DI: Den enkelte skal ikke være sin egen cybersikkerhedsekspert

DEBAT: Persondataforordningen kan komme til at overskygge behovet for generel it-sikkerhed, mener chefkonsulent Morten Rosted Vang. Vi skal minimere den menneskelige faktor og sætte fokus på cybersikkerhed på et strukturelt niveau.

Af Morten Rosted Vang
Chefkonsulent, DI Digital

Truslen fra bødestørrelser på op til 150 millioner kroner gør privacy, databeskyttelse og persondata til brandvarme emner i foråret frem mod 25. maj 2018, hvor persondataforordningen får virkning.

Dermed skal vi alle som en del af hverdagen blandt andet til at lære at sige ”privacy by design and default”, som groft sagt betyder, at man skal indarbejde privacy og databeskyttelse i it-systemers design og som en standardindstilling frem for en valgfri opsætning.

Men egentlig burde vi i samme åndedrag lære at sige ”security by design and default”, for persondataordningen er en god anledning til at tænke på hele vores it-sikkerhed og ikke alene på sikring af personoplysninger.

Minimer den menneskelige faktor
Udsigten til de enorme bøder giver privacy og databeskyttelse et naturligt fokus, men hvis vi skulle følge samme logik, burde it-sikkerhed have mindst samme opmærksomhed blandt myndigheder og virksomheder. Økonomiske konsekvenser af brud på it-sikkerheden kan let overstige persondataforordningens bødeniveau.

Yahoos salgspris faldt således med intet mindre end 2,5 milliarder kroner i 2016 som følge af to hackerangreb, og sikkerhedsfirmaet Kasperskys har vurderet, at gennemsnitsomkostningerne ved et hackerangreb for en stor virksomhed er 5,7 millioner kroner.

I en dansk kontekst indikerer undersøgelser, at hver tredje danske virksomhed, der rammes af et cyberangreb, har følgeomkostninger på over en million kroner. Og ifølge Mærsk selv var de direkte omkostninger som følge af cyberangrebet på Mærsk sidste år op imod to milliarder kroner.

Der er altså mange gode grunde til at begynde at tænke på it-sikkerhed som standard frem for et tilvalg, og på hvordan it-sikkerhed kan indarbejdes brugervenligt allerede i designet og i den første spæde udvikling af digitale løsninger.

En af de rigtig gode grunde er, at det reducerer den menneskelige faktor i it-sikkerhed. Netop den menneskelige faktor bliver i stigende grad udnyttet, når hackerne vil finde vej ind i vores systemer, og udnyttes i den voksende digitale svindel, som virksomheder møder i form af for eksempel CEO-svindel.

Vi skal ikke alle være it-sikkerhedseksperter
Og kigger vi på tendenserne i trusselsbilledet, kan vi rent faktisk gøre noget, der har generel effekt på mulighederne for succesfulde hackerangreb.

Et eksempel er at forhindre falske e-mails i at komme frem til modtagerne. Falske e-mails kan for eksempel være phishing-mails eller malware. Der findes allerede en løsning i dag, som kan implementeres via din domæneudbyder. Løsningen hedder DMARC og beskytter dine brugere/kunder mod falske e-mails sendt fra dit domæne. Danske Bank fortalte sidste efterår, at de på det tidspunkt siden årets begyndelse havde stoppet over halvanden million falske e-mails på grund af DMARC. I dag er det bare en mulighed at implementere løsningen. Lad os da gøre det til udgangspunktet, når vi administrerer vores domæne.

Et andet eksempel er vores password-politikker. Det er omkring 80 procent af databrud, der skyldes svage og/eller stjålne passwords. Det vil sige, at vi kan lukke den motorvej af it-usikkerhed, som dårlig omgang med passwords medfører, hvis vi stiller systemkrav om for eksempel passwords på mindst 12 tegn, eller hvis vi for eksempel ikke tillader anvendelse af fabriksgenerede password mere end ved første gang, man logger på løsningen – eksempelvis routeren til vores private wi-fi.

Vi kan altså på et strukturelt niveau gøre en forskel for it-sikkerheden, så det ikke er op til den enkelte borger, myndighed eller virksomhed at være sin egen it-sikkerhedsekspert.

Måske er det for kompliceret at sige ”security by design and default” – måske skal vi bare kalde det strukturel it-sikkerhed og så gøre noget ved det, inden persondataforordningens bøder overskygger behovet for handling, der styrker den generelle it-sikkerhed.

Forrige artikel IT-ekspert: Cybertruslen skal bekæmpes i fællesskab IT-ekspert: Cybertruslen skal bekæmpes i fællesskab Næste artikel Marie Krarup: Islamister og cyber-angreb er de største trusler mod Danmark Marie Krarup: Islamister og cyber-angreb er de største trusler mod Danmark
Millionregning for undersøgelse af regnskabsrod

Millionregning for undersøgelse af regnskabsrod

REGNING: De eksterne undersøgelser i kølvandet på regnskabsskandalen i Forsvarsministeriets Ejendomsstyrelse kommer til at koste mindst 3,5 millioner kroner. En personalesag kan gøre regningen endnu større.