Danmark kan håndtere it-sikkerhed smartere

Lad os dele erfaringer, trusselskataloger og risikovurderinger langt bedre. Vi har måske brug for et dansk non-profit-organ til at samle trådene.

Mærsks åbenhed om milliardomkostninger afledt af cyberkriminalitet er blot ét af mange tegn på en stor og voksende trussel inden for it-sikkerhed. Derfor er en styrket risikostyring på dagsordenen hos store og små virksomheder og hos både offentlige og private. Logisk nok arbejder vi også sammen i sektorer og brancher for at løfte vores forståelse og beredskab. Bankerne arbejder sammen for at dele erfaringer, og i den offentlige sektor går man frem sektor for sektor. Men der er stadig store muligheder for at arbejde langt mere intelligent og stringent med vores ressourcer for at få mest mulig sikkerhed for pengene. Helt overvejende er det stadig op til den enkelte virksomhed at dokumentere sin indsats inden for governance, risk og compliance (GRC), og med et så foranderligt trusselsbillede, som vi ser på it-sikkerhedsområdet, er det en frygtindgydende opgave.

Risiko på tværs af sektorer

Staten har sat gang i at gennemgå de enkelte sektorer, som udgør kritisk infrastruktur for Danmark. Logisk og fornuftigt. Umiddelbart er der stor forskel på fx sundhedssektoren og energisektoren, men i en risiko-kontekst deler de en lang række behov, som giver belæg for at samle og koordinere endnu bedre, end vi gør det idag. Sektor for sektor skal man gennemføre trusselvurderinger og risikoprofiler på leverandører, teknologier og produktionsapparat. Men mange af disse er jo fælles for sektorerne – eksempelvis Apples iPhone, Microsoft365, en server fra IBM, en generator fra ABB og mange flere. Problemer med strømforsyning er trussel for både kraftværket, hospitalet og produktionsvirksomheden. Hvorfor ikke koordinere den opdaterede risikovurdering af de største leverandører på nationalt niveau? Argumentet gælder også for trusselskataloger, for selv om der forskelle i vægt og betydning af forskellige trusler, så er der også en vis fællesmængde, som man med fordel kunne få ”forærende” udefra.

En uendelig opgave

En risikovurdering af en it-platform eller et stykke teknisk infrastruktur kan i hele træskolængder kræve hundredevis af timer af en specialist, og omkostningen løber hurtigt op. Og det skal så ganges med antallet af produkter, hvor man skal gennemføre en sådan vurdering. En stor byrde for den enkelte virksomhed, en dråbe i havet for samfundet. Ikke mindst set i relation til de enorme omkostninger, som er forbundet med at blive ramt af nedbrud og angreb.

Præmissen på it-sikkerheds-området er, at opgaven aldrig bliver løst. At tegne sit risikobillede, udforme politikker og designe et kontrolregime er måske en femtedel af GRC-opgaven. Det afgørende er den løbende opdatering, den jævnlige kontrol og den konsekvente operationelle opfølgning. Er det, vi har aftalt stadig det, som er operationelt? At definere, hvad vi skal have styr på, er nu engang noget nemmere, end rent faktisk at have styr på det. Derfor er GRC først og fremmest en stor operationel opgave, hvis man seriøst vil afdække sig for de største risici. Vi har alle glæde af at få lettet opgaven ved at dele, pulje og genbruge dele af risikovurderingen på generiske elementer.

Farvel til nulfejlstænkning

En samlende enhed må nødvendigvis være non-profit, fordi afhængigheden af dens ydelser bliver ganske stor. Der skal også fintænkes på, hvor grænsen for denne ydelse går, så den ikke tager brødet ud af munden på den base af ekspertkonsulenter, som i dag bidrager til at løfte GRC-området. I den sammenhæng må man bare huske, at opgaven er stor og stadig voksende. Der er rigeligt at tage fat på for et lille land som Danmark.

Af samme grund kan vi roligt vinke farvel til tanken om nul fejl. Virksomhederne – i hvert fald de største – har indset, at man ikke kan opnå 100 pct it-sikkerhed. Her arbejder vi metodisk med løbende risikovurderinger og fleksible kontrolregimer under løbende optimering. Målet er, at risikotænkningen bliver indlejret i kulturen, så vi har risikoelementet med i forretningsmæssige beslutninger på alle niveauer.

Det politiske system med ministeransvar kan føre til, at fejl og risici er ganske forældreløse. Måske er det ligefrem karrierehæmmende at sætte spot på risikoen og arbejde med den. På den baggrund er det nok mere perspektivrigt at lægge en non-profit-organisation midt mellem den offentlige og den private sektor med en finansiering og en målsætning, som ikke giver en minister ansvaret for at skabe Danmarks ”databank” af trusselsvurderinger og risikoanalyser.

Af Tomas Hellum, direktør for LinkGRC og rådgiver inden for governance, risk og compliance

 

cyber risk

Cyberkriminalitet er den nye normal

Kronik af Tomas Thobias Hellum i Børsen d. 27. november 2017

Hacking og andre former for cyberkriminalitet er “the new normal,” og vi er nødt til at vinke farvel til nulfejlskulturen

Topchefer bliver ikke fyret, fordi virksomheden oplever hacking, kompromitterer persondata eller har et it-relateret nedbrud.
Topchefer bliver fyret, hvis de ikke håndterer problemet hurtigt og ansvarligt. Cyberkriminalitet er “the new normal”, og vi skal vinke farvel til nulfejlskulturen.
Perlerækken af kriser relateret til it-sikkerhed både på den nationale og den globale scene taler et meget tydeligt sprog.
I starten af september rapporterede det store amerikanske kreditbureau Equifax, at hackere havde fået adgang til – og hold nu fast – personlige data om 143 millioner mennesker. Lækken involverede social security numre – hvilket svarer til danskernes cpr-numre, fødselsdatoer, kørekortnumre og for 209.000 personer også kreditkortnumre.
Hackingen blev opdaget 29. juli, og ledelsen var altså seks uger om at standse ulykken, informere offentligheden og involvere de ramte.
Aktiekursen faldt som en sten.
Krisehåndteringen fra selskabets side var ugennemtænkt og viste ingen ansvarlighed. Topchefen blev fyret i slutningen af september.
Globalt set har også et konsulenthus som Deloitte oplevet meget alvorlige sikkerhedsproblemer, hvor e-mails med kundedata har ligget åbne i månedsvis.
Herhjemme har vi for nylig både set Mærsk være under angreb og set danske ministerier under beskydning i et efterskælv af Muhammed-tegningerne.

Tænk på naturkatastrofen
Selv de største, mest velrenommerede og mest kompetente virksomheder kan altså ikke gardere sig 100 pct.
Det er et faktum og et globalt vilkår. Vi skal flytte vores tankesæt hen i retning af naturkatastrofer, når vi taler om cyber-kriminalitet. Alle kan blive ofre for at jordskælv. Alle kan også blive udsat for ondartet hacking. Det skal en ledelse ikke fyres for.
I vores egen nationale sammenhæng er det min påstand, at langt de fleste virksomheder dukker hovedet og tier stille, når de er under angreb. Og de fortsætter denne stilleleg også efter angrebet.
Teleselskabet 3 og Mærsk er til gengæld præmieeksempler på det modsatte, og her taler ingen om, at der skal rulle hoveder.
I takt med at cyberkriminaliteten vokser, og trusselsbilledet inden for it-sikkerhed vokser i frekvens, kvantitet og udspekulerethed, vil den åbne linje være den eneste farbare vej.
Om få år bliver man fyret for lukkethed, fordi man så ikke bidrager til samfundets arbejde med at dæmme op for digital kriminalitet.

Åbenhed er nøglen
Hvad kan man så gøre?
Ja, vi kan starte med at erkende og beskrive it-risikoen i årsrapporten. Baseret på en nøgtern vurdering af hvor risikoen er størst. Åbenheden udadtil skal bygge på åbenhed indadtil, så man lærer af egne – og meget gerne andres – fejl og hændelser.
Ligesom i al anden risikostyring må ledere vurdere den forretningsmæssige effekt af cyberkriminalitet og it-sikkerhed, og kortlægningen af den økonomiske effekt indgår i designet af forebyggelsen og kriseberedskabet.
På det her område er nulfejlskultur den faktiske hovedfjende.
Hvis virksomheden tror på nul fejl, tager den ikke problemet alvorligt nok, og den skruer ikke sin risikostyring sammen på en optimal måde. Strudsetaktikken hører fortiden til.
Vi skal opbygge en kultur, hvor risikostyringen er indbygget i beslutningernes dna. Det er ikke nok, at et berømt konsulentfirma giver os et flot stempel, og det er heller ikke nok at parkere opgaven hos en lille stabsfunktion.
God praksis er i stedet at implementere fokuseret risikostyring startende med overvågning af de it-relaterede risici, der kan påvirke vores strategiske mål, lovgivningsmæssige krav eller omdømme og indføre foranstaltninger og nøglekontroller for disse områder.
Risikotænkningen skal være med helt ude i hverdagen, så vi opnår en løbende læring om de faktiske hændelser. Det kræver en kultur, hvor man lytter – og ikke straffer – når nogen fortæller om problemer og uregelmæssigheder og nye potentielle trusler.

 

Vi skal have mange flere “brandøvelser” på en nærmest brændende varm it-platform, som bliver stadig mere strategisk for de fleste virksomheder.

 

Konkurrenter samarbejder
I finanssektoren ser man nu et samarbejdsorgan som FSOR, hvis formål er at dele erfaringer med cybersikkerhed. Det er perspektivrigt. På tværs af skel mellem konkurrenter skal vi arbejde sammen, fordi truslen er så stor.
De kriminelle organisationer er pr. definition foran i dette globale våbenkapløb, og vi er stærkere sammen.
Ligesom vi arbejder sammen om at beskytte fysisk infrastruktur mod naturkatastrofer, skal vi arbejde sammen om den digitale infrastruktur.
Vi skal have mange flere “brandøvelser” på en nærmest brændende varm it-platform, som bliver stadig mere strategisk for de fleste virksomheder.

Af Tomas Hellum, direktør, LinkGRC og rådgiver
GRC platform

LinkGRC klar med nyt dansk trusselskatalog

Hvert kvartal vil LinkGRC udkomme med konsolideret viden om de aktuelle cyberstrusler og sikkerhedsforanstaltninger. Trusselskataloget er en betalt service, virksomheder kan abonnere på. Ideen er at levere et kondenseret, samlet og aktuelt overblik over de trusler og samtidig anvise en vej til at imødegå de vigtigste topprioriteter. LinkGRC skaber overblikket gennem et antal danske og internationale kilder og målretter informationen til mellemstore og større virksomheder og ikke mindst virksomheder inden for finans og energi.

”Det her er en service til virksomheder, som ikke selv ønsker at gennemtrawle en række forskellige kilder for at etablere et aktuelt og prioriteret trusselsbillede på it-området”, siger direktør Tomas Hellum fra LinkGRC. ”Vi går ind og ser på ca 500 forskellige trusler, men vi fremhæver dem, som vi ser som de største, vigtigste og mest aktuelle.”

LinkGRC’s danske trusselskatalog består af en kvartalsvis opdatering af et levende dokument, hvor man som kunde også kan bore sig ned i kilderne bag konklusionerne. Udover at beskrive de aktuelle cybertrusler vil kataloget også give en overordnet guidance på relevante imødegåelse.

Hvis du vil vide mere om om vores trusselskatalog, så er du velkommen til at kontakte os på tlf: +45 7022 3280 eller du kan skrive til os på info@linkgrc.com.

informationssikkerhed

Hvor er vores samfundssind om it-trusler?

Tænk hvis alle virksomheder delte deres erfaringer med cybertrusler. Mit gæt er, at det ville være verdens bedste forsvar.

Ganske få konsulenter deler rundhåndet ud af synspunkter, erfaringer og viden, som de opnår i deres egenskab af rådgivere inden for informationssikkerhed. Og det skiller vandene, for som kunde ringer man jo ikke til en ekspert med et aktuelt sviende problem med den forventning, at man kan læse om sagen i avisen dagen efter. Langt de fleste konsulenter går stille med hvordan det reelle eskalerende trusselsbillede i praksis rammer danske virksomheder.

Konsulenternes holdning afspejler meget nøje deres kunders ønsker. Der er langt, langt flere hændelser og angreb, end offentligheden kender til. For nylig delte Mærsk dog sin sag med offentligheden, men det er nærmest undtagelsen der bekræfter reglen. Tak til Mærsk for det! Der skal mod til at fortælle offentlig om de hændelser der opstår, risikoen for virksomheden er at ens omdømme lider skade og det kan igen betyde tab af kunder og tab af værdien af virksomheden. Der står meget på spil, også fordi man i et vist omfang også viser sin egen utilstrækkelighed.

Samlet set er konsekvensen, at vi udadtil fastholder forestillingen om ”nul fejl”, og indadtil kan denne mekanisme give grobund til nulfejlskultur. Og nulfejlskultur bekæmper vi dagligt og inderligt, når vi arbejder professionelt med GRC, for nulfejlskulturens desperate kamp for ufejlbarlighed er dømt til nederlag. Vi får en langt bedre risikostyring internt, hvis vi taler om vores hændelser, vejer vores risici, lærer af vores fejl og styrker foranstaltninger. Ikke mindst på informationssikkerhedsområdet hvor trusselsbilledet er så komplekst og alvorligt, at ufejlbarlighed hører fortiden til!

Mange virksomheder formulerer deres mission og har intentioner i forhold til deres samfundssind og deres bæredygtige tilgang til samfundet. Tænk hvis den tilgang slog igennem på informationssikkerhedsområdet, så vi åbent delte og lærte af samtlige angreb. På den måde ville vi droppe det skamfulde ved at være ramt, og samtidig ville vi hale ind på de organiserede it-kriminelle. It-forbrydernes forspring bygger til en vis grad på, at virksomhederne er forholdsvis langsomme til at udveksle erfaring med svindel, ransomware, virus og spionage.

Måske er det netop et land som Danmark, der kunne gå forrest i denne udvikling. Vi har en regering som sætter digitalisering på dagsordenen i dette forår, og datasikkerhed er absolut ikke det mindst aktuelle emne. Hvad nu hvis…

databeskyttelse

IT- og dokumentsikkerhed (hvad gør vi egentlig selv?)

Risiko Radio episode 8

Truslen fra cyberkriminalitet er voksende – og de kriminelle udnytter i stigende grad medarbejderne som det svage led i sikkerhedskæden.

Vi tager i denne episode af Risiko Radio fat på de udfordringer, som mange organisationer har med IT- og dokumentsikkerheden i dag.

Og det er jo let nok at lyde kløgtig og som om, man selv har styr på det hele – så hvad gør vi egentlig selv? Og hvordan kan man være pragmatisk men effektiv omkring sin egen sikkerhed, sine passwords, apps og alt det andet?


Er du glad for Risiko Radio? Giv os 5 stjerner i iTunes og giv os en anbefaling med på vejen – vi bliver så glade for det! I podcast app’en skal du først søge på ‘Risiko Radio’, vælge Risiko Radio podcasten og trykke på ‘anmeldelser’ – så kan du give stjerne og/eller skrive en kort anmeldelse. Det hjælper os i dén grad med at komme ud til flere, så tusind tak på forhånd (især fordi det, som det vist fremgår ovenfor, er ret bøvlet at finde frem til dér, hvor man kan skrive anmeldelsen).