk-aktier sank til bunds i rødt C20

Du er ikke så sikker, som du tror

Topbillede

Der var ingen, der anede uråd, da en ung velklædt mand i foråret trådte ind i virksomheden og lidt flovt henvendte sig til receptionisten.

Af Rune Fick Hansen, ITB

Han skulle til en jobsamtale i en af afdelingerne, men havde glemt sit cv og spurgte nu, om receptionisten ikke ville være så sød at printe det for ham. Det lå nemlig til alt held på hans medbragte usb-stik.

Det ville hun selvfølgelig gerne og stak straks hans usb-stik ind i computeren, så hun kunne printe de to sider til ham.

Uheldigvis fik den unge mand et hasteopkald umiddelbart efter og måtte lidt hovedkulds forlade bygningen, inden hun havde fået at vide, hvilken afdeling han skulle til samtale hos. Ærgerlig start på en jobsamtale, tænkte hun kort, men glemte derefter alt om episoden.

Vi inviterer hackerne ind
Hvad hun og resten af virksomheden ikke vidste var, at de netop havde været udsat for et stort brud på sikkerheden. Den unge velklædte mand havde opdigtet historien om en jobsamtale for at få en ansat til at stikke et usb-stik ind i en computer, så han kunne placere en ulovlig bagdør til virksomhedens it-systemer.

Der gik da hellere ikke mange timer efter mødet med receptionisten, før den unge velklædte mand havde smidt slipset og sat sig foran sin egen computer. Gennem den nu åbne bagdør havde han fået adgang til flere af serverne i virksomheden og kunne nu i ro og mag trænge længere og længere ind i virksomhedens kritiske systemer og data.

Et mareridt for langt de fleste virksomheder, hvis det ikke lige var fordi, at det i det her tilfælde var virksomheden selv, der havde bestilt angrebet.

”Vi bliver ofte kontaktet af virksomheder, der kort og godt beder os om at angribe dem med alt, hvad vi har. På den måde får de et her-og-nu-billede af, hvordan deres sikkerhed er i virksomheden, og om der er nogle klare sårbarheder, som de skal håndtere,” siger Anders Balslev, salgsdirektør  for Outpost24.

Udnytter kendte fejl
Ud over den menneskelige faktor er en af de absolut største årsager til, at nogen kan trænge ind bag it-sikkerhedsmuren, at software og hardware ikke er opdateret.

”Desværre ved de færreste virksomheder, hvad der reelt ligger inde bag sikkerhedsmuren eller er koblet op til deres infrastruktur. Derfor får de heller ikke systematisk opdateret deres systemer. Og netop de gamle kendte sikkerhedsåbninger er guf for de it-kriminelle,” udtaler Anders Balslev, der tror, at problemet desværre vil stige, efterhånden som det bliver mere og mere udbredt at medbringe sine egne enheder samt bruge online services og platforme til at dele information og data.

Outpost24 har derfor samlet over 72.000 af de såkaldte CVE-koder (Common Vulnerabilities and Exposures), der fungerer som et opslagsværk over kendte sårbarheder i it-systemer. På den måde kan de hurtigt finde og lukke kendte fejl og huller i virksomhedernes it-sikkerhed.

”It-kriminelle er dygtige. De udnytter iskoldt de enkelte apps og programmers usikkerheder. Hver for sig er der måske ikke den store fare, men ved at udnytte de forskellige sårbarheder i den rigtige rækkefølge kan de pludselig åbne en bagdør og skabe store problemer for virksomheden. Derfor er det vigtigt, at man hurtigt identificerer og lukker disse huller,” fortæller Anders Balslev.

Virksomheder reagerer for sent
Mange gange kontakter virksomhederne først et it-sikkerhedsfirma, efter de er blevet hacket eller på anden måde kompromitteret.

”Desværre har alt for mange troet, at det var nok, hvis de blot overholdt lovgivningen eller den interne årlige kontrol. Men det er ikke sikkert nok. Alle bliver ramt på et eller andet tidspunkt, og derfor skal virksomhederne være langt mere proaktive, end de er i dag,” siger Anders Balslev.

I Norden er det kun omkring 15% af virksomhederne, der i dag får foretaget en penetrationstest, hvor man aktivt går ind og prøver at trænge igennem og udnytte virksomhedens svagheder. Det er alt for få, hvis man skal sikre sig ordentligt mod it-kriminelle.

Kunstig intelligens bliver fremtidens våben
Selvom de manuelle penetrationstests, hvor venlige hackere tester virksomhedens systemer, er vigtige, så ligger der et langt større sikkerhedspotentiale i at bruge kunstig intelligens til at overvåge systemerne og lukke huller.

”Man bør flere gange om året tage et slags virtuelt fingeraftryk eller kopi af ens it-systemer og så få intelligente softwarerobotter til hele tiden at overvåge kommende ændringer i fingeraftrykket. Hver ændring bliver sikkerheds- og risikovurderet af den kunstige intelligens, der automatisk er opdateret med de nyeste trusler, så virksomheden hurtigt får besked, hvis noget skal rettes,” udtaler Anders Balslev.

Det intelligente software skal automatisk kunne sende rapporter til topledelsen, så de er orienteret og kan træffe beslutning om f.eks. øgede investeringer på baggrund af ROI-beregninger. Samtidig skal den sende mere detaljerede rapporter til it-afdelingen, så de kan reagere på de konkrete trusler og har en fuldt opdateret risikoprofil på virksomheden.

”Man kan ikke prioritere alt på en gang, og derfor handler det om at finde den rette balance i sin it-sikkerhed og have benhård fokus på, hvad man får ud af sine it-investeringer,” slutter Anders Balslev, der ser fem positive trends for danske virksomheder.

  • Topledelsen vil prioritere it-sikkerhed i langt højere grad end tidligere
    PwC-analyse: 40% af danske virksomheder siger, at bestyrelsen allerede i dag bruger tid på at drøfte it-sikkerhed
  • Der gives større budgetter til it-sikkerhed
    PwC-analyse
    : Virksomhederne vil øge i gennemsnit øge budgetterne med 15% i løbet af de næste 18 måneder
  • Flere outsourcer driften, men har større fokus på at have kontrol med data
  • Flere benytter sig af managed services, så de undgår at bruge for meget tid på manuelt at skulle analysere falske positiver
  • Stigning i awareness-kampagner (f.eks. via planlagte phishing angreb).
    PwC-analyse: 57% af danske virksomheder vil øge deres investering i awareness-træning

Lær mere på pwc.dk.
Søg på Cybercrime Survey 2016

0 Kommentarer

Forsiden lige nu

Til forsiden

Business anbefaler

Gratis breaking news på mobilen

Send BUSINESS BREAK til 1929 og modtag en SMS med en bekræftelse. Det er gratis - tilmelding koster kun almindelig takst. Du kan til hver en tid afmelde tjenesten igen.

Afmeld: sms BUSINESS BREAK STOP til 1929

Tilmeld Afmeld

Business Nyhedsbrev

Få breaking news og det bedste overblik fra Business.dk morgen og eftermiddag - eller modtag hver uge et prioriteret overblik over investorstof, privatøkonomi, ejendomme, digtal, karriere, media og vækst.

Se alle nyhedsbreve
 

Business i billeder

Se alle

BrandView Hvad er Brandview?

BrandView er en service fra Berlingske Media, hvor virksomheder har mulighed for at kommunikere deres specialviden direkte til brugere og læsere af Berlingske.
Dette kan gøres på print i Berlingske og Berlingske Business, eller online på b.dk og business.dk.

Ønsker du at vide mere om BrandView, bedes du kontakte content marketing afdelingen Public Impact via e-mail: info@publicimpact.dk.

Business Events Se alle

Business.dk anvender cookies til at huske dine indstillinger, statistik og at målrette annoncer. Denne information deles med tredjepart. Læs mere

Kære læser. Velkommen til business.dk.

Vi kan se, at du har installeret en adblocker, så vi ikke kan vise dig annoncer. Det er vi kede af, fordi indtægter fra annoncer er en helt afgørende årsag til, at vi dagligt kan tilbyde dig journalistik af høj kvalitet.

Vi håber derfor, at du i din adblocker vil tillade visning af annoncer fra business.dk Det er nemt og tager kun et øjeblik: Se hvordan du gør her.

Med venlig hilsen
Berlingske Business

Tilbage til artiklen