Berlingske Business
17:26William Demant tog føringen i positivt marked

Hvornår blev din virksomhed hacket?

27BBMper-andersen-ny.jpg

Virksomheder skal vænne sig til en ny virkelighed, hvor det er en kendsgerning, at man bliver hacket. Nu gælder det om at begrænse skaderne, for angrebene udgør en grundlæggende trussel mod samfundet, mener brancheforeningen Dansk IT. Berlingske Business Magasin sætter her spot på en af tidens store udfordringer, cyberkriminalitet.

Medierne bliver ofte beskyldt for at fremmane skrækscenarier og overdrive problemers omfang. Men når det gælder cyberkriminalitet og hackerangreb, mener de fleste IT-profesionelle, at mediernes dækning er retvisende eller endog undervurderer problemerne.

Det viser en ny undersøgelse blandt IT-chefer og sikkerhedschefer foretaget af brancheforeningen Dansk IT i samarbejde med Berlingske Business Magasin.

»Det er bemærkelsesværdigt, at så mange finder mediernes dækning korrekt. Det siger noget om problemets størrelse,« siger direktør for Dansk IT Per Andersen.

Han hæfter sig også ved, at hele 76 procent af deltagerne i undersøgelsen forventer flere angreb i det kommende år. Han ser en grundlæggende trussel mod samfundet, hvis cyberkriminalitet ikke kontrolleres.

»De mange angreb mod såvel offentlige som private organisationer går ud over befolkningens tillid til systemerne. Vi risikerer at blive mere paranoide, mistroiske over for institutioner.«

Strategisk trussel

Hackerangreb er ikke kun kommet for at blive, men er ved at udvikle sig til en strategisk trussel for danske virksomheder, fordi hacking er nemt, billigt og rummer meget lille risiko for at blive fanget. Således er der elektroniske markeder, hvor man kan købe en hacker-værktøjskasse, for eksempel til et DDoS-angreb (se boks side 92) for ti dollar. Derefter er hackeren i stand til at lægge de fleste virksomheders hjemmeside ned – ­eller lade være mod betaling.

Den organiserede cyberkriminalitet er imidlertid det største problem.

»Vi er ved at komme væk fra kælderhackeren – altså en ensom nørd, der vil skabe noget ravage. I dag er det organiseret og målrettet. Hackerne gør deres forarbejde, finder de svage steder og er samtidig tålmodige. For eksempel ved at infiltrere et system i et halvt år, før man begynder det egentlige tyveri,« siger Carsten Hvid Challet, direktør for sikkerhedsløsninger hos TDC.

Ingen kender det nøjagtige omfanget af cyberkriminalitet, fordi angrebne virksomheder foretrækker at ordne sagen internt uden at få negativ omtale. Samtidig er det per definition svært at gøre tabet op, siger Per Andersen fra Dansk IT:

»Man kan måske gøre det direkte tab op, men der vil som regel være en række indirekte tab. Hvis nogen stjæler firmaets opfindelser, mister man fremtidig indtjening.«

Spionage til milliarder

Netop industrispionage er en af de meget store udfordringer, ikke mindst fordi en del af hackerens job er ikke at blive opdaget. Men der er tale om rigtigt mange penge. I 2012 kaldte general Keith Alexander, USAs chef for cybersikkerhed, kinesisk industrispionage mod amerikanske virksomheder for »den største overførsel af værdier i verdenshistorien«. Det amerikanske samfund mistede i 2012 år 338 milliarder dollar på den konto.

Et andet kvalificeret estimat kommer fra verdens største producent af computerchips, Intel, der mener, at det årlige globale tab ved cyberkriminalitet udgør 2,2 billioner kroner – eller 2.200 milliarder kroner.

Det kan endda være svært for en virksomhed overhovedet at registrere, at den er blevet hacket, da gerningsmændene, for eksempel i tilfælde af industrispionage, har en klar interesse i at arbejde uopdaget.

»Der findes to slags virksomheder. Dem der ved, de er blevet hacket, og dem, der endnu ikke ved det,« mener den britiske journalist Misha Glenny, der har skrevet flere bøger om cyberkriminalitet.

Den måske største trussel kommer dog ikke fra hackerne, men den teknologiske udvikling. Den bevæger sig nemlig mod et stadig mere omsiggribende internet og dermed per definition flere sårbarheder. Internet of Things (IoT) betyder, at stadig flere almindelige fysiske objekter – lige fra private køleskabe til industrimaskiner – bliver udstyret med digital kommunikation i form af sensorer, der samler og transmitterer data. Konservative estimater lyder på 25 milliarder internetforbundne apparater i 2020, mere end tre stk. per person på kloden.

Teknologigæld tynger

Virksomheden kan overordnet blive angrebet på to måder. Via netværk eller via en person. Netværksdelen er den kendte kampplads, hvor IT-afdelinger traditionelt har fokuseret på firewalls og andre former for værn mod eksterne angreb mod systemet.

Netværksbeskyttelse er fortsat en prioritet, og den står over for gevaldige udfordringer i de kommende år. Mange virksomheder bærer nemlig rundt på en teknologigæld, forklarer Mads Nørgaard Madsen, partner hos PwC.

»I mange virksomheders IT-systemer indgår forældede dele. Det vil sige software, som ikke længere supporteres, for eksempel med sikkerhedsopdateringer. De er blevet stående, fordi de gør deres arbejde, men fra et sikkerhedssynspunkt er det en tikkende bombe. Hvis softwaren er utidssvarende, er det en åben invitation til en hacker. For eksempel findes der stadig 100.000 servere med Windows 2003 i danske virksomheder. Det næste problem bliver Windows XP, som findes på rigtigt mange computere, men som Microsoft er ved at droppe som supporteret software. Der forestår et betragteligt oprydningsarbejde og væsentlige investeringer i fremtiden,« siger han.

Samtidig viser der sig voldsomme svagheder på den anden front, medarbejderne.

Et forkert klik på et link, åbning af en vedhæftet fil eller brug af en ukendt USB-nøgle – det er nok for en hacker til at få adgang til virksomhedens systemer.

Problemet er blevet mere åbenbart i de senere år med trenden BYOD (Bring Your Own Device. Den enkelte medarbejder bruger sin egen maskine f.eks. tablet eller smartphone og dertil hørende programmer, hvilket gør det langt sværere at overskue og kontrollere for IT-afdelingen.

USB-nøgler fra parkeringspladsen

Selv om medarbejderen føler sig IT-kompetent og mener at tænke sig om, kan man sagtens blive narret, fortæller Carsten Hvid Challet fra TDC.

»En medarbejder, måske chefen, har lige holdt et oplæg på en konference. Kort efter modtager han en mail, hvor der står, at vedkommende var glad for den korte snak på konferencen, og her sender han de aftalte informationer. Medarbejderen kan ikke lige huske vedkommende, men klikker troskyldigt på den vedhæftede fil.«

Sikkerhedschefen fra TDC har også et andet, måske mere sigende eksempel.

»Vi gennemførte en såkaldt penetra­tions­test, hvor vi smed ti USB-nøgler på en virksomheds parkeringsplads. To dage senere havde samtlige ti nøgler været tilsluttet virksomhedens netværk,« siger Carsten Hvid Challet.

Derfor er medarbejderne da også ofte i fokus, når der diskuteres løsninger for virksomhederne, og der er to skoler. På den ene side mener mange, at det handler om uddannelse og empowerment af den enkelte medarbejder. På den anden side tales der for interne reguleringer, hvor den enkelte medarbejder kun får adgang til de arbejdsrelevante dele af systemet. Løsningen findes nok et sted midtimellem, men under alle omstændigheder skal der mere til – et paradigmeskifte, mener Carsten Hvid Challet.

Ingen er sikker

»Virksomheden er nødt til at erkende, den ikke er 100 procent sikker og aldrig vil være det. Derfor skal man køre hyppige loganalyser for at finde frem til usædvanlig aktivitet i virksomhedens netværk. Ligesom kreditkortfirmaer konstant analyserer deres data, fordi de forventer tyveri. Desuden skal virksomheden begynde at prioritere i sine data, finde ud af, hvad der er forretningskritisk og beskytte det ekstra godt.«

Men på den lange bane er den enkelte virksomhed ikke i stand til at matche de stadigt mere kompetente hackere, mener Per Andersen fra Dansk IT. Han henviser til undersøgelsen foretaget sammen med Berlingske Business Magasin, hvor 55 procent svarer, at de seneste års udvikling har krævet nye kompetencer i IT-afdelingen.

»Der er tale om et våbenkapløb, hvor det hele gælder om at være foran de kriminelle, og det bliver mere end svært for den enkelte virksomhed at følge med. Derfor vil vi se en tendens i de kommende år, hvor mere og mere bliver lagt ud til specialiserede sikkerhedsfirmaer,« siger Per Andersen.

Outsourcing af sikkerhedsservices har selvfølgelig allerede fået et navn i IT-verdenen – security as a service – en løsning, som knap 30 procent i undersøgelsen overvejer.

Efterlyser opmærksomhed

Men den største udfordring for IT-sikkerheden er en gammel traver, som de fleste topledere sikkert har hørt før: IT skal have mere strategisk og økonomisk fokus.

Det mener 85 procent af deltagerne i undersøgelsen, og samme toner høres fra konsulenter og sikkerhedseksperter.

»I alt for mange virksomheder er sikkerhedseksperten en nørd i bunden af IT-afdelingen. Han råber jævnligt, ulven kommer, men ingen lytter til ham. Når der endelig foretages investeringer, er det lappeløsninger og ikke udslag af en samlet strategi,« fortæller Mads Nørgaard Madsen, partner hos PwC.

Og fra Forsvarsministeriets Center for Cybersikkerhed, etableret i 2012, lyder det fra centerleder Thomas Lund-Sørensen:

»Erhvervslederen er nødt til at beskæftige sig med disse problemstillinger langt mere håndfast og inddrage bestyrelsen, hvor det endelige ansvar befinder sig.«

Flere sikkerhedseksperter, Berlingske Business Magasin har talt med, nævner topledelsens manglende teknologiforståelse som et grundlæggende problem, måske fordi den nuværende generation af ledere ikke er vokset op med internettet. Men det er ikke nogen undskyldning.

»For det første skal man erkende, at rigtigt meget erhvervsaktivitet hviler på det digitale, næsten uanset hvilken virksomhed der er tale om. Det har været en løbende udvikling, og jeg tror, mange ledere i dag undervurderer den digitale eksponering. For det andet må bestyrelsen hente de rette kompetencer, der forstår de digitale udfordringer. Hvis de ikke findes internt, må de hentes eksternt,« siger Thomas Lund-Sørensen fra Forsvarsministeriets Center for Cybersikkerhed.

Kære læser

Berlingske har skiftet det system, vi bruger til at håndtere kommentarer til de enkelte artikler. Det betyder, at tidligere kommentarer nu er slettet. For fremtiden kan artikler kun kommenteres og debateres med et log ind til Facebook.

Med venlig hilsen

Redaktionen

Forsiden lige nu

Til forsiden

Business anbefaler

Gratis breaking news på mobilen

Send BUSINESS BREAK til 1929 og modtag en SMS med en bekræftelse. Det er gratis - tilmelding koster kun almindelig takst. Du kan til hver en tid afmelde tjenesten igen.

Afmeld: sms BUSINESS BREAK STOP til 1929

Tilmeld Afmeld

Business Nyhedsbrev

Få breaking news og det bedste overblik fra Business.dk morgen og eftermiddag - eller modtag hver uge et prioriteret overblik over investorstof, privatøkonomi, ejendomme, digtal, karriere, media og vækst.

Se alle nyhedsbreve
 

Business i billeder

Se alle

BrandView Hvad er Brandview?

BrandView er en service fra Berlingske Media, hvor virksomheder har mulighed for at kommunikere deres specialviden direkte til brugere og læsere af Berlingske.
Dette kan gøres på print i Berlingske og Berlingske Business, eller online på b.dk og business.dk.

Ønsker du at vide mere om BrandView, bedes du kontakte content marketing afdelingen Public Impact via e-mail: info@publicimpact.dk.

Sponseret

Sampensions kunder kan glæde sig over et godt afkast for 2017.”En typisk kunde i vores markedsrenteprodukt opnår et afkast i år på omkring 8 pct., og det er meget højere, end hvad man kunne forvente v...

Business.dk anvender cookies til at huske dine indstillinger, statistik og at målrette annoncer. Denne information deles med tredjepart. Læs mere

Kære læser. Velkommen til business.dk.

Vi kan se, at du har installeret en adblocker, så vi ikke kan vise dig annoncer. Det er vi kede af, fordi indtægter fra annoncer er en helt afgørende årsag til, at vi dagligt kan tilbyde dig journalistik af høj kvalitet.

Vi håber derfor, at du i din adblocker vil tillade visning af annoncer fra business.dk Det er nemt og tager kun et øjeblik: Se hvordan du gør her.

Med venlig hilsen
Berlingske Business

Tilbage til artiklen