"Digisikker 2012" som PDF - RFSITS
"Digisikker 2012" som PDF - RFSITS
"Digisikker 2012" som PDF - RFSITS
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
DigiSikker 2012<br />
EU-STRAMMER GREBET<br />
OM DATASIKKERHED<br />
Side 7<br />
NEMID OG<br />
FOLKETS TILLID<br />
NemID er kommet for at blive men<br />
sikkerhedsproblemer lægger op til<br />
en revurdering af løsningen. 6<br />
BRUGERAFTALERNE<br />
INGEN LÆSER<br />
Vi kan ikke overskue brugeraftalerne<br />
og accepterer dem i blinde. Det er at<br />
bede om problemer.<br />
8<br />
Hele dette tillæg er udgivet af Rådet For Større IT-Sikkerhed<br />
HJÆLP – du er<br />
blevet stjålet!<br />
Side 10<br />
ÅBEN KULTUR SIKRER<br />
DATA BEDST<br />
Læs hvorfor organisationer<br />
med en åben kultur har bedre<br />
it-sikkerhed.<br />
14<br />
Har du styr på dine e-mails?
Hele dette tillæg er udgivet af Rådet For Større IT-Sikkerhed<br />
TILLIDEN<br />
er afgørende<br />
DIGITALISERING er en forandringskraft<br />
af de vold<strong>som</strong>me. På samme måde <strong>som</strong><br />
dengang verden oplevede det industrielle<br />
gennembrud.<br />
Vi er ved at skabe en ny digital kultur.<br />
Over hele verden vokser nye generationer<br />
op, uden at have kendt til andet end at<br />
kunne være online 24/7.<br />
I DEN FYSISKE VERDEN er tillid et<br />
ret håndgribeligt fænomen. Det skyldes<br />
blandt andet, at geografien sætter grænser.<br />
Man kan umiddelbart aflæse, om man<br />
er i venners lag eller befinder sig et sted,<br />
hvor ekstra opmærk<strong>som</strong>hed er påkrævet.<br />
På nettet er det hele lidt mere flydende.<br />
Der mange nye signaler, vi alle skal lære<br />
at afkode. Der er nu kun er et ét klik fra<br />
Dybbøl til Delhi, så den lokale tryghed er<br />
ikke længere urørlig. Vi har brug for nye<br />
former for beskyttelse og nye metoder til<br />
at opbygge og aflæse tillid.<br />
Det stiller nye krav til os <strong>som</strong> borgere<br />
og ansatte – og specielt de af os <strong>som</strong> udvikler,<br />
sælger, køber og administrerer de<br />
digitale systemer. Sikkerhed og tillid skal<br />
bygges ind fra start og være med i alle<br />
led. Vi skal arbejde målrettet på at skabe<br />
nye metoder, <strong>som</strong> opbygger tillid mellem<br />
mennesker, der kommunikerer digitalt.<br />
Hvis vi forsømmer dette, fodrer vi frygten.<br />
I DETTE MAGASIN kan du læse en<br />
række forskellige historier, <strong>som</strong> fokuserer<br />
på it-sikkerhed, privatlivsfred og digital<br />
tillid i Danmark. Vores mål med DigiSikker<br />
2012 er at bidrage til en sund og påkrævet<br />
debat om, hvordan vi bedst håndterer<br />
digitaliseringens mange udfordringer.<br />
Christian<br />
Wernberg-Tougaard,<br />
Formand<br />
Charlotte<br />
Bagger Tranberg,<br />
Næstformand<br />
MEDLEMMER AF RÅDET<br />
FOR STØRRE IT-SIKKERHED<br />
ATP, Danish Biometrics, Danmarks Radio,<br />
Dansk Standard, Deloitte, Devoteam, DK-<br />
CERT, DKUUG, FTF, HK, IDA’s Teknologiudvalg,<br />
Institut for Menneskerettigheder,<br />
ISSA-Nordic, JayNet, KITA (Foreningen af<br />
Kommunale IT-Ansvarlige), KLID, PROSA,<br />
Region Hovedstaden, Statens IT, Uni-IT,<br />
Zebranet Aps, Ældre Sagen<br />
FAGPERSONER (Fagpersoner repræsenterer<br />
ikke deres organisationer): Anja<br />
Bechmann (Aarhus Universitet, Center<br />
for Internetforskning), Charlotte Bagger<br />
Tranberg (Ålborg Universitet, Juridisk<br />
Institut), Christian Wernberg-Tougaard,<br />
Jan Damsgaard (Copenhagen Business<br />
School, CAICT), Klaus Hansen (DIKU,<br />
Københavns Universitet), Niels Chr. Juul<br />
(RUC), Niels Ole Finnemann (Aarhus<br />
Universitet, Center for Internetforskning),<br />
René Rydhof Hansen (Aalborg Universitet,<br />
Datalogisk Institut), Kim Aarenstrup<br />
2 Rådet for større IT-sikkerhed<br />
Registrering af borgere<br />
er gået for vidt<br />
Det er svært at finde nogen, <strong>som</strong> er uenige. Registreringen af danske borgere er gået<br />
for vidt, og den er ude af proportioner med det, <strong>som</strong> var formålet.<br />
5,5 MILLIONER DANSKERE bliver hvert år registreret<br />
100.000 gange. Det sker, når vi kommunikerer via telefonen og<br />
går på nettet. 550 mia. registreringer blev det til i 2010. Kun få<br />
ved, hvad de loggede data bliver anvendt til, og i hvilken grad<br />
de bliver anvendt. Disse oplysninger sidder Politiets Efterretningstjeneste<br />
og Rigspolitiet solidt på. Specialkonsulent<br />
og ph.d. ved Institut for Menneskerettigheder, Rikke Frank<br />
Jørgensen, oplyser, at politiet på baggrund af registreringerne<br />
har fået indsigt i 3.500 sager. 170 af sagerne vedrørte brug af<br />
internettet.<br />
Det er logningsbekendtgørelsen fra 2007, der danner rammen<br />
for den udvidede overvågning af vores færden på nettet,<br />
men oplysninger om<br />
”Der er mangel på<br />
telefontrafik er blevet<br />
logget hos mange sammenhæng mellem<br />
teleselskaber lang antallet af overvågninger og<br />
tid før logningsbe-<br />
brugen af dem.”<br />
kendtgørelsen trådte<br />
i kraft. Lognings-<br />
Direktør Jacob Willer<br />
Telekommunikationsindustrien<br />
bekendtgørelsen<br />
udspringer af den anti-terrorlovpakke, <strong>som</strong> blev vedtaget i<br />
Folketinget tilbage i 2001. I forhold til EU’s direktiv valgte Danmark<br />
en mere vidtgående regulering i bekendtgørelsen.<br />
JACOB WILLER ER DIREKTØR for Telekommunikationsindustrien,<br />
der er brancheorganisation for tele- og internetudbydere.<br />
Han konstaterer, at udbyderne og dermed kunderne selv<br />
skal betale godt 50 mio. kr. årligt for overvågningen, men det,<br />
<strong>som</strong> forarger ham, er noget andet:<br />
”Der er mangel på sammenhæng mellem antallet af overvågninger<br />
og brugen af dem. Vi mener, det er vigtigt at vurdere<br />
og evaluere, om man får reel værdi ud af den enorme mængde<br />
”Langt de færreste af<br />
os aner, hvor meget og<br />
hvordan vi bliver overvåget.”<br />
Specialkonsulent og ph.d. Rikke<br />
Frank Jørgensen, Institut for<br />
Menneskerettigheder<br />
af registreringer.<br />
Samtidig mener<br />
vi, at der med så<br />
mange registreringer<br />
opstår en<br />
risiko for, at andre<br />
kan have interesse<br />
i registreringsdata<br />
og ønsker at anvende disse til andre formål. Det gælder for<br />
eksempel SKAT, der ønsker at få adgang til disse data – en<br />
adgang vi fortsat nægter at give.”<br />
Specialkonsulent og ph.d. ved Institut for Menneskerettigheder,<br />
Rikke Frank Jørgensen, ser den omfattende logning <strong>som</strong><br />
udtryk for mangel på respekt for borgernes privatliv.<br />
”REGISTRERINGEN RAMMER MEGET BREDT. Samtidig<br />
mangler der dokumentation for behovet, særligt i forhold<br />
DIGISIKKER 2012 UDGIVES AF<br />
www.rfsits.dk<br />
Kommunikationschef Bjørn Kassøe Andersen,<br />
Mail: rfsits@rfsits.dk · Mobil: 42 44 03 30<br />
til internet-kommunikation. Logning blev indført i kølvandet på<br />
terrorangrebene i USA i 2001, og det er på høje tid at overveje,<br />
”Er det rimeligt, at der<br />
gælder andre regler for<br />
indsamling af oplysninger<br />
ved datalogning?”<br />
Formanden Niels Bertelsen, PROSA<br />
om dele af den skal rulles<br />
tilbage,” siger Rikke Frank<br />
Jørgensen. Hun tilføjer,<br />
at langt de færreste af os<br />
aner, hvor meget og hvordan<br />
vi bliver overvåget,<br />
og at det måske er derfor,<br />
at der i Danmark ikke har<br />
været en debat om, hvorfor der bliver pillet ved vores uskyld, før<br />
det modsatte er bevist – et gammelt og hæderkronet retsprincip.<br />
PÅ SPØRGSMÅLET OM, hvad der er den ideelle løsning på<br />
problemet, svarer formanden for PROSA, Niels Bertelsen: ”At<br />
give politiet og andre myndigheder de redskaber, der skal til<br />
for at løse opgaverne, uden at sætte vores demokrati på spil.<br />
Med den adgang til overvågning, vi har i dag, er spørgsmålet,<br />
om det er rimeligt, at der gælder andre regler for indsamling<br />
af oplysninger ved logning end for indsamling af oplysninger i<br />
andre dele af samfundet.”<br />
Chefkonsulent Henning Mortensen fra Dansk Industris<br />
ITEK-branchefællesskab mener, at man bør skille berettiget og<br />
uberettiget overvågning bedre ad.<br />
”Der kan være formål med overvågning, <strong>som</strong> kan være<br />
samfundsgavnlige for både private og virk<strong>som</strong>heder, men <strong>som</strong><br />
det ser ud lige nu, er jeg<br />
enig i, at overvågningen<br />
har taget overhånd. Vi<br />
ved for eksempel, at kun<br />
meget få af de loggede<br />
trafikdata faktisk bruges<br />
Chefkonsulent Henning<br />
i efterforskningsmæssig<br />
Mortensen, ITEK<br />
sammenhæng. Vi ved<br />
ikke, om de reelt har en positiv effekt på domsfældelse eller<br />
indgår i sager, der droppes igen.”<br />
C MEDIA DANMARK A/S er en avisproducent,<br />
<strong>som</strong> producerer avistillæg i den<br />
nordiske dagspresse. C media Danmark A/S<br />
producerer desuden digitale kunde-<br />
magasiner og årsrapporter.<br />
PROJEKTLEDER: Peter Lundegaard<br />
REDAKTION: Hans Henrik Lichtenberg,<br />
Per-Henrik Goosmann, Bjørn Kassøe<br />
Andersen (ansv.)<br />
GRAFISK DESIGN: Susanne Dehmer/<br />
Friform, Daniel Jernberg/DjESIGN<br />
”Vi ved ikke, om loggede<br />
data reelt har en positiv<br />
effekt på domsfældelse ...”<br />
DIN MOBIL OVERVÅGES DØGNET RUNDT<br />
Hver gang du sender en sms eller foretager et opkald,<br />
bliver din omtrentlige placering logget og gemt. Også<br />
selv om du ikke foretager dig noget, bliver din placering<br />
registreret via den mobilmast, du aktuelt er koblet på.<br />
Det er telefonselskabets pligt at gemme disse data,<br />
<strong>som</strong> beskrevet i den såkaldte logningsbekendtgørelse.<br />
FOTO: Rådet for Større IT-Sikkerhed,<br />
Ole Johny Sørensen, POL-Foto, Anders Foss<br />
(s.8 Anja Bechmann)<br />
TRYK: Trykkeriet Nordvestsjælland<br />
INFORMATION OM<br />
TILLÆG FÅS HOS:<br />
Peter Lundegaard,<br />
48 44 49 29,<br />
peter@cmedia.as<br />
www.cmedia.as
ANNONCE<br />
Peter Madsen, it-manager<br />
i Avis Danmark.<br />
Lars Berg-Nielsen,<br />
partner i Deloitte.<br />
Har du styr på dine e-mails?<br />
Det får du med ComArchive!<br />
En e-mail kan være et vigtigt, juridisk dokument, <strong>som</strong> kan betyde forskellen mellem succes<br />
og fallit i en virk<strong>som</strong>hed. Men hvor er den e-mail med aftalen, <strong>som</strong> I indgik i sin tid?<br />
Antallet af e-mails stiger og stiger, og vi er hver især konsekvent bagud i forsøget på at få styr på indbakken. Samtidig bliver vi bedt<br />
om at rydde op, men hvor bliver de slettede mails af, og kan man finde dem igen? Måske savner du den e-mail, der bekræfter en<br />
gammel aftale eller fastlægger vilkår for en kontrakt. E-mailen er slettet fra indbakken for længe siden, og den medarbejder, der havde<br />
sagen, er slet ikke i firmaet længere.<br />
”Med ComArchive slipper du for at bekymre dig om e-mails. ComArchive gemmer automatisk alle e-mails og indekserer dem, så<br />
de er lette at finde frem mellem de tusinder af andre e-mails. Vores løsning sikrer virk<strong>som</strong>heden, gør livet med Outlook enklere og<br />
optimerer virk<strong>som</strong>hedens e-mail-platform,” fortæller administrerende direktør Svend Frandsen fra ComArchive.<br />
EN E-MAIL TIL EN HALV MILLION<br />
At en e-mail kan være vigtig, kan it-manager i Avis Danmark, Peter Madsen, skrive under på:<br />
”Vi har oplevet, at en e-mail afgjorde en tvist til vores fordel, og det betød 500.000 kr. for virk<strong>som</strong>heden. Så det er afgørende<br />
vigtigt at arkivere sine e-mails og kunne søge effektivt i dem,” siger han.<br />
Også de store rådgivere anbefaler at man får styr på sine e-mails:<br />
”E-mails er virk<strong>som</strong>hedsdata og skal behandles <strong>som</strong> sådan. Det kan være juridisk afgørende at kunne dokumentere aftaler og kontrakter,<br />
så vi anbefaler stærkt, at man arkivere alle e-mails på en sikker og effektiv måde,” siger partner i Deloitte, Lars Berg-Nielsen.<br />
Se filmen, <strong>som</strong> forklarer løsningen på 1 minut – www.comarchive.com<br />
Er virk<strong>som</strong>hedens hemmeligheder til salg?<br />
Dagligt trues danske virk<strong>som</strong>heder af it-kriminelle, der vil have fingrene i fortrolige<br />
oplysninger. Informationerne sælges med kriminelle formål eller lækkes på nettet.<br />
”Der er masser af trusler, og de it-kriminelle har rettet blikket mod Skandinavien. Ofte<br />
sker lækagerne gennem interne sikkerhedsbrist, hvor eksempelvis medarbejdere uforvarende<br />
bringer en virus ind i systemet. I dag kan du ubevidst lukke en it-kriminel ind<br />
i dit system ved at besøge en helt legal hjemmeside, hvor der måske gemmer sig en<br />
virus i en bannerannonce,” fortæller Jan Kaastrup, sikkerhedsekspert og partner i Itsikkerhedsfirmaet<br />
CSIS Security Group.<br />
Gennem de inficerede maskiner kan it-kriminelle lænse virk<strong>som</strong>heden for føl<strong>som</strong>me<br />
oplysninger. Det er typisk kreditkortoplysninger, kundedatabasen eller en direkte adgang<br />
til netværket, der bliver solgt på det sorte marked.<br />
Datalækager er hverdag<br />
”Det er steget markant. Især brancher <strong>som</strong> den finansielle sektor, medicinalindustrien<br />
og offentlige institutioner oplever angreb, men også helt almindelige industrivirk<strong>som</strong>heder<br />
oplever lækager,” siger Jan Kaastrup fra CSIS, <strong>som</strong> er specialister i at overvåge<br />
nettet, opsnappe lækkede oplysninger, og hjælpe virk<strong>som</strong>hederne med at finde og<br />
forebygge lækager.<br />
Ikke kun truslen fra uvidende og uforsigtige medarbejdere er et problem. CSIS oplever<br />
i stigende grad, at professionelle it-kriminelle målrettet forsøger at omgå sikkerhedsforanstaltningerne<br />
i en specifik virk<strong>som</strong>hed for at tilegne sig værdifulde oplysninger.<br />
I Danmark har der siden starten af 2012 været seks forskellige store angreb mod<br />
Danmark, hvoraf det ene angreb alene resulterede i 15.000 inficerede pc’er i 250 danske<br />
virk<strong>som</strong>heder. Kun sjældent opdager virk<strong>som</strong>heden selv, at der lækkes oplysninger.<br />
”Vi oplever ofte, at det har stået på i flere år. Så vi kan kun konstatere, at de it-kriminelle<br />
har fået øjnene godt op for Danmark,” understreger Jan Kaastrup.<br />
Lær mere om Threat Detection<br />
www.csis.dk<br />
Er der føl<strong>som</strong>me data der forlader din<br />
organisation?<br />
Ezenta 3D sikkerhedsanalyse<br />
Ved du, hvor meget Facebook, Youtube, Bittorrent og Dropbox bliver<br />
brugt i din virk<strong>som</strong>hed?<br />
<br />
Eller hvilke føl<strong>som</strong>me data, der forlader din organisation?<br />
Lad vores sikkerhedseksperter synliggøre det for dig!<br />
Ezenta A/S<br />
Hørkær 14<br />
2730 Herlev<br />
Læs mere om Ezenta’s 3D sikkerhedsanalyse på:<br />
Om Ezenta A/S<br />
www.ezenta.com<br />
<br />
løsninger inden for it-sikkerhed. Gennem rådgivning, undervisning,<br />
løsninger og services, sikrer Ezenta dagligt offentlige organisationer<br />
samt danske og internationale virk<strong>som</strong>heder i mange forskellige brancher.<br />
Ezenta A/S<br />
Katrinebjergvej 115<br />
8200 Århus N<br />
Rådet www.ezenta.com For Større IT-Sikkerhed 3<br />
Tlf. 70 20 12 60<br />
CVRnr. 32 56 27 60
Hele dette tillæg er udgivet af Rådet For Større IT-Sikkerhed<br />
EU strammer<br />
grebet om<br />
datasikkerhed<br />
EU-kommissionen har udarbejdet en persondataforordning,<br />
der om få år skal erstatte<br />
den danske persondatalov. Lovkomplekset<br />
gør det nemmere at drive virk<strong>som</strong>hed i EU,<br />
men der lægges også op til gigantbøder for<br />
små overtrædelser, ringere forbrugerbeskyttelse<br />
– og den danske tradition for kollektive<br />
overenskomster udfordres.<br />
GRUNDLAGET FOR DET KOMMENDE, digitale fællesmarked.”<br />
Sådan beskriver EU-kommissær Vivianne Reding den<br />
kommende persondataforordning. Medlemslandenes forskellige<br />
persondatalovgivninger vil med det nye tiltag blive gjort<br />
ensartede, og det skal gavne både borgere og virk<strong>som</strong>heder.<br />
”Perspektivet er, at forbrugernes tillid til onlinetransaktioner<br />
øges, og for virk<strong>som</strong>hederne vil konkurrenceevnen kunne<br />
forbedres,” siger Henning Mortensen, der er chefkonsulent hos<br />
ITEK, Dansk Industris branchefællesskab for it-virk<strong>som</strong>heder.<br />
Han har sat sig grundigt ind i forordningen på vegne af ITEKs<br />
medlemmer, og han kategoriserer indholdet i tre dele: Godt,<br />
dårligt – og sjusk.<br />
”Det gode ved fælles regler er, at det letter administrative<br />
byrder for virk<strong>som</strong>hederne. Et eksempel på noget, <strong>som</strong> erhvervslivet<br />
ser frem til, er, at en virk<strong>som</strong>hed, der i dag arbejder<br />
i flere EU-lande, fremover kun skal tilknyttes ét datatilsyn,”<br />
siger Henning Mortensen.<br />
I ØJEBLIKKET SKAL VIRKSOMHEDERNE tilknyttes datatilsyn<br />
i samtlige de lande, virk<strong>som</strong>heden opererer i – og forholde<br />
sig til 27 forskellige måder at håndtere persondata på. Forenklingen<br />
kan spare det europæiske erhvervsliv for over to mia. kr. årligt,<br />
og det bliver en af de effektiviseringsgevinster, der kommer ud af<br />
EU-Kommissionens foreslåede forordning om persondata.<br />
Det nuværende udkast til forordningen lægger også nogle<br />
nye og urimelige byrder på virk<strong>som</strong>hederne. Henning Mortensen<br />
nævner det eksempel, at en virk<strong>som</strong>hed, der har fået kompromitteret<br />
sin sikkerhed på en måde, så det er gået ud over<br />
brugerdata, i løbet af 24 timer skal oplyse samtlige kunder om<br />
sikkerhedsbruddet.<br />
”Virk<strong>som</strong>hederne vil have meget svært ved at sige noget<br />
fornuftigt til deres brugere om sikkerhedsbruddet på så kort<br />
4 Rådet For Større IT-Sikkerhed<br />
tid. Vi mener, at forbrugerne vil<br />
blive utrygge, fordi oplysningerne<br />
fra virk<strong>som</strong>hederne ikke nødvendigvis<br />
følges op med anvisninger<br />
på, hvordan man <strong>som</strong> forbruger bør<br />
forholde sig. Desuden er det uklart hvor små sikkerhedsbrud,<br />
der skal oplyses om,” siger Henning Mortensen.<br />
Det synspunkt bakkes op af Rådet For Større IT-Sikkerhed.<br />
Formand Christian Wernberg-Tougaard siger:<br />
“Det her kommer til at ramme skævt. De virk<strong>som</strong>heder, der<br />
rent faktisk lever op til oplysningspligten, kommer til at betale,<br />
mens de, der holder databrud skjult, går fri.”<br />
ET ANDET PROBLEM er, at forordningen udfordrer den<br />
danske arbejdsmarkedsmodel. Ifølge udkastet må man ikke<br />
behandle oplysninger om ansattes navne og sundhedsforhold.<br />
Det kan gå ud over den måde, overenskomster i dag forhandles<br />
på, fordi behandlingen af disse data indgår i kollektive beslutninger<br />
mellem parterne. Dette er en knast, <strong>som</strong> det kan være<br />
vanskeligt at få ørenlyd for på EU-plan, fordi den danske model<br />
er unik i EU-sammenhæng, vurderer Henning Mortensen.<br />
Det deciderede sjusk handler ifølge Dansk Industri om nogle<br />
vidtgående opstramninger af persondatabeskyttelse. Forordningen<br />
lægger op til, at det vil være et brud på persondataloven,<br />
hvis en virk<strong>som</strong>hed offentliggør navne og telefonnumre på<br />
medarbejdere.<br />
”Som udkastet ligger nu, vil det være en overtrædelse at<br />
præsentere sine medarbejdere på en virk<strong>som</strong>heds hjemmeside,<br />
og det skal naturligvis laves om,” lyder det fra Henning<br />
Mortensen.<br />
VIRKSOMHEDERNE ER OGSÅ BEKYMREDE for konsekvenserne<br />
af at overtræde den nye forordning. Bøden kan nå<br />
op på to pct. af virk<strong>som</strong>hedernes samlede, globale omsætning<br />
eller 1 million euro. Det betyder, at en internationalt arbejdende<br />
software-virk<strong>som</strong>hed, der dømmes for en fejl lokalt i ét EUmedlemsland,<br />
skal straffes i forhold til virk<strong>som</strong>hedens globale<br />
omsætning.<br />
Ifølge kommissionen skal forordningen vedtages i medlemslandene<br />
allerede i 2013 og træde i kraft i 2015. Ifølge Dansk<br />
Industri vil der være mange indvendinger, <strong>som</strong> skal behandles,<br />
fra et væld af virk<strong>som</strong>heder, organisationer og myndigheder, så<br />
2017 virker <strong>som</strong> et mere realistisk årstal for ikrafttrædelsen af<br />
forordningen, mener Henning Mortensen.<br />
EU-kommisær Vivianne Reding vil indføre stærke,<br />
klare og ensartede regler for data sikkerhed i EU.<br />
Persondatabeskyttelse<br />
ensartes i EU<br />
Den danske persondatalov<br />
ophæves, i det øjeblik EU’s<br />
persondataforordning bliver<br />
vedtaget. Det åbner for geografisk<br />
profilering af forbrugere<br />
og inddragelse af personlige<br />
sundhedsoplysninger<br />
i forholdet mellem virk<strong>som</strong>heder<br />
og kunder.<br />
KOMMISSIONENS REFORM af<br />
reglerne for persondatabeskyttelse skal<br />
sikre, at persondata bliver mere ensartet<br />
håndhævet i alle EU-medlemslande.<br />
”En stærk, klar og ensartet retlig ramme<br />
på EU-niveau vil bidrage til at udnytte<br />
potentialet for det digitale, indre marked<br />
og fremme økonomisk vækst, innovation<br />
og jobskabelse,” forklarer EU-kommissær<br />
for retlige anliggender, Viviane Reding.<br />
Konsekvensen er, at den danske<br />
persondatalovgivning ophæves, og trods<br />
EU´s mange foreslåede stramninger<br />
forsvinder væsentlige dele af den nuværende,<br />
danske persondatabeskyttelse<br />
uden at blive erstattet.<br />
”TEKSTEN FRA FORORDNINGEN vil<br />
gælde direkte i dansk ret, og det er ikke<br />
muligt at stå uden for eller få undtagelser<br />
i den, da den er en del af det indre<br />
marked,” siger jurist ved Aalborg Universitet,<br />
Charlotte Bagger Tranberg, der har<br />
skrevet PhD-afhandling om EU-ret og<br />
persondatalovgivning. Hun er bekymret<br />
for den dårligere retsstilling, danske<br />
forbrugere vil få. Det gælder eksempelvis i<br />
forhold til geografisk profilering af dårlige<br />
betalere. Borgere i visse boligområder vil<br />
over én kam kunne vurderes at have en<br />
dårligere rating og dermed ringere mulighed<br />
for at låne penge eller købe på kredit.<br />
Det er i dag ikke tilladt at udarbejde geografiske<br />
profiler af kunder i Danmark.<br />
NOGET TILSVARENDE gælder for<br />
sundhedsoplysninger. I dag må virk<strong>som</strong>heder<br />
ikke indhente sundhedsoplysninger,<br />
selv om borgeren giver samtykke. Det vil<br />
blive ændret, så virk<strong>som</strong>heder vil kunne<br />
bruge sundhedsdata til at udarbejde<br />
tilbud på eksempelvis forsikringer, hvis<br />
kunden giver tilladelse til det.
Sikker digital<br />
tovejskommunikation<br />
med e-Boks<br />
e-Boks er kendt for at være den sikre digitale postboks, hvor virk<strong>som</strong>heder<br />
og myndigheder afleverer post til borgere og ansatte. Løsningen er gennem<br />
årene blevet udbygget, og den virtuelle postboks har hjulpet en lang række<br />
organisationer med at effektivisere arbejdsgange, men der er stadig store<br />
effektiviseringsgevinster at hente – ikke mindst i kraft af nye muligheder<br />
for digitale underskrifter og tovejskommunikation via e-Boks.<br />
Danske forbrugere er vant til at kunne gennemføre<br />
en lang række personlige og juridisk bindende<br />
handlinger på internettet. Mange steder skal man<br />
dog stadig troppe op og sætte sin underskrift<br />
med kuglepen. Det gælder eksempelvis på mange<br />
arbejdspladser, hvor ansættelseskontrakten skal<br />
underskrives, og i forbindelse med optagelse af<br />
lån, eller når en borger skal ansøge om en byggetilladelse<br />
hos kommunen. Sådan behøver det ikke at<br />
være, for teknologi og lovgivning gør det nu muligt<br />
at udvide brugen af digitale underskrifter.<br />
Derfor introducerer e-Boks i de kommende måneder<br />
en ny platform, der gør det muligt for borgere<br />
at underskrive dokumenter digitalt med NemID og<br />
Flere end 3,7 millioner danskere modtager post i<br />
e-Boks. De sparer tid og har bedre overblik over<br />
rudekuverterne. e-Boks er let tilgængelig fra en hvilken<br />
<strong>som</strong> helst computer eller smartphone over hele<br />
verden, og sparede miljøet for 3.135 ton papir alene i<br />
2011. Flere end 185 millioner dokumenter blev overført<br />
via e-Boks i 2011, hvilket sparede både private og<br />
offentlige virk<strong>som</strong>heder porto. Blandt afsenderne er<br />
aflevere dem til myndigheder og virk<strong>som</strong>heder via<br />
e-Boks. Det vil sætte gang i en ny bølge af effektivisering<br />
af arbejdsgange, <strong>som</strong> vil give store administrative<br />
besparelser i hele samfundet – og ikke<br />
mindst gøre brugeroplevelsen endnu bedre.<br />
”Vi oplever, at vores samarbejdspartnere i eksempelvis<br />
bankerne eller hos myndighederne er meget parate til<br />
at tage disse nye muligheder til sig. Det samme gælder<br />
forbrugerne, <strong>som</strong> tager disse teknologier til sig meget<br />
hurtigt,” siger administrerende direktør i e-Boks Henrik<br />
Andersen. Han påpeger, at det for brugerne vil betyde<br />
hurtigere arbejdsgange, mere smidig sagsbehandling<br />
og ikke mindst overblik. Samtidig giver digitale under-<br />
langt de fleste banker, alle landets 98 kommuner, de<br />
fleste statslige styrelser, ATP samt en række realkreditinstitutter,<br />
forsikringsselskaber, energiselskaber,<br />
fagforeninger og teleselskaber samt arbejdsgivere,<br />
<strong>som</strong> sender lønsedler til deres medarbejdere. e-Boks<br />
er et aktieselskab, der ejes ligeligt af Nets og Post<br />
Danmark. e-Boks er hovedsponsor for tennisstjernen<br />
Caroline Wozniacki.<br />
Administrerende direktør<br />
i e-Boks, Henrik Andersen,<br />
lægger op til nye muligheder<br />
for effektiviseringer med e-Boks.<br />
Det sker blandt gennem en<br />
ny, sikker digital underskrift<br />
og tovejskommunikation<br />
via e-Boks.<br />
ANNONCE<br />
skrifter via e-Boks mulighed for massiv effektivisering<br />
– og dermed besparelser for afsenderen.<br />
”Det er væsentligt, når man regner på besparelserne<br />
ved at gå over til digitaliserede underskrifter,<br />
at man ikke blot fokuserer på sparet porto – eller<br />
fremmøde i banken. De største besparelser ligger<br />
faktisk i at effektivisere virk<strong>som</strong>hedernes interne<br />
dokumenthåndtering og i øvrigt den tid, der spares<br />
ved, at personligt fremmøde ikke længere er nødvendigt.<br />
Et dokument, der er digitalt underskrevet, skal<br />
ikke gennem en arbejdsgang for at ende på det rette<br />
skrivebord og efterfølgende arkiveres. I det øjeblik<br />
det er underskrevet og sendt, ligger det på sin plads<br />
hos modtageren og indgår i den øvrige sagsbehandling<br />
hos afsenderen,” siger Henrik Andersen.<br />
En række myndigheder og virk<strong>som</strong>heder har allerede<br />
løsninger til underskrifter, men når e-Boks<br />
snart kan tilbyde sin underskriftsløsning bliver det<br />
en del af e-Boks sikre infrastruktur. Den netop vedtagne<br />
Lov om Offentlig Digital Post, danner således<br />
et solidt grundlag for anvendelsesmulighederne for<br />
e-Boks løsningen.
Hele dette tillæg er udgivet af Rådet For Større IT-Sikkerhed<br />
NemID og<br />
folkets tillid<br />
NemID skulle give os sikker kommunikation mellem borgere, virk<strong>som</strong>heder og<br />
offentlige myndigheder. Men sikkerhedshuller og kritik af løsningens opbygning<br />
lægger op til en revurdering af NemID.<br />
REGERINGEN HAR FORTSAT fuld tillid til NemID. Allerede<br />
i efteråret 2011 fastslog finansminister Bjarne Corydon, at der<br />
fra starten har været stort fokus på sikkerheden i NemID. Han<br />
beskrev, at der hos Nets DanID er beredskab, <strong>som</strong> gør det<br />
muligt hurtigt at sætte ekstra sikkerhedsforanstaltninger i værk,<br />
hvis der bliver brug for det. ”Af sikkerhedsmæssige årsager<br />
kan det ikke oplyses, hvad disse konkret går ud på, men<br />
bankerne, Nets DanID og Digitaliseringsstyrelsen foretager<br />
løbende risikovurderinger,” lød forsikringen til it-ordfører Dennis<br />
Flydtkjær fra Dansk Folkeparti.<br />
For kritikerne af NemID er hemmelige sikkerhedslapper ikke<br />
overbevisende. De mener, at tiden er løbet fra det, <strong>som</strong> kaldes<br />
security by obscurity, altså at man skaber sikkerhed ved hjælp<br />
af skjulte og hemmelige teknikker. I stedet ønsker de en mere<br />
tydelig og veldokumenteret sikkerhed, så interesserede kan<br />
forholde sig til de principper og metoder, der anvendes.<br />
DEBATTEN KAN VÆRE SVÆR at gennemskue. Det fyger<br />
med tekniske begreber og forklaringer. I sidste ende kan det<br />
hele koges ned til, om NemID over de<br />
kommende år bliver i stand til at opnå folkets<br />
tillid og blive et velkendt og normalt<br />
tillidsvækkende fænomen på linje med<br />
kreditkort, pas og kørekort. NemID er<br />
nemlig kommet for at blive, og sikkerhedsløsningen<br />
vil blive en stadigt vigtigere<br />
og mere omfattende del af hverdagen<br />
for danske borgere, virk<strong>som</strong>heder og<br />
myndigheder.<br />
RÅDET FOR STØRRE IT-SIKKERHED<br />
har peget på behovet for en hurtig<br />
revision af NemID-løsningen. Ifølge<br />
Charlotte Bagger Tranberg, jurist, forsker<br />
og næstformand for Rådet For Større ITsikkerhed,<br />
har NemID bredt sig til at omfatte<br />
mange aspekter af vores liv, og det rejser nye problemstillinger:<br />
”NemID er oplagt til finansielle transaktioner. Vi vil aldrig<br />
opnå en 100 pct. sikker løsning, men vi mener, at afvejningen<br />
mellem sikkerhed og risiko her er i orden. Hvis en person<br />
udsættes for svindel i sin netbank, vil dette kunne<br />
gøres op i penge. De nye problemer er opstået, i<br />
takt med at NemID i stigende grad benyttes<br />
til udveksling af personføl<strong>som</strong>me data<br />
mellem det offentlige og borgerne.<br />
En sikkerhedsbrist her<br />
kan ikke gøres op i penge,<br />
og konsekvenserne kan være<br />
uoverskuelige for både borgere<br />
og myndigheder,” siger Charlotte<br />
Bagger Tranberg. Hun påpeger, at<br />
det i 2015 vil blive obligatorisk for<br />
borgere at dele oplysninger med<br />
det offentlige digitalt. Altså det<br />
<strong>som</strong> af kritikere bliver kaldt for<br />
tvangsdigitalisering, fordi<br />
man <strong>som</strong> udgangspunkt<br />
ikke kan fravælge NemID<br />
– der leveres af en privat<br />
udbyder – eller vælge mel-<br />
6 Rådet For Større IT-Sikkerhed<br />
Digitaliseringsstyrelsen har fortsat<br />
fuld tillid til, at NemID er tilstrækkelig<br />
sikker, siger styrelsens<br />
direktør, Lars Frelle-Petersen<br />
Der gik kun cirka et år,<br />
fra NemID blev taget<br />
i brug, til de første<br />
eksempler på misbrug<br />
dukkede op – vel at<br />
mærke forudsigeligt<br />
misbrug, <strong>som</strong> udnytter<br />
en af de designmæssige<br />
svagheder i<br />
NemID-løsningen.<br />
lem flere konkurrerende, teknologiske<br />
løsninger.<br />
DER GIK KUN cirka et år, fra<br />
NemID blev taget i brug, til de<br />
første eksempler på misbrug dukkede<br />
op – vel at mærke forudsigeligt<br />
misbrug, <strong>som</strong> udnytter en<br />
af de designmæssige svagheder<br />
i NemID-løsningen.<br />
”Vi mener, det er afgørende,<br />
at befolkningen har høj tillid til NemID, fordi det er fremtidens<br />
kommunikationsnøgle. Derfor bør arbejdet med en forbedret<br />
version af NemID igangsættes hurtigst muligt i 2012.<br />
Første version af NemID blev udviklet i et lukket forløb. Rådet<br />
mener, at udformningen af næste version bør ske i samspil og<br />
dialog med en bred vifte af aktører,” siger Charlotte Bagger<br />
Tranberg.<br />
Hos Digitaliseringsstyrelsen, der under Finansministeriet har<br />
ansvaret for NemID, er man opmærk<strong>som</strong><br />
på problemerne. Direktør Lars Frelle-Petersen<br />
påpeger, at der ud af de over 700<br />
mio. transaktioner, der er gennemført med<br />
NemID, blot har været en håndfuld såkaldte<br />
man-in-the-middle-angreb i forhold<br />
til netbanker. Endnu er der ingen kendte<br />
tilfælde af angreb mod det offentliges selvbetjeningsløsninger<br />
baseret på NemID.<br />
”De aktuelle eksempler på vellykkede<br />
angreb på netbanker bliver naturligvis<br />
taget alvorligt, og vi har konstant fokus<br />
på sikkerheden i NemID. Bankerne, Nets<br />
DanID og Digitaliseringsstyrelsen foretager<br />
derfor løbende risikovurderinger af<br />
de aktuelle trusler og afvejer behovet for<br />
supplerende sikkerhedsforanstaltninger i<br />
forhold til både brugervenlighed og økonomi. Vi mener dog fortsat,<br />
at risikoen for svindel på nuværende tidspunkt er minimal.<br />
Digitaliseringsstyrelsen har på den baggrund fortsat<br />
fuld tillid til, at NemID<br />
er tilstrækkelig sikker,”<br />
sammenfatter Lars<br />
Frelle-Petersen.<br />
De skarpe<br />
er skeptiske<br />
IT-Politisk Forening har siden<br />
NemID’s introduktion været<br />
blandt de skarpeste og mest<br />
vedholdende kritikere af NemIDløsningen.<br />
Flere medlemmer har<br />
helt fravalgt NemID. Sikkerheden<br />
er for dårlig, mener de, og der<br />
er risiko for, at virk<strong>som</strong>heder og<br />
myndigheder kan snage i borgernes<br />
private data.<br />
DER ER PROBLEMER med den<br />
administrative opbygning af NemID, og<br />
sikkerheden i NemID’s software er forældet,<br />
mener IT-Politisk Forening. Samtidig<br />
er foreningen stærkt skeptisk over for<br />
mulighederne for, at NemID kan benyttes<br />
af serviceudbydere til at få adgang til<br />
brugernes computere.<br />
”Et problem er, at man har valgt at<br />
basere NemID på en Java-applet. Det gør<br />
det i princippet muligt for staten og bankerne<br />
at afvikle programmer på brugernes<br />
computere og snage i personlige forhold,”<br />
siger formand for IT-Politisk Forening,<br />
ph.d. i datalogi, Niels Elgaard Larsen,<br />
der har stillet spørgsmål til, om efterretningstjenester<br />
kan benytte NemID til at<br />
spionere på borgeres computere. DanID<br />
har tidligere afvist, at det kunne lade<br />
sig gøre for serviceudbydere at ”udføre<br />
funktionalitet på brugerens computere.”<br />
IT-Politisk Forening har dog på deres<br />
hjemmeside dokumenteret, hvor nemt det<br />
er at få adgang til brugeres harddiske via<br />
en Java-applet. Det har øget IT-Politisk<br />
Forenings skepsis over for NemID.<br />
”SIKKERHED BØR IKKE være baseret<br />
på uklarhed, det vi kalder security by<br />
obscurity. Det her handler om privatlivets<br />
fred for alle borgere. Derfor burde der<br />
være en mere åben debat om NemID, og<br />
hvordan løsningen rent faktisk er opbygget.”<br />
En anden anke er NemID’s sårbarhed<br />
over for man-in-the-middle-angreb, hvor<br />
en kriminel opretter en falsk side, <strong>som</strong> en<br />
bruger derefter kommer til at indtaste sine<br />
koder på.<br />
”Dette er ikke teori. Vi har set flere<br />
angrebsbølger. Det er rigtigt, at det<br />
kun er banker, <strong>som</strong> er blevet ramt, men<br />
det kunne lige så godt være offentlige<br />
tjenester. Der er tale om alvorlige fejl i<br />
hele systemets design, <strong>som</strong> gør NemID<br />
til et slaraffenland for kriminelle, nysgerrige<br />
virk<strong>som</strong>heder og myndigheder,” siger<br />
Niels Elgaard Larsen.<br />
VIDSTE DU AT?<br />
• Der er over 200 forskellige danske<br />
websites <strong>som</strong> benytter NemID<br />
• NemID drives af bankerne gennem Nets<br />
DanID med Digitaliseringsstyrelsen <strong>som</strong><br />
ansvarlig myndighed<br />
• 99 pct. af alle danskere i trediverne<br />
har NemID<br />
• 3,84 millioner danskere har NemID<br />
• NemID været brugt lidt over en halv<br />
milliard gange siden introduktionen.
Ingen dato for NemID på mobilen<br />
Danske forbrugere benytter i stigende grad deres tablets og smartphones til<br />
at handle, gå i banken og kommunikere med myndigheder. Men det sker uden<br />
brug af NemID.<br />
DER MANGLER EN MOBIL udgave af NemID, og indtil<br />
den er på plads, må borgerne tage til takke med mindre<br />
sikre løsninger. Det er uheldigt i en tid, hvor forbrugerne i<br />
stigende grad bruger deres mobile enheder til personlig<br />
kommunikation med eksempelvis myndigheder og banker.<br />
Det mener IT-Brancheforeningen.<br />
”Sikker login fra smartphones og tablet-computere er<br />
en af de største drivere for at opnå en mere effektiv digitalisering.<br />
Hver anden familie har i dag smartphones, og<br />
hver femte familie har en tablet-computer. Hvis NemID<br />
skal følge med udviklingen, er det vigtigt, at vi hurtigt<br />
får klare svar på, hvorhen udviklingen går,” siger direktør<br />
Morten Bangsgaard fra IT-Branchen.<br />
DET ER VIGTIGT for udviklere af løsninger at vide, hvilke<br />
sikkerhedskrav det offentlige stiller til brug af hvilke typer<br />
data på hvilke enheder.<br />
SÅDAN SKAL NemID FORBEDRES<br />
RÅDET FOR STØRRE IT-SIKKERHED har udarbejdet en ønskeliste til en fremtidig<br />
generation af NemID. Først og fremmest er det nødvendigt, at regeringen iværksætter<br />
et forberedende arbejde, der inkluderer høringer med eksperter og organisationer.<br />
Rådet For Større IT-sikkerhed mener, at en ny generation af NemID blandt andet bør:<br />
• Udarbejdes i en åben proces<br />
• Etableres på baggrund af åbne standarder<br />
• Leve op til EU’s krav til ”kvalificerede digitale signaturer”<br />
• Være platformsuafhængig<br />
Sikkerhed for kvalitet<br />
i outsourcing<br />
En revisorerklæring fra den statsautoriserede<br />
revisionsvirk<strong>som</strong>hed REVI-IT<br />
sikrer, at både god it-skik og lovgivning<br />
overholdes.<br />
REVI-IT arbejder med it-revision og rådgivning,<br />
og specielt offentlige myndigheder,<br />
sundhedsvirk<strong>som</strong>heder og den finansielle<br />
sektor kræver i stigende grad attestering<br />
af ydelserne fra underleverandører.<br />
Føl<strong>som</strong>me personoplysninger skal beskyt- Martin Brogaard Nielsen.<br />
tes, og det sikrer man sig ved at få en<br />
revisorerklæring på eksempelvis den hosting-leverandør, man outsourcer til.<br />
”Vi auditerer virk<strong>som</strong>heder og tester deres systemer, så vi kan dokumentere, at<br />
de lever op til kravene i eksempelvis revisionsstandard ISAE 3402. Det kan være<br />
cloud-leverandører eller andre, der opbevarer store datamængder, hvor det er vigtigt<br />
for kunderne at have en sikkerhed for at tingene foregår efter bogen,” forklarer direktør<br />
Martin Brogaard Nielsen fra REVI-IT.<br />
Stigende krav om erklæringer<br />
Sådanne revisorerklæringer bliver mere almindelige i takt med, at virk<strong>som</strong>heder og<br />
myndigheder efterspørger det hos leverandørerne. Mange leverandører ser det også<br />
<strong>som</strong> et markedsføringsinstrument, der giver en garanti for, at leverancen lever op til<br />
lovgivningens krav.<br />
”De fleste virk<strong>som</strong>heder har ikke kompetencer eller ressourcer til selv at kontrollere<br />
leverandørerne, så de ser på, om leverandøren er auditeret og har revisorerklæring. Og<br />
det er der, vi kommer ind i billedet. Vi leverer erklæringer direkte i markedet, men også<br />
gennem vores partnerprogram via en række tilsluttede revisionsfirmaer,” understreger<br />
Martin Brogaard Nielsen.<br />
www.revi-it.dk<br />
Leverandørerne har også et stort behov for at vide,<br />
hvilke komponenter de skal forvente selv at bygge, og<br />
hvilke der vil blive stillet til rådighed i en kommende,<br />
fælles infrastruktur. Det er spørgsmål, <strong>som</strong> er af afgørende<br />
betydning for de investeringer, leverandørerne skal<br />
foretage, og for hvor hurtigt langtidsholdbare og sikre<br />
løsninger kan komme på markedet.<br />
”Jo længere tid der går uden klare svar, jo større sandsynlighed<br />
er der for, at der sker knopskydninger af midlertidige<br />
sikkerhedsløsninger,” siger Morten Bangsgaard.<br />
Digitaliseringsstyrelsen undersøger i øjeblikket potentialet<br />
for mobil borger- og virk<strong>som</strong>hedsbetjening med henblik<br />
på at udarbejde en fællesoffentlig handlingsplan for<br />
mobil selvbetjening. Den nuværende NemID-løsning kan<br />
ikke anvendes på mobile platforme. Digitaliseringstyrelsen<br />
kan ikke sige noget om, hvornår en løsning er på plads.<br />
ANNONCE<br />
Hele dette tillæg er udgivet af Rådet For Større IT-Sikkerhed<br />
• Give sikkerhed for, at der ikke kan hentes uvedkommende data fra<br />
brugerens PC<br />
• Følges op med større åbenhed og dialog<br />
• Give brugerne mulighed for at gemme deres digitale nøgler både centralt og decentralt<br />
• Følges op af mulighed for flere konkurrerende login-løsninger.<br />
SE MERE PÅ:<br />
www.rfsits.dk/20120104-nemid<br />
Nu endelig<br />
it-sikkerhed på nettet<br />
En førende dansk platform for debat og<br />
viden om it-sikkerhed. Det er målet med<br />
Ezentas nye website.<br />
It-sikkerhedsvirk<strong>som</strong>heden Ezenta vil meget<br />
mere end at sælge et produkt. Ezenta vil<br />
skabe debat og gøre op med hemmelighedskræmmeriet<br />
omkring it-sikkerhed, og det<br />
skal blandt andet ske gennem en helt ny og<br />
interaktiv website med vidensdeling, blogs<br />
og et dansk ”trusselsbarometer”.<br />
”Vores website skal være mere end blot et Niels Kemal Onat.<br />
visitkort for vores virk<strong>som</strong>hed. Vi ser gerne,<br />
at alle kan bruge siden til at blogge om it-sikkerhed og til at udveksle viden og teste<br />
sikkerhedsniveauet. Vi vil kort sagt tage udgangspunkt i erhvervslivets behov frem for<br />
vores eget behov for at vise os frem,” siger CEO og partner i Ezenta, Niels Kemal Onat.<br />
For meget hemmelighedskræmmeri<br />
Han mener, at branchen er præget af for meget hemmelighedskræmmeri, og det betyder,<br />
at ingen kender det reelle trusselsbillede for netop deres branche. Derfor vil Ezenta<br />
på sigt offentliggøre et ”trusselsbarometer” i lighed med det, man har i andre lande.<br />
”Vi vil være med til at skabe et mere nuanceret kendskab til, hvad der findes af<br />
trusler aktuelt og i den nærmeste fremtid, og gennem vores producenter har vi et<br />
verden<strong>som</strong>spændende kendskab til trusselsbilledet. Vi kender markedet og kan<br />
samle alle disse oplysninger her, og vi ser ingen grund til at holde det for os selv,”<br />
understreger Niels Kemal Onat.<br />
Udgangspunkt i behovet<br />
Først og fremmest tager det nye site udgangspunkt i erhvervslivets behov.<br />
”It-sikkerhed drejer sig om tillid og troværdighed, og det vil vi vise at vi lever op til,<br />
ved at fokusere på behovet mere end på produkter. Det er en rejse der lige er startet,<br />
men vi håber at rigtig mange vil være med til at skabe denne platform,” påpeger<br />
Niels Kemal Onat.<br />
Ezenta A/S<br />
Hørkær 14<br />
2730 Herlev<br />
Ezenta A/S<br />
Katrinebjergvej 115<br />
8200 Århus N<br />
www.ezenta.com<br />
Tlf. 70 20 12 60<br />
CVRnr. 32 56 27 60<br />
ANNONCE
Hele dette tillæg er udgivet af Rådet For Større IT-Sikkerhed<br />
Rigtigt mange bruger de sociale medier men det er kun er de færreste, <strong>som</strong> læser brugeraftalerne – og næsten ingen kan overskue dem.<br />
Brugeraftalerne ingen læser<br />
Brugeraftaler til app’s, websites og software er så omfattende og uigennemskuelige,<br />
at forbrugerne opgiver og accepterer vilkår i blinde. Den adfærd skaber<br />
et ulige bytte forhold mellem brugernes nemme adgang til services og udbydernes<br />
rettigheder.<br />
EN KOLLEGA KOMMER FORBI og viser dig et nyt<br />
spil på nettet. Smart. Du spiller i de sene aftentimer og<br />
har accepteret vilkårene for at komme videre. Ude i højre<br />
side af spillet er der reklamer og<br />
annoncer. Det kan også være en<br />
forbrugerundersøgelse af netop dit<br />
bilmærke. Spillet slutter. Du klikker<br />
dig ind på brugerundersøgelsen,<br />
hvor du registrerer dig og beredvilligt<br />
svarer på spørgsmålene og<br />
slutter af med din e-mail-adresse,<br />
fordi du gerne vil vinde en præmie.<br />
Næste dag ligger der tilbud på varer i din indbakke.<br />
Telefonen ringer, og en ung mand fortæller dig, at du har<br />
deltaget i en undersøgelse og gerne vil vide mere. Du<br />
er irriteret, men et helt andet spil end selve spillet blev<br />
startet med et klik. Spillet om din opmærk<strong>som</strong>hed og<br />
dine indkøb.<br />
SITUATIONEN ER hverdagskost for rigtig mange og<br />
opstår, fordi forbrugerne ikke får læst de aftaler, <strong>som</strong><br />
udbyderne af software, spil, sociale medier og app’s har<br />
udarbejdet. Man orker simpelthen ikke at skulle forholde<br />
sig til de mange og ofte lange tekster med jura, forbehold<br />
og uigennemskuelige fordelinger af rettigheder mellem<br />
bruger og udbyder.<br />
Leder af Digital Footprints Research Group, Anja<br />
Bechmann, fra Aarhus Universitet har i en årrække forsket i<br />
sociale netværksudbydere, brugernes adfærd og bytteforholdet<br />
mellem dem. Hun fortæller, at undersøgelser med<br />
klar tydelighed viser, at det kun er de færreste af os, der læser<br />
en brugeraftale, og at næsten ingen kan overskue dem.<br />
Hun er ikke i tvivl om, at det er brugerne, der bliver tabere.<br />
”Udbyderne kalkulerer med, at brugerne afgiver rettig-<br />
DIN AFTALE MED FACEBOOK<br />
8 Rådet For Større IT-Sikkerhed<br />
Man orker simpelthen<br />
ikke at skulle forholde<br />
sig til de mange og<br />
ofte lange tekster.<br />
AFTALEN, DU SIGER JA TIL, når du opretter en konto på Facebook, er meget vidtgående.<br />
Du giver Facebook ”uopsigelig, evig, ikke-eksklusiv, overførbar, fuldt betalt, global<br />
licens (=adgang) til at bruge, kopiere, opføre offentligt, vise offentligt, omformatere,<br />
oversætte, uddrage (helt eller delvist) og distribuere dette brugerindhold til ethvert for-<br />
heder. Det er en præmis for at være med på for eksempel<br />
de sociale medier. Det er <strong>som</strong> i en skolegård: Er du ikke<br />
med, er du ude, og er du ude, er du ikke en del af det<br />
sociale fællesskab. På den måde<br />
fokuserer man på behovet og gør<br />
det sekundært at læse og forstå<br />
betingelserne for at være med,”<br />
siger Anja Bechmann, <strong>som</strong> tilføjer,<br />
at det stort set er alle platforme,<br />
der har det samme problem, og at<br />
det er generelt for alle netaftaler.<br />
”Det er hele nettets logik, at folk accepterer og kommer<br />
hurtigt videre.”<br />
ANJA BECHMANN MENER IKKE, at det alene er udbyderne,<br />
der har et problem. Brugerne har et medansvar<br />
for deres klik og vaner på nettet samt antallet af programmer<br />
og applikationer, de installerer. Anja Bechmanns<br />
brugerundersøgelser af Facebook blandt gymnasieelever<br />
viser blandt andet, at de unge i gennemsnit har 60 applikationer<br />
installeret, hvor det højest registrerede antal var<br />
251 på iPad, smartphone og pc.<br />
”Jeg tror ikke, at brugerne ændrer adfærd, før de<br />
erkender, at der foreligger et problem ved at acceptere<br />
brugeraftaler i blinde. Jeg mener, der er et lovgivningsproblem,<br />
hvor vi ikke er fulgt med den teknologiske<br />
udvikling,” siger Anja Bechmann.<br />
INGRID COLDING-JØRGENSEN, <strong>som</strong> er it-sikkerhedschef<br />
i GN Store Nord og formand for Dansk IT’s Råd for<br />
IT- og Persondatasikkerhed, er enig i Anja Bechmanns<br />
vurderinger af brugernes adfærd på nettet og deres manglende<br />
viden om, hvad der sker bag kulisserne. Hun mener<br />
også, at udbyderne af sociale medier har et stort ansvar:<br />
“Vores it-adfærd og mangel på<br />
disciplin er en åben invitation til<br />
dem, der gerne vil udføre kriminalitet,”<br />
siger Ingrid Colding-Jørgensen,<br />
<strong>som</strong> er it-sikkerhedschef<br />
i GN Store Nord og formand for<br />
Dansk IT’s Råd for IT- og Persondatasikkerhed.<br />
Foto: lickr/chispita_666 CC BY<br />
“Udbyderne kalkulerer med, at<br />
brugerne afgiver rettigheder.<br />
Det er en præmis for at være<br />
med på for eksempel de sociale<br />
medier,” siger Anja Bechmann<br />
der er leder af Digital Footprints<br />
Research Group ved Aarhus<br />
Universitet og medlem af Rådet<br />
For Større IT-Sikkerhed.<br />
”At sociale medier <strong>som</strong> eksempelvis Facebook har udviklet<br />
sig fra at være en skolegård til en it-portal for hvad<br />
<strong>som</strong> helst, burde have været skrevet med meget store<br />
bogstaver, så alle kunne forstå, at de gik fra det sociale<br />
til det kommercielle.”<br />
”VI KAN KUN ÆNDRE ADFÆRD gennem oplysning,<br />
og det er en illusion, at vi kan styre brugerne i én bestemt<br />
retning. Oplysning skal ske gennem eksempler på de<br />
situationer, vi risikerer at havne i, når vi ikke er bevidste<br />
om vores omgang med nettet og vores software,” siger<br />
Ingrid Colding-Jørgensen. Hun mener, at forbrugernes<br />
vaner med at acceptere aftaler i blinde også åbner døren<br />
for kriminalitet. Når forbrugerne vænnes til at overse<br />
brugeraftaler, er der ikke langt til også at overse sikkerhedsadvarsler.<br />
”Vores it-adfærd og mangel på disciplin er en åben<br />
invitation til dem, der gerne vil udføre kriminalitet,” sammenfatter<br />
Ingrid Colding-Jørgensen.<br />
mål, kommercielt, reklamemæssigt eller øvrigt, på eller i forbindelse med websiden eller<br />
promovering heraf, til at udarbejde afledte værker af dette brugerindhold, eller indarbejde<br />
det i andre værker, og til at bevillige og bemyndige underlicenser af ovenstående.”<br />
KILDE: Facebook
ds.dk/informationssikkerhed<br />
Sikkerhed skal styrke<br />
forretningen!<br />
Dansk Standard kan rådgive jer om forretningsrelevant<br />
informationssikkerhed. Det styrker jeres kvalitet og effektivitet.<br />
Kontakt seniorkonsulent Niels Madelung på 41 21 83 04 eller<br />
nm@ds.dk.
Hele dette tillæg er udgivet af Rådet For Større IT-Sikkerhed<br />
HJÆLP!<br />
Du er blevet stjålet!<br />
Borgere, <strong>som</strong> får<br />
stjålet eller misbrugt<br />
deres identitet,<br />
kan havne i<br />
mareridtsagtige<br />
situationer.<br />
Forbrugerrådet<br />
vurderer at identitetstyveri<br />
er et stort<br />
problem, men<br />
Digitaliseringsstyrelsen<br />
mener ikke,<br />
at der er belæg for<br />
radikale tiltag.<br />
10 Rådet For Større IT-Sikkerhed<br />
KONTOUDTOGET FRA BANKEN VISER, at din konto er<br />
gået i minus, selv om du ved, at den er i plus. Næste dag bliver<br />
du rykket for betaling af et køleskab, du aldrig har set, og en af<br />
dine venner spørger, hvorfor du har meldt dig ind i en patientforening,<br />
selv om du er kernesund. Hvad du endnu ikke ved, er,<br />
at en advokat er på vej til at sende dig en inkassoskrivelse for<br />
manglende overholdelse af en købekontrakt på et stereoanlæg<br />
i den store størrelse.<br />
Din identitet er lang<strong>som</strong>t blevet overtaget af en anden<br />
person. Dine personlige oplysninger og dit CPR-nummer<br />
bliver brugt til at stifte gæld, oprette medlemskaber – eller til<br />
at en anden udgiver sig for at være dig på sociale netværk. Du<br />
opdager, at noget er galt, og nogen har stjålet din identitet så<br />
fuldkomment, at end ikke dit sundhedsbevis bliver godtaget<br />
<strong>som</strong> dokumentation for, hvem du er. Det kan udvikle sig til et<br />
mareridt for personer og familier.<br />
Scenariet er ikke taget ud af den blå<br />
luft. Der dukker vedvarende nye sager op,<br />
hvor ofre oplever, at de slår i en dyne, når<br />
de beder om hjælp til at komme tilbage til<br />
virkeligheden. Der findes eksempler på,<br />
at personer har henvendt sig til Experian<br />
og andre, <strong>som</strong> registrerer dårlige betalere,<br />
med ønske om netop at blive registreret<br />
<strong>som</strong> dårlig betaler for at slippe ud af kløerne<br />
på identitetstyve. Datatilsynet tilkendegav<br />
i 2011, at opgaven ikke kan varetages<br />
af et kreditoplysningsbureau – men at det<br />
vil være muligt at etablere en sådan tjeneste<br />
i separat regi. Andre har henvendt sig<br />
til deres pengeinstitut for at bede om at få nye konti. Endelig er<br />
der eksempler på, at ofre har valgt at flytte for på den måde at<br />
prøve at slippe væk fra problemet.<br />
DANMARKS STATISTIK HAR IKKE tal på problemernes<br />
omfang. Eneste kendte estimat over problemets omfang kommer<br />
fra Det Juridiske Fakultet, Københavns Universitet. Her<br />
lyder vurderingen, at 30–35.000 danske borgere er ramt af<br />
identitetstyveri.<br />
Anette Høyrup, <strong>som</strong> er jurist og forbrugerkonsulent i Forbrugerrådet,<br />
er ekspert i persondatabeskyttelse, og hun har fulgt<br />
udviklingen over adskillige år. Hun bebrejder både lovgivere<br />
”Som det ser ud<br />
nu, vil forbrugerne<br />
først få en højere<br />
grad af tryghed,<br />
når EU-forordningen<br />
træder i kraft,<br />
hvilket ser ud til<br />
tidligst at ske i 2015.”<br />
og Digitaliseringsstyrelsen for at have siddet for meget på<br />
hænderne.<br />
”Vi ved fra vores kolleger i USA, at identitetstyveri nu er det<br />
største, forbrugerpolitiske problem derovre. Vi ved også, at<br />
Rigspolitiet ser en stigning i antallet af anmeldte identitetstyverier,<br />
uden at vi dog har fået lejlighed til at se tallene. Men vi ser<br />
ikke vores politikere og Digitaliseringsstyrelsen rykke tilsvarende<br />
på sig for at komme ofrene til hjælp. Forbrugerne er ladt<br />
i stikken, og ofrene hænger selv på problemerne. Vi har i flere<br />
tilfælde set, at man ikke har villet eller ikke har kunnet udstyre<br />
de ramte med nye CPR-numre, så de kan komme videre, og<br />
det er bekymrende,” siger Anette Høyrup, <strong>som</strong> også ser det<br />
<strong>som</strong> et problem, at den teknologiske udvikling og mulighed for<br />
digitale identitetstyverier nærmest er spurtet fra den eksisterende<br />
persondatalov.<br />
”I Forbrugerrådet ser vi frem til, at EU-<br />
Kommissionens udkast til en forordning, der<br />
skal erstatte persondataloven, bliver en del<br />
af dansk ret og dermed giver sikkerheden<br />
for persondata et tiltrængt løft. Men vi er<br />
bekymrede over, at der ikke i forvejen er<br />
skabt løsninger for ofrene. Som det ser ud<br />
nu, vil forbrugerne først få en højere grad af<br />
tryghed, når EU-forordningen træder i kraft,<br />
hvilket ser ud til tidligst at ske i 2015,” siger<br />
Anette Høyrup.<br />
LEKTOR I DATALOGI VED RUC, Niels<br />
Chr. Juul, ser ikke identitetstyverier <strong>som</strong><br />
noget nyt.<br />
”Det at udgive sig for at være en anden har altid kunnet lade<br />
sig gøre. Vi har stort set kunnet gøre hvad <strong>som</strong> helst. Lige fra<br />
drengestregerne i skolen, hvor der er blevet bestilt tonsvis af<br />
grus til aflevering i lærerens indkørsel, til socialt bedrageri.<br />
Det kommer vi nok aldrig til livs, så længe menneskeheden<br />
er indrettet, <strong>som</strong> den er. Men med IT kan konsekvenserne af<br />
identitetstyveriet blive rigtig vold<strong>som</strong>me samtidig med at forbrydelsen<br />
kan foretages på afstand. Man behøver ikke se den<br />
det går ud over i øjnene. Vi bør i langt højere grad anerkende,<br />
at det største problem ved identitetstyveri er, at de ramte ikke<br />
kan komme ud af det og få ændret deres CPR-numre. Vi bør<br />
etablere nye og effektive procedurer for at håndtere de ramte,”<br />
Anette Høyrup, Forbrugerrådet
siger Niels Chr. Juul, <strong>som</strong> dog ikke tror på, at et nyt CPRnummer<br />
kan gøre det alene, hvis gerningsmanden fortsat har<br />
fokus på sit offer.<br />
I Digitaliseringsstyrelsen anerkender man, at der foreligger<br />
et alvorligt problem for dem, der er blevet ramt af identitetstyveri.<br />
Men man ser ikke kritikken af styrelsen <strong>som</strong> berettiget.<br />
Ifølge direktør i Digitaliseringsstyrelsen, Lars Frelle-Petersen,<br />
er problemstillingen mere kompliceret og kræver endnu mere<br />
eksakt information, før han vil anbefale at tilkalde kavaleriet.<br />
”For det første blander man tingene sammen, fordi man ikke<br />
har definitionen af identitetstyveri på plads. Forskellige interessenter<br />
har forskellige definitioner, og det hjælper ikke ligefrem<br />
de ramte. For det andet er det et problem, at vi ikke kender<br />
problemet i dets fulde omfang. Og for det tredje er det først<br />
nu, at man er gået i gang med et samarbejde på tværs af myndighederne,”<br />
fortæller Lars Frelle-Petersen, <strong>som</strong> understreger,<br />
at en holdbar hjælp til ofrene er lig med en grundig indsats. En<br />
indsats han også lægger ud til borgere og virk<strong>som</strong>heder med<br />
ønske om, at vi beskytter vores CPR-numre bedre og er mere<br />
bevidste om vores adfærd med vores CPR-numre og andre<br />
personlige oplysninger.<br />
I DIGITALISERINGSSTYRELSEN STILLER man sig tvivlende<br />
over for tallet på 30–35.000 danske ofre for identitetstyveri.<br />
”Hvis det estimat er korrekt, så er der et meget stort misforhold<br />
mellem dette tal, antallet af sager, <strong>som</strong> myndighederne<br />
kender til, og det antal af sager, <strong>som</strong> bliver genstand for presseomtale.<br />
Her i styrelsen bliver vi ikke ligefrem rendt over ende<br />
af ramte eller bekymrede borgere,” siger Lars Frelle-Petersen.<br />
Han oplyser, at Digitaliseringsstyrelsen er gået i gang med<br />
det forebyggende arbejde med informationer på styrelsens<br />
hjemmeside, koordineret indsats med øvrige myndigheder med<br />
henblik på rådgivning og etablering af et egentligt rådgivningssite<br />
for de ramte.<br />
Hele dette tillæg er udgivet af Rådet For Større IT-Sikkerhed<br />
BESKYTTELSE AF<br />
PRIVAT LIVET FRA START<br />
HVIS FREMTIDENS it-systemer skal<br />
kunne beskytte mod identitetstyverier,<br />
skal beskyttelse af privatlivet tænkes ind<br />
i designet af it-systemer, og der skal løbende<br />
holdes øje med, hvor problemerne<br />
opstår.<br />
INDTÆNKNINGEN AF sikkerhed fra<br />
start omtales ofte <strong>som</strong> Privacy by Design.<br />
Et af grundprincipperne er, at it-systemer<br />
fra start skal udformes, således at data og<br />
sammenhænge i data kun er tilgængelige<br />
for dem, <strong>som</strong> har brug for dem.<br />
IT-SYSTEMERNES EFFEKTER skal<br />
også vurderes ved hjælp af det, <strong>som</strong><br />
kaldes for PIA (Privacy Impact Assessment).<br />
Det er et af de centrale begreber i<br />
EU-Kommissionens udkast til forordning<br />
på persondataområdet. PIA analyserer<br />
konsekvenser af et programs anvendelse<br />
og distribution af personlige oplysninger.<br />
Indførelsen af PIA blev anbefalet af den<br />
nu nedlagte IT- og Telestyrelse.<br />
HVAD ER<br />
IDENTITETS TYVERI?<br />
DER ER MANGE forskellige definitioner<br />
af begrebet identitetstyveri. Til denne<br />
artikel er der anvendt følgende definition:<br />
• Identitetstyveri er en persons eller<br />
gruppe af personers overtagelse af en<br />
anden persons fysiske og/eller digitale<br />
identitet.<br />
• Tyveriet skal have til formål at fratage<br />
den anden persons materielle værdier,<br />
rettigheder eller forpligtelser.<br />
DET ER SÅLEDES IKKE identitetstyveri<br />
alene at stjæle og misbruge koder til kreditkort.<br />
Der er først tale om identitetstyveri,<br />
når de stjålne kreditkortdata misbruges<br />
i sammenhæng med anden misbrug af en<br />
persons identitet og persondata.<br />
Identitetstyveri har <strong>som</strong> regel til formål<br />
at fratage en anden persons materielle<br />
værdier eller rettigheder og benytte dem<br />
til egen vinding. Det kan eksempelvis ske,<br />
når et pas blive stjålet og brugt af en anden<br />
person eller på nettet, når et opsnappet<br />
password bruges til at få uretmæssig<br />
adgang til data i den anden persons navn.<br />
Ved grove identitetstyverier har de kriminelle<br />
så mange oplysninger om offeret,<br />
at de har adgang til at manipulere med<br />
personens økonomi, kontakt til offentlige<br />
myndigheder og offerets private netværk.<br />
I retssystemet behandles identitetstyveri<br />
typisk under straffelovens paragraffer<br />
om bedrageri og dokumentfalsk.<br />
Rådet For Større IT-Sikkerhed 11
ANNONCE<br />
Norman har flere års erfaring med avanceret beskyttelse af virk<strong>som</strong>heders netværk og produktionsapparat mod it-kriminelle, fortæller Torjus Gylstorff<br />
og Robert Juul Glæsel.<br />
Pioner inden for sikkerhed beskytter danske<br />
produktions- og forsyningsvirk<strong>som</strong>heder<br />
Truslerne står i kø mod danske produktions- og forsyningsvirk<strong>som</strong>heders it-systemer.<br />
Men der er hjælp at hente hos en pioner i branchen.<br />
Norman har været med i it-sikkerhedsbranchen,<br />
siden it-trusler var virus konstrueret af cola-drikkende<br />
nørder – i dag er it-kriminelle højt specialiserede,<br />
professionelle forbrydere, <strong>som</strong> arbejder på tværs af<br />
landegrænser.<br />
Det betyder, at trusler mod virk<strong>som</strong>heder – også<br />
danske – i dag er stærkt stigende og betydeligt mere<br />
komplekse. Trusselsbilledet er et helt andet. Mængden<br />
af avancerede angreb, <strong>som</strong> er målrettede og<br />
lavet til at omgå de klassiske sikkerhedsmekanismer,<br />
er i stærk stigning.<br />
”Traditionelle it-sikkerhedsløsninger løfter en del<br />
af opgaven mht. beskyttelse af IT og produktions-IT<br />
systemer. Men virk<strong>som</strong>heder og organisationer skal<br />
forholde sig til en ny generation af avancerede og<br />
målrettede trusler, <strong>som</strong> skal detekteres med tilsvarende<br />
avancerede værktøjer for at sikre den kritiske<br />
infrastruktur,” understreger direktør Torjus Gylstorff,<br />
<strong>som</strong> netop har overdraget tøjlerne i den danske<br />
afdeling af Norman til Robert Juul Glæsel for selv at<br />
koncentrere sig om Norman’s internationale forretning<br />
indenfor avanceret beskyttelse af virk<strong>som</strong>heder<br />
og organisationer.<br />
Avancerede analyser afslører skjulte trusler<br />
Norman arbejder i dag med avancerede analyser af<br />
datastrømme for at kortlægge skjulte eller målret-<br />
tede angreb. Traditionelle sikkerhedsmekanismer<br />
har svært ved at detektere avancerede angreb, <strong>som</strong><br />
kan være specialiserede til kun at ramme en enkelt<br />
virk<strong>som</strong>hed.<br />
Både private virk<strong>som</strong>heder og offentlige myndigheder<br />
er udsat for trusler – fra hackere, it-kriminelle,<br />
eller fra organisationer, der vil tilegne sig forretningshemmeligheder.<br />
Virk<strong>som</strong>heder, <strong>som</strong> vil sikre<br />
produktionen, beskytte kritisk infrastruktur eller<br />
beskytte føl<strong>som</strong>me data, bør investere i de it-sikkerhedsværktøjer,<br />
<strong>som</strong> er målrettet til netop denne form<br />
for beskyttelse. Og de værktøjer har Norman.<br />
Et godt eksempel er Norman SCADA Protection,<br />
<strong>som</strong> beskytter produktions-it. En produktion, der<br />
styres af computere, er ofte en del af virk<strong>som</strong>hedens<br />
netværk, og i alle tilfælde udsat for overflytning af<br />
data. Men selv om man kan beskytte hele virk<strong>som</strong>heden<br />
mod trusler udefra, kan der være sikkerhedsbrist<br />
mellem det administrative netværk og produktionen.<br />
Uventede trusler<br />
”Det løser vi ved at skanne alt netværkstrafik til og fra<br />
produktionsmiljøet. Men der kan også komme trusler<br />
ind helt uforvarende – eksempelvis fra en medarbejder<br />
eller en udefra kommende tekniker, der tilslutter<br />
en USB-nøgle eller en bærbar enhed til produktionssystemet,<br />
for eksempelvis at opgradere det. Her<br />
kan vi lave en spærring, <strong>som</strong> kun tillader sikkerhedsskannede<br />
og godkendte enheder at blive koblet på,”<br />
fortæller Robert Juul Glæsel.<br />
Sådanne trusler skyldes ofte en uhensigtsmæssig<br />
adfærd, men det vil ske, når mennesker er en del af<br />
produktionen. Derfor er det bedst at sikre selve systemet<br />
mod truslerne, i stedet for at prøve at ændre<br />
adfærden.<br />
Iran-angreb åbnede øjnene<br />
Et af de eksempler, der gav verden en aha-oplevelse,<br />
var den berømte Stuxnet-orm, der var designet til at<br />
nedbryde det iranske atomprogram. At en magt på<br />
den måde kunne ødelægge en anden magts infrastruktur,<br />
viste hvor sårbar forsyning og andre vitale<br />
samfundsanlæg kan være, og siden har branchen arbejdet<br />
på højtryk for at løse sikkerhedsbristerne. Det<br />
er blandt andet den type løsninger, Norman dagligt<br />
videreudvikler til gavn for kunderne.<br />
Telefon: 70 25 35 08 · e-mail: info@normandk.com<br />
www.norman.com
FAKTA<br />
SÅDAN ANGRIBES<br />
INDUSTRI COMPUTERE<br />
PLC´ERE SIDDER I DAG i næsten alle<br />
automatiserede industrisystemer. Det vil<br />
sige i alt fra vaskehallen nede på tanken<br />
og landbrugets malkemaskiner til bilfabrikker<br />
og atomkraftanlæg. De PLC´ere, der<br />
i dag installeres, baserer sig på teknologi,<br />
der blev udviklet i begyndelsen af<br />
1980´erne. Systemerne er løbende blevet<br />
udbygget med basis i den oprindelige<br />
kerne. Det betyder, at det grundlæggende<br />
design i de chips, <strong>som</strong> benyttes, er fra en<br />
tid, hvor it-sikkerhed ikke var en integreret<br />
del af arkitekturen. De former for<br />
sikkerhed, der findes, er lappeløsninger,<br />
<strong>som</strong> er kommet til efterfølgende. Det gør<br />
PLC´ere særligt udsatte for de såkaldte<br />
zero day-angreb, det vil sige angreb via<br />
sikkerhedshuller, <strong>som</strong> ikke tidligere har<br />
været kendt, netop <strong>som</strong><br />
det var tilfældet med<br />
Stuxnet-ormen. Det<br />
er et kapløb, hvor<br />
udviklerne hele tiden<br />
er bagud i forhold til<br />
sikkerhedstruslerne.<br />
PLC-bokse af denne<br />
type sidder i næsten<br />
alle automatiserede<br />
industrisystemer.<br />
ELMÅLERNE KAN BLIVE<br />
NÆSTE HACKER-MÅL<br />
INTELLIGENTE ELMÅLERE er installeret<br />
i flere hundredetusinde danske hjem.<br />
De gør det muligt at overvåge og styre<br />
forbruget. Målerne er koblet sammen i et<br />
stort netværk, hvor data om elpriser og<br />
forbrug løbende udveksles. Med tiden vil<br />
det blive muligt at tænde og slukke hjemmets<br />
el-apparater automatisk via målerne.<br />
Målerne kan også tilgås fra computere og<br />
smartphones. Det skaber helt nye muligheder<br />
for at anrette virusangreb mod de<br />
private hjem. Elmålerne er nemlig baseret<br />
på de samme, gamle teknologier, der er<br />
sårbare over for vira af samme type <strong>som</strong><br />
Flame og Stuxnet.<br />
STUXNET OG FLAME –<br />
DE ONDE FÆTRE<br />
STUXNET VAR IKKE blot en enkeltstående<br />
orm. It-sikkerhedseksperter fra<br />
blandt andet Kaspersky har afdækket<br />
en nær familierelation mellem Stuxnet<br />
og Flame, der blev opdaget i 2012. Da<br />
Stuxnet blev opdaget i 2010, viste det<br />
sig, at der var tre versioner i omløb, og<br />
at de havde huseret siden 2009. Man<br />
har indtil for nylig troet, at der var tale<br />
om én isoleret kode. Nu viser det sig, at<br />
den nyligt opdagede Flame-orm faktisk er<br />
ældre, og at Stuxnet til dels er baseret på<br />
Flame-platformen.<br />
Modelfoto: flickr/teleradiogroup CC BY-ND<br />
STUXNET ÆNDREDE ALT:<br />
Da industrien fik<br />
taget sin uskyld<br />
Millioner af små computere, <strong>som</strong> holder<br />
essentielle produktionsanlæg kørende,<br />
kan meget vel blive de næste store mål for<br />
hackere og terrorister. Det står klart, efter<br />
computerormen Stuxnet i 2010 blev opdaget.<br />
Den havde spredt sig via Microsoft<br />
Windows, og dens mål var en helt bestemt<br />
type industricomputer på iranske atomanlæg.<br />
Ormen var så avanceret, at der i dag<br />
er bred enighed om, at USA og Israel har<br />
stået bag. Alt tyder på, at den ikke skulle<br />
have været sluppet løs på internettet –<br />
men nu er det sket, og hackere kan bruge<br />
koden til at lave nye varianter.<br />
INDUSTRIENS COMPUTERSYSTEMER holder samfundet<br />
kørende. I alle produktionssystemer sidder der små computere<br />
og styrer robotter, opsamler data eller justerer hastighed<br />
på transportbånd. Traditionelt har disse småcomputere, der<br />
baseres på PLC´ere (Programmable Logic Controller), været<br />
lukkede systemer. PLC´erne bliver dog i disse år integreret<br />
i større produktionsstyringsløsninger, de såkaldte SCADA-<br />
systemer. Forkortelsen SCADA står for Supervisory Control<br />
And Data Acquisition, det vil sige overvågning og datafangst.<br />
Systemerne er afgørende for, at de mange små computere kan<br />
give virk<strong>som</strong>heden værdifulde oplysninger om produktionen.<br />
SCADA-systemerne kobles i stigende grad sammen med<br />
virk<strong>som</strong>hedernes økonomistyringssystemer, og det ses også<br />
stadig oftere, at SCADA-systemer og -komponenter kan monitoreres<br />
og serviceres via internettet.<br />
Det gør livet lettere for virk<strong>som</strong>hederne, men det giver også<br />
en række indgange for hackerangreb – netop det <strong>som</strong> skete<br />
ved Stuxnet- og igen i 2012 med Flame-angrebene.<br />
STUXNET-ORMEN BLIVER NU fanget af de fleste sikkerhedsløsninger,<br />
men der er sket et fundamentalt skift. Det<br />
krævede indsats fra to stater at udvikle den avancerede kode,<br />
<strong>som</strong> Stuxnet benyttede, og <strong>som</strong> anvendtes <strong>som</strong> virtuelt våben<br />
mod Iraks atomanlæg. Nu findes denne kode frit tilgængelig på<br />
Hele dette tillæg er udgivet af Rådet For Større IT-Sikkerhed<br />
Iranske teknikere arbejder på Bushehr atomkraftværket i den sydlige del af landet. Iran har bekræftet at Stuxnet inficerede adskillige af de ansattes<br />
bærbare computere, men har også ladet forstå at selve anlægget ikke blev påvirket.<br />
internettet, og nye varianter, <strong>som</strong> benytter samme, avancerede<br />
teknik, vil være nemme at udvikle.<br />
Det har Yaniv Miron gjort for at vise, hvor sårbare virk<strong>som</strong>hederne<br />
er. Han er sikkerhedskonsulent i virk<strong>som</strong>heden FortConsult,<br />
og han har en fortid hos blandt andet Israels militær, Israel<br />
Defence Forces. Han forsøger at oplyse om den potentielle risiko,<br />
de meget udbredte SCADA- og PLC-baserede systemer<br />
udgør for erhvervslivet og også for staters sikkerhed.<br />
”TRUSLEN MOD VORES industrisystemer er reel. Når der<br />
skal bores olie, eller når der skal etableres nye produktionssystemer,<br />
så handler det for virk<strong>som</strong>hederne først og fremmest<br />
om at få produktionen op i omdrejninger. It-sikkerhed er<br />
man måske nok bevidst om, men ude i virk<strong>som</strong>hederne anses<br />
industrisystemerne for kun at udgøre en lille risiko. Det skyldes,<br />
at angrebene er sjældne, men risikoen stiger, i takt med at der<br />
ikke tages hånd om problemet,” siger Yaniv Miron.<br />
Virk<strong>som</strong>hedernes mangel på opmærk<strong>som</strong>hed betyder, at der<br />
oppustes en boble af sårbarheder: Virk<strong>som</strong>hederne udbygger<br />
konstant industrianlæg med usikker teknologi, samtidig med at<br />
redskaberne til at kompromittere sikkerheden bliver mere og<br />
mere tilgængelige.<br />
”Det er ikke science fiction længere. Jeg har personligt hacket<br />
mig ind i PLC´ere og SCADA-systemer, og værktøjer til at gøre<br />
dette kan frit downloades fra internettet. Set fra et sikkerhedssynspunkt<br />
er det en uholdbar situation,” fortæller Yaniv Miron.<br />
SIKKERHEDSSTRATEG KIM AARENSTRUP fra IBM er<br />
enig i den betragtning. Orme <strong>som</strong> Stuxnet og Flame har taget<br />
industriens uskyld, og han mener, at virk<strong>som</strong>hedernes ledelser<br />
i højere grad bør tage deres it-sikkerhedsfolk med på råd:<br />
”Der er en tendens til, at sikkerhedsfolkene skal slås rigtig<br />
hårdt for deres berettigelse. I forbindelse med finanskrisen er<br />
sikkerheden forsvundet fra ledelses-radaren, i takt med at der<br />
har været travlt med at kæmpe for forretningens økonomi.”<br />
Han påpeger desuden, at en nylig IBM-undersøgelse af itsikkerheden<br />
fordelt på lande verden over viser, at danske virk<strong>som</strong>heder<br />
de seneste år er sakket agterud i forhold til andre<br />
lande. Kim Aarenstrup anbefaler derfor, at man på ledelsesniveau<br />
i danske virk<strong>som</strong>heder tager skridt til at hæve it-sikkerheden<br />
fra et brandslukningsniveau til et strategisk niveau.<br />
”Det er vigtigt at forstå, at it er en komponent i forretningen<br />
og ikke kun noget, der vedrører it-afdelingen. Den forståelse<br />
mangler i mange danske virk<strong>som</strong>heder,” siger Kim Aarenstrup.<br />
Rådet For Større IT-Sikkerhed 13
Hele dette tillæg er udgivet af Rådet For Større IT-Sikkerhed<br />
Det er mindre attraktivt at kopiere og misbruge data, <strong>som</strong> er skabt i samarbejde med andre.<br />
Åben kultur<br />
sikrer data bedst<br />
Videndeling, teamwork og fri adgang til<br />
virk<strong>som</strong>hedens fælles data er nøgleord for<br />
en moderne virk<strong>som</strong>hed. Medarbejdernes<br />
adgang til data giver samtidig en række<br />
sikkerhedsrisici, <strong>som</strong> det er en ledelses<br />
opgave at tackle.<br />
NÅR EN MEDARBEJDER FORLADER en virk<strong>som</strong>hed, er<br />
der betydelig risiko for, at der også går data og viden tabt. Det<br />
kan være viden om fremgangsmåder, kundedatabaser, design<br />
og meget andet. Åbenhed og videndeling kan være et effektivt<br />
våben mod tab af data og viden. Når virk<strong>som</strong>hedens viden er<br />
fælles, ligger enkelte medarbejdere nemlig ikke alene inde med<br />
kritisk viden om forretningsgange eller data om kunder.<br />
Inger Toft Thiersen er uddannet advokat, og hun er indehaver<br />
af rådgivningsvirk<strong>som</strong>heden Viden Assistance.<br />
”Når vi skal minimere tabet af data via medarbejderne, skal<br />
vi se på, hvordan vi videndeler, og hvilke aftaler vi har for videndeling.<br />
Virk<strong>som</strong>heder, <strong>som</strong> pålægger de ansatte at videndele<br />
og at dokumentere deres arbejdsgange, mister langt færre<br />
data end virk<strong>som</strong>heder, der ikke har regulering på området,”<br />
siger Inger Toft Thiersen.<br />
Det skyldes, at de virk<strong>som</strong>heder, der har en kultur for deling<br />
af viden og data, arbejder i så komplekse sammenhænge<br />
internt og eksternt, at der ikke er incitament til at kopiere eller<br />
misbruge data, <strong>som</strong> ikke kan anvendes uden hjælp fra eller i<br />
sammenhæng med andre.<br />
EN AF INGER TOFT THIERSENS opgaver er at sikre, at<br />
virk<strong>som</strong>hederne ikke taber data og viden, når en medarbejder<br />
rejser. Det kan være ved at indføre it-systemer, regler for videndeling<br />
eller ved at afholde exit-samtaler.<br />
”Virk<strong>som</strong>heden skal indse, at det er vigtigt for dens bund-<br />
14 Rådet For Større IT-Sikkerhed<br />
linje, at der videndeles på en struktureret måde, og at det er en<br />
ledelsesopgave at styre denne indsats. Det er min oplevelse,<br />
at meget få virk<strong>som</strong>heder i dag erkender dette behov, og dermed<br />
risikerer de, at der forsvinder data fra virk<strong>som</strong>heden.”<br />
NIELS MADELUNG, DER ER seniorrådgiver hos Dansk<br />
Standard siger: ”Det kan være en motiverende faktor i en<br />
virk<strong>som</strong>hed at have fri adgang til fællesdrev. Det giver en<br />
fornemmelse af åbenhed og fælleskab, men flere og flere<br />
virk<strong>som</strong>heder er gået over til at organisere data efter needto-know<br />
frem for nice-to-know for at undgå tab af data, og de<br />
indfører standarder for bedre datahåndtering. Det kan være<br />
noget så simpelt <strong>som</strong> at sikre, at kun de rette personer har<br />
adgang til virk<strong>som</strong>hedens it-system. Jeg har set eksempler på,<br />
at afskedigede medarbejdere har haft adgang til deres tidligere<br />
arbejdspladsers it-systemer meget længere tid, end de skulle<br />
have haft. Her kan standarder for medarbejderes adgang være<br />
en hjælp,” siger Niels Madelung.<br />
INGER TOFT THIERSEN PÅPEGER, at det er væsentligt at<br />
sondre mellem data, viden og forretningshemmeligheder: ”Data<br />
og information tilhører arbejdsgiveren. Vi taler her for eksempel<br />
om beregninger, aftaler, analyser. Viden er derimod resultatet<br />
af medarbejderens bearbejdning af disse data og tilhører <strong>som</strong><br />
udgangspunkt medarbejderen, indtil resultatet af arbejdet indgår<br />
i virk<strong>som</strong>hedens data.” Hun tilføjer, at behandlingen af data<br />
og viden bør være reguleret af ansættelseskontrakten, hvor<br />
der kan være meget stor forskel på detaljeringsgraden. Forretningshemmelighederne<br />
reguleres af markedsføringsloven.<br />
Med den i hånden tager nogle virk<strong>som</strong>heder hele skridtet og<br />
forlanger, at alle data er dokumenteret slettet fra den ansattes<br />
pc, mens andre gennemfører et interview i forbindelse med fratrædelse.<br />
Andre igen indfører ISO-standarder eller udarbejder<br />
interne politikker for, hvordan data skal behandles, og hvilke<br />
typer data en medarbejder må tage med hjem.<br />
Foto: flickr/alessandromusicorio CC BY-SA<br />
TO SCENARIER<br />
FOR DATATAB<br />
NIELS MADELUNG, der er seniorrådgiver<br />
hos Dansk Standard, ser to forskellige<br />
scenarier for, hvordan en medarbejder<br />
kan gøre skade på en virk<strong>som</strong>hed ved at<br />
lænse data.<br />
Et scenarie er den beregnende<br />
medarbejder, <strong>som</strong> igennem længere tid<br />
indsamler data og systematisk sender<br />
denne viden ud af virk<strong>som</strong>heden. Email,<br />
USB-stik og smartphones gør det vanskeligt<br />
at lægge restriktioner på data, <strong>som</strong><br />
medarbejderen i sin hverdag har adgang<br />
til. Her er løsningen at have et godt forhold<br />
til sine medarbejdere.<br />
”Det er meget sjældent, vi ser den<br />
systematiske lænsning af data. Problemet<br />
er, at det ikke kan forhindres direkte gennem<br />
tekniske eller administrative tiltag.<br />
For at undgå, at den sikkerhedsbrist bliver<br />
udnyttet, må ledelsen satse på forholdet<br />
mellem medarbejdere og virk<strong>som</strong>hed.”<br />
DET ANDET SCENARIE, <strong>som</strong> ifølge<br />
Niels Madelung er det mest udbredte, er,<br />
at en medarbejder i affekt og over kort<br />
tid gør en indsats for at hive så mange<br />
værdifulde data med sig <strong>som</strong> muligt. Det<br />
kan ske i forbindelse med en opsigelse<br />
eller splid på arbejdspladsen. En ledelse<br />
kan forebygge denne type situationer på<br />
flere måder. Først og fremmest skal data<br />
organiseres i en struktur, hvor man ikke<br />
umiddelbart fra brugerfladerne kan kopiere<br />
det samlede indhold. Databaser, der<br />
præsenteres på en web-brugerflade, er et<br />
eksempel på en god løsning. Det er også<br />
en god idé at have procedurer for hvem,<br />
der har adgang til hvad og hvornår.<br />
FIRE TRIN TIL BEDRE<br />
DATASIKKERHED<br />
Proceskonsulent Inger Toft Thiersen<br />
anbefaler ofte organisationer at arbejde<br />
med datasikkerhed ud fra en strategi på<br />
fire niveauer:<br />
TILLID: Tillid til, at alle behandler data<br />
<strong>som</strong> aftalt, og tillid til, at medarbejderne<br />
videndeler til gavn for virk<strong>som</strong>hed og<br />
kolleger.<br />
ANERKENDELSE: Anerkendelse fra<br />
ledelse og kolleger, når der videndeles.<br />
STRUKTUR: Videndeling sker struktureret<br />
og med de rette it-systemer.<br />
KOLLEKTIV INDSATS: Videndeling<br />
finder sted <strong>som</strong> en samlet virk<strong>som</strong>hedsindsats,<br />
hvor hver enkelt bærer et ansvar.
DET ER IKKE<br />
ALT, DER KAN<br />
SIKRES BAG EN<br />
FIREWALL<br />
VORES NETVÆRK SKABER SIKKERHED FOR IT-FOLKET<br />
SAMDATA\HK er Danmarks største faglige netværk for<br />
IT-specialister. Det gør, at vi har de nødvendige<br />
forudsætninger for at sikre de bedste løn og arbejdsvilkår<br />
for vores medlemmer.
ANNONCE<br />
It-sikkerhed<br />
styrker<br />
troværdighed<br />
og vækst<br />
It-sikkerhed er ikke blot en nødvendig<br />
investering. For flere og flere virk<strong>som</strong>heder<br />
er det et værktøj til forretningsudvikling,<br />
der giver plus på bundlinjen.<br />
Managing Risk. Enabling Growth. Det er Dubex’<br />
slogan, og det siger præcist, hvad Chief Technical<br />
Officer Jacob Herbst mener, når han fortæller om<br />
virk<strong>som</strong> hedens forretningsstrategi.<br />
”Traditionel risikostyring tager sigte på at kunne<br />
afværge trusler <strong>som</strong> hacking og at kunne leve op til<br />
stigende krav fra kunder og myndigheder. Men flere<br />
og flere erfarer, at der er god fornuft og forretning<br />
i at sikre sine data. Et eksempel er, når virk<strong>som</strong>hedens<br />
medarbejdere skal koble sig op på netværket<br />
eksternt fra bærbare computere eller smartphones,<br />
et andet er e-handel, hvor flere virk<strong>som</strong>heder giver<br />
kunder adgang til interne oplysninger, så de kan<br />
følge deres ordrer,” fortæller han.<br />
Gevinst på flere fronter<br />
Trusler <strong>som</strong> hacking, brug af mobile enheder og<br />
adgang til virk<strong>som</strong>hedsdata er alt sammen emner, der<br />
kræver, at sikkerheden på netværket er i top. Er den det,<br />
kan virk<strong>som</strong>heden hente gevinster på flere fronter. Hvis<br />
kunderne har tillid til virk<strong>som</strong>hedens datasikkerhed, vil<br />
de være tilbøjelige til at vælge samme leverandør næste<br />
gang. Samtidig kan virk<strong>som</strong>heden få effektiviseringsgevinster<br />
ud af at optimere it-sikkerheden.<br />
”Det er her, vi kommer ind. Vi er totalleverandører<br />
og kan både levere standarderne og teknikken. Vi<br />
går ind og ser på kundens behov og processer, og vi<br />
laver en risikoanalyse i forhold til kundens sikkerhedsniveau.<br />
Alt efter hvilken virk<strong>som</strong>hed vi taler om, kan<br />
det være hackerangreb, virus eller strømafbrydelser,<br />
der giver risiko for nedetid eller regulære terrortrusler<br />
mod eksempelvis en vigtig forsyningsvirk<strong>som</strong>hed,”<br />
fortæller Jacob Herbst.<br />
Dubex arbejder blandt andet indenfor brancher <strong>som</strong><br />
finans, medicinal, it og tele, produktion, rådgivning og<br />
den offentlige sektor, og de råder over hele paletten<br />
fra risikoanalyse over sikkerhedsprodukter til implementering<br />
og support. Konsulenterne arbejder tæt<br />
sammen med kundens medarbejdere om de bedste<br />
løsninger uanset hvor i verden, det foregår.<br />
Uden it – ingen forretning<br />
I dag er stort set alle virk<strong>som</strong>heder – og hele samfundet<br />
– afhængige af it-systemer, der virker. Offentlige<br />
myndigheder håndterer personføl<strong>som</strong>me data, og<br />
virk<strong>som</strong>heder sender fortrolige oplysninger på tværs<br />
af grænser til hele kloden. Finansielle virk<strong>som</strong>heder<br />
og børser kan ikke tillade tillidstab eller læk af oplys-<br />
Dubex er Danmarks førende, forretningsorienterede<br />
it-sikkerhedsspecialist. De leverer og supporterer<br />
sikkerhedsløsninger til over 500 lokationer globalt<br />
og har siden 1997 hjulpet private og offentlige virk<strong>som</strong>heder<br />
med at håndtere risici, imødekomme forandringer<br />
og understøtte en fleksibel vækst. Dubex dybdegående<br />
Jacob Herbst, Chief Technical Officer, Dubex.<br />
ninger til professionelle it-kriminelle, og derfor er risk<br />
management inden for it-sikkerhed i dag mindst lige<br />
så vigtigt <strong>som</strong> finansiel risikostyring.<br />
”Uden it er der intet forretningsgrundlag, og<br />
sikkerhed er kompleks i dag. Der findes mange<br />
leverandører af sikkerhedsprodukter, og kun ganske<br />
få gigantiske virk<strong>som</strong>heder har selv de eksperter<br />
og den viden, der er nødvendig for at håndtere<br />
sikkerhedsspørgsmål. Vores eksperter er typisk<br />
ingeniører med en proces- eller it-baggrund, og de<br />
har en grundlæggende forretningsforståelse, så vi<br />
kan vurdere kundernes reelle behov. Vi repræsenterer<br />
mange leverandører og kan derfor fungere<br />
<strong>som</strong> ambassadører mellem producenter og kunder,”<br />
understreger Jacob Herbst.<br />
Hos Dubex går risikostyring og vækst hånd i hånd.<br />
Og det har en række store danske virk<strong>som</strong>heder allerede<br />
indset værdien af. Virk<strong>som</strong>heder <strong>som</strong> Rockwool,<br />
Cowi og Ikano benytter Dubex <strong>som</strong> sparringspartner<br />
i sikkerhedsspørgsmål, lige<strong>som</strong> vigtige forsyningsvirk<strong>som</strong>heder<br />
<strong>som</strong> Lynettefællesskabet sikrer sig<br />
gennem samarbejdet med Dubex.<br />
tekniske ekspertise og brancheerfaring samt en omfattende<br />
produktportefølje og dokumenterede resultater gør<br />
Dubex til den ideelle samarbejdspartner for it-afdelinger,<br />
der ønsker at bidrage til virk<strong>som</strong>hedens succes.<br />
www.dubex.dk
Kronik<br />
SYSTEMER HAR<br />
INGEN<br />
SAMVITTIGHED<br />
Hans Jørgen Bonnichsen, PETs<br />
tidligere operative chef, peger i<br />
denne kronik på vigtigheden af,<br />
at vi fastholder Danmark <strong>som</strong> et<br />
liberalt retssamfund. Som digitaliseringen<br />
gennemføres nu, bringer<br />
den Danmark hen imod en kontrolstat,<br />
advarer han. Man bør altid<br />
<strong>som</strong> politiker tænke på, om man<br />
er villig til at overlade sin egen<br />
lovgivning til ens værste fjender.<br />
Når offentlige myndigheder eller private firmaer<br />
outsourcer databehandling og -opbevaring, er det<br />
alfa og omega at få klare aftaler, der sikrer, at data<br />
ikke falder i de forkerte hænder. Hos Lett Advokatfirma<br />
oplever partner Anders Wernblad, at mange<br />
virk<strong>som</strong>heder ikke er helt klar over, hvilke krav de skal<br />
stille til deres leverandører, når det f. eks. gælder<br />
cloud computing.<br />
”Cloud indebærer mange fordele, men rejser også<br />
nogle juridiske problemer. Hvor præcist befinder dine<br />
data sig – er de i Danmark, i et EU-land eller måske<br />
i Indien? Hvordan kontrollerer man, at persondatareglerne<br />
rent faktisk overholdes osv? Derfor er det<br />
vigtigt, at der indgås en skriftlig databehandleraftale<br />
med krav om, at eksempelvis data skal befinde sig på<br />
en bestemt lokation. Det kan vi <strong>som</strong> advokater pege<br />
på, lige<strong>som</strong> vi med vores store erfaring på området<br />
– og fra arbejde med både kunde- og leverandørsiden<br />
– kan stille de rigtige spørgsmål, så kontrakten<br />
sikrer parterne bedst muligt,” understreger Anders<br />
Wernblad <strong>som</strong> leder afdelingen for IT- og outsourcing<br />
hos LETT.<br />
It-politik og teknik<br />
It-sikkerheden kan være i fare både internt og<br />
eksternt. Derfor bør både offentlige og private virk<strong>som</strong>heder<br />
dels have en politik omkring it-sikkerhed,<br />
dels sikre sig med tekniske løsninger. Desuden skal<br />
DIGITALISERINGEN AF VORES SAMFUND er en<br />
kilde til optimisme og pessimisme på samme tid. Optimisme,<br />
fordi digitaliseringen sparer penge, redder liv,<br />
giver os fantastiske oplevelser, bygger netværk, effektiviserer<br />
og giver os mere tid til at lave de ting, vi gerne vil.<br />
Pessimisme, da digitaliseringen også har en bagside,<br />
hvis den ikke gennemføres fornuftigt og velovervejet.<br />
Den kan misbruges, især fordi vi har skabt et samfund,<br />
<strong>som</strong> hærges mere og mere af paranoid overvågning og<br />
kriminelt misbrug.<br />
Samlet set har vi nu en situation, der gør, at vi i<br />
Danmark mere og mere bevæger os væk fra et liberalt<br />
retssamfund og hen imod en kontrolstat. Det er muligt,<br />
at nogen mener, at jeg maler med den sorte pensel,<br />
men det er en gang imellem nødvendigt for at fremme<br />
forståelse. Det er i den forbindelse bemærkelsesværdigt<br />
at se forskellen på debatten i Tyskland og i Danmark.<br />
Læg mærke til illustrationen her på siden, hvor man ser<br />
virk<strong>som</strong>hederne være specifikke i deres krav til leverandører,<br />
og de skal blandt andet sikre, at eventuelle<br />
kunder og partnere, der har adgang til dele af virk<strong>som</strong>hedens<br />
systemer, har den korrekte autorisation.<br />
”Også her kan man sikre sig teknisk, men når<br />
det gælder leverandører, kan det være mere uigennemskueligt.<br />
En leverandør benytter måske en underleverandør,<br />
og så mister du let styringen og kontrolmuligheden,<br />
når der er flere led. Her skal man sikre<br />
en kontrakt, der tager højde også for denne situation,”<br />
understreger Anders Wernblad.<br />
Skærpet persondataregulering i vente<br />
Hos Lett har medarbejderne i IT- og outsourcing<br />
speciale i love og regler på it-området og persondatalovgivningen.<br />
Især på persondataområdet forventer<br />
Anders Wernblad store stramninger inden for de<br />
kommende år.<br />
”Der kommer en EU-forordning om et par år, der<br />
på mange områder vil skærpe persondatareglerne,<br />
herunder med krav om dokumentation for datahåndtering<br />
og store bøder ved overtrædelser. Det kan<br />
virk<strong>som</strong>heder og myndigheder lige så godt forberede<br />
sig på nu, for det vil få store konsekvenser, hvis den<br />
fremtidige lovgivning ikke overholdes. Derfor bør man<br />
allerede nu udforme skriftlige politikker for behandling<br />
af persondata, hvilket ikke er et direkte krav i dag,”<br />
siger Anders Wernblad.<br />
Hele dette tillæg er udgivet af Rådet For Større IT-Sikkerhed<br />
en tysk demonstration under parolen: ”Mine data tilhører<br />
mig”. Jeg har svært ved at forestille mig, at man kunne<br />
mobilisere en sådan demonstration i Danmark mod<br />
eksempelvis logningsbekendtgørelsen.<br />
VI BEFINDER OS I EN SITUATION, hvor den danske<br />
befolkning er ligeglad. I den forbindelse bør vi være<br />
opmærk<strong>som</strong>me på, at det, at være ligeglad og lade ligegyldigheden<br />
råde, ikke kun er en synd, men også en straf,<br />
<strong>som</strong> Nobelprismodtageren Elie Wiesel engang har sagt.<br />
Det har man sandet i Tyskland, ikke mindst på grund af<br />
landets historie. Her føres der en ganske anden debat.<br />
Den er inspirerende at følge, og jeg håber også, at den<br />
får afsmittende effekt i Danmark. Men det vil kun ske, hvis<br />
vi får kendskab til den.<br />
Det er lang tid siden, at vi har hørt en dansk politiker<br />
sige, og jeg citerer: ”Der lovgives på en sådan måde, at<br />
man forsøger at bilde os ind, at lovgivningen kan<br />
Persondata kræver præcise aftaler<br />
Outsourcing, cloud computing og føl<strong>som</strong>me persondata er en farlig blanding,<br />
der kræver præcise, juridiske aftaler.<br />
Anders Wernblad , partner i LETT.<br />
ANNONCE<br />
LETT er en højtspecialiseret full-service-advokatvirk<strong>som</strong>hed,<br />
der rådgiver erhvervslivet og den<br />
offentlige sektor. Flere af LETTs advokater er<br />
certificerede it-advokater og it/ip-mediatorer<br />
og har kommerciel indsigt og relevant praktisk<br />
erfaring i at identificere og håndtere både risici<br />
og muligheder i it-projekter.<br />
www.lett.dk
Hele dette tillæg er udgivet af Rådet For Større IT-Sikkerhed<br />
SYSTEMER HAR INGEN SAMVITTIGHED<br />
udrydde alle farer. Intet forbud, intet påbud, ingen overvågning<br />
kan udrydde alle livets farer. Men friheden ofres<br />
hver gang. De bilder os ind, at jorden bliver et bedre<br />
sted og mindre farligt sted at være, blot vi indskrænker<br />
friheden?”<br />
Det kunne være mine ord, men er det ikke. Det er Birthe<br />
Rønn Hornbechs ord for år tilbage. Frygten for ”Big<br />
Brother is watching you” er afløst af forventningerne om<br />
at ”Big Mother takes care of you”, kraftigt understøttet af<br />
holdningen ”hvis du ikke har noget at skjule, har du intet<br />
at frygte”.<br />
DETTE SKER SAMTIDIGT MED, at flere og flere data<br />
registreres og behandles centralt, og samtidigt med, at<br />
der mangler bevillinger og muligheder til de myndigheder,<br />
der skal indtræde i ”Big Mother”-rollen og vurdere<br />
rimeligheden og lovligheden af behandlingen af disse<br />
data.<br />
Datatilsynet foretager i gennemsnit 70 inspektioner om<br />
året. I dag er der cirka 4000 dataansvarlige og databehandlere.<br />
Det betyder, at Datatilsynet kan foretage<br />
inspektioner hos disse sådan cirka hver 51. år. Dette<br />
sker samtidig med, at vi har en for så vidt positiv grundlæggende,<br />
men måske naiv tro på, at de mennesker,<br />
der håndterer vore personføl<strong>som</strong>me oplysninger, altid er<br />
gode og retsindige mennesker. Det kan vi håbe på, men<br />
det kan så sandelig også være kriminelle, måske endog<br />
embedsmisbrugere.<br />
MAN BØR ALTID TÆNKE PÅ, at selv om der måske<br />
ligger de bedste intentioner bag, for eksempel at modvirke<br />
og forhindre kriminalitet og terror, så kan der være<br />
næsten uimodståelige fristelser for berigelse. Man bør<br />
altid tænke på, at der i krisesituationer kan blive lagt pres<br />
på politi og efterretningstjenesten, der kan resultere i<br />
grove krænkelser af retssikkerheden og privatlivets fred.<br />
It-sikkerhedsfirmaet Secu A/S har mange<br />
års erfaring i infrastrukturelle services, og<br />
hjælper danske virk<strong>som</strong>heder med rådgivning<br />
og tekniske løsninger, <strong>som</strong> sikrer<br />
deres data ved outsourcing. I dag er cloud<br />
den store udfordring, <strong>som</strong> mange virk<strong>som</strong>heder gerne vil tage op.<br />
”Der er store fordele ved cloud, men mange tøver, fordi de er i tvivl om, hvordan de<br />
kan bevare kontrollen over deres data og bevare den fleksibilitet, der ligger i selv at<br />
have data liggende. Men det kan sagtens lade sig gøre at flytte sin egen it-sikkerhedspolitik<br />
med ud i skyen, vælge hvilke data, der skal med, og hvordan de skal klassificeres.<br />
Vi har masser af erfaring med at sikre data i cloud, og eksempelvis kryptere data og<br />
separere krypteringsnøgler, så det ikke er muligt at bruge de krypterede data for uautoriserede,”<br />
understreger partner og CTO Tommy Abrahamsson fra Secu A/S.<br />
Udnyt fordelene – undgå faldgruber<br />
Hele øvelsen går ud på at udnytte alle fordelene i cloud og undgå faldgruber. Det<br />
gælder i stort set alle brancher, at virk<strong>som</strong>heder vil have fordele i at lægge data ud i<br />
stedet for selv at have et datalager, der skal passes, sikres og opgraderes. Især virk<strong>som</strong>heder,<br />
der alligevel står foran en opgradering af datalageret bør tænke i cloud,<br />
mener Tommy Abrahamsson.<br />
”Vi har eksempelvis hjulpet et stort rederi med at bygge deres globale netværk ind<br />
i et cloudmiljø. Man skal huske, at cloud-leverandører <strong>som</strong> Amazon bruger kolossale<br />
summer på sikkerhed – ofte mere end et stort dansk firmas år<strong>som</strong>sætning. Og det<br />
er mere, end den enkelte virk<strong>som</strong>hed vil bruge på sikkerhed. Så hvis man bruger sin<br />
omtanke og fornuft – og får god rådgivning – så kan man <strong>som</strong> dansk virk<strong>som</strong>hed få<br />
mange fordele af cloud,” påpeger Tommy Abrahamsson fra Secu, <strong>som</strong> også tilbyder<br />
services, der kan overvåge ressourceforbruget<br />
i cloudmiljøet og kryptere data, lige<strong>som</strong><br />
Secu også har en række løsninger inden for<br />
mere traditionel netværkssikkerhed.<br />
”Man bør altid <strong>som</strong> politiker<br />
tænke på, om man er villig<br />
til at overlade sin egen<br />
lovgivning til ens værste<br />
fjender. Uanset hvor umulig<br />
tanken er, så kan der ske et<br />
politisk systemskift.”<br />
Systemer har ingen samvittighed, det har kun mennesker.<br />
Man bør altid <strong>som</strong> politiker tænke på, om man er villig<br />
til at overlade sin egen lovgivning til ens værste fjender.<br />
Uanset hvor umulig tanken er, så kan der ske et politisk<br />
systemskift.<br />
Det var ved årtusindeskiftet helt utænkeligt, at PET<br />
nu – i kraft af en af de gennemførte terrorpakker – har<br />
fået bemyndigelse og fri adgang til oplysninger, herunder<br />
personføl<strong>som</strong>me oplysninger, <strong>som</strong> ligger hos de<br />
offentlige forvaltningsmyndigheder. Det vil i princippet<br />
sige, at PET kan gå til sygehusene, socialforvaltninger<br />
og told- og skattemyndighederne og få oplysninger, eller<br />
de kan gå til ethvert bibliotek i dette land og få udleveret<br />
lister over samtlige borgere, der inden for den sidste<br />
måned, har lånt ”Den lille Kemiker”. Bibliotekaren har ikke<br />
mulighed for at kræve en domstolsvurdering af substansen<br />
i begæringen.<br />
Associationen til et ”tankepoliti” er nærliggende, og<br />
her er det værd at bemærke, at tanken er den eneste<br />
absolutte frihed, vi ejer.<br />
DET STOPPER IKKE HER. Justitsministeriet haft en arbejdsgruppe<br />
siddende, der skal se på brugerregistrering<br />
ANNONCE ANNONCE<br />
Kom bare i<br />
gang med cloud<br />
Danske virk<strong>som</strong>heder vil gerne outsource<br />
deres data til cloud computing,<br />
men mange tøver stadig. Det er der ingen<br />
grund til, mener man hos Secu A/S.<br />
Stay Secure er Nordens største virk<strong>som</strong>hed<br />
inden for ekstern mailscanning. Virk<strong>som</strong>heden<br />
scanner mails og webtrafik for spam og virus<br />
for 430.000 brugere i Norden – i alt bliver<br />
det til 750 mio. mails hver måned.<br />
”99 procent af de mange mails er spam<br />
eller mails fra it-kriminelle, der prøver at lokke<br />
oplysninger fra brugerne, og det giver os det<br />
bedste datagrundlag for at finde ud af, hvad<br />
der netop nu florerer af trusler. Vi har mere<br />
end 30 års erfaring med dette arbejde, og i<br />
af internetadgang på bibliotekerne, der ellers indtil dato<br />
har været et fristed, også i forhold til den efterhånden<br />
mere og mere åbenbart meningsløse logningsbestemmelse,<br />
<strong>som</strong> er helt ude af proportioner i forhold til PETs<br />
og politiets anvendelse af den. Logningsbestemmelser<br />
<strong>som</strong> i Tyskland er erklæret for forfatningsstridige.<br />
Rapporten om de nye indgreb i forhold til bibliotekerne<br />
skulle være færdiggjort inden udgangen af 2010. Hen<br />
over <strong>som</strong>meren 2011 blev initiativet omtalt i de danske<br />
medier, og heldigvis var der forskellige aktører, <strong>som</strong><br />
protesterede. Hvis dette tiltag realiseres, er det endnu et<br />
eksempel på den stadigt stigende overvågning af almindelige<br />
borgere, <strong>som</strong> terrorbekæmpelsen har sat i system.<br />
DER ER FORMENTLIG INGEN TVIVL OM, at en<br />
række af de indgreb, vi har set gennem de seneste år,<br />
er skabt ud af frygt. Frygten for terror, frygten for den<br />
personfarlige kriminalitet. Frygten er en meget smit<strong>som</strong><br />
følelse, der kan invalidere vor livskvalitet og underminere<br />
vor fornuft og dømmekraft. Vi må ikke glemme, at den<br />
<strong>som</strong> kontrollerer frygten i et samfund, kontrollerer magten<br />
i et samfund. Frygt er et effektivt redskab til at holde<br />
orden i et samfund. Er det sådan et samfund, vi ønsker?<br />
Hans Jørgen Bonnichsen<br />
var operativ chef for Politiets<br />
Efterretningstjeneste frem til 2006,<br />
hvor han gik på pension.<br />
Siden har han blandt andet<br />
skrevet bogen ”Frygt & fornuft<br />
– I terrorens tidsalder”.<br />
Unikt samarbejde mod it-kriminelle<br />
Med et datagrundlag på 750 mio. mails om måneden kan virk<strong>som</strong>hederne<br />
Sec4IT og Stay Secure i samarbejde hjælpe med at sikre nordiske virk<strong>som</strong>heder<br />
mod it-kriminelle.<br />
Tommy Abrahamsson. Kaj Møller Holmquist, Sec4IT,<br />
og Esben Arnøy Jørgensen,<br />
Stay Secure.<br />
samarbejde med Sec4IT kan vi advare eksempelvis banker og virk<strong>som</strong>heder mod<br />
trusler,” siger Esben Arnøy Jørgensen fra Stay Secure.<br />
Sec4IT benytter den store database af mails til at danne et overblik over trusler,<br />
og advare de virk<strong>som</strong>heder, der abonnerer på Sec4IT’s service. Tilsammen kan<br />
de to virk<strong>som</strong>heder stoppe spam og it-kriminelle, der forsøger at tilegne sig data<br />
<strong>som</strong> kontonumre, brugernavne & password, samt identitets tyveri.<br />
”Det er et helt unikt samarbejde, og jeg tror ikke andre har et så stort datamateriale<br />
at arbejde ud fra. Det giver os mulighed for at være med til at blokere<br />
for hjemmesider ved hjælp af Stay Secures WebFilter og lukke for phising sites,<br />
der er konstrueret af it-kriminelle, og betyder at vi hurtigt kan gribe ind, når de<br />
kriminelle finder nye veje. Det er jo et ”våbenkapløb” hvor de kriminelle hele tiden<br />
er lidt foran, men ved at samarbejde kan vi næsten holde trit og forhindre megen<br />
kriminalitet,” siger Kaj Møller Holmquist fra Sec4IT.<br />
I dag forsøger mange it-kriminelle via falske mails at få ofrene til at indbetale<br />
mindre beløb, <strong>som</strong> en virk<strong>som</strong>hed måske ikke bemærker, mens andre forsøger via<br />
falske mails og hjemmesider at lokke kreditkortoplysninger og andre personlige<br />
oplysninger fra brugerne. Den slags kriminalitet forsøger Sec4IT og Stay Secure<br />
i fællesskab at bekæmpe.<br />
www.secu.dk www.sec4it.dk www.staysecure.dk<br />
+45 7022 9969 +45 3131 4849
God sikkerhed kræver<br />
ledelsens engagement<br />
Sikkerhedstrusler kan ikke altid løses<br />
med teknik, og derfor er det vigtigt, at<br />
også topledelsen er opmærk<strong>som</strong> på<br />
problematikken, viser en global undersøgelse.<br />
En af verdens største rådgivere, Ernst & Young,<br />
gennemfører hvert år en global undersøgelse af<br />
tendenserne inden for informationssikkerhed. Og<br />
den viser, at virk<strong>som</strong>hederne dels er bekymret for<br />
informationssikkerheden, dels ofte bruger ressourcerne<br />
forkert, når de skal dække sig ind.<br />
”Langt den største trussel er internt i virk<strong>som</strong>heden,<br />
hvor bekymringen går på bla. brugen af nye teknologier<br />
<strong>som</strong> Ipads og smartphones på virk<strong>som</strong>hedens netværk.<br />
De bruger mange penge på teknisk sikkerhedsudstyr,<br />
men har ikke altid gjort sig klart, hvad behovet egentligt<br />
er,” siger executive director Martin H. Nielsen fra Ernst<br />
& Young.<br />
Han peger på at virk<strong>som</strong>hederne skal gøre sig<br />
klart, hvor deres kritiske informationer ligger, og hvilke<br />
aspekter, der skal beskyttes, i stedet for at sætte ind<br />
over en bred kam. Og så skal medarbejderne kunne<br />
se fornuften i at sikre de vigtige informationer – ellers<br />
virker sikkerhedspolitikken ikke.<br />
”Vi så eksempelvis en stor virk<strong>som</strong>hed <strong>som</strong> mente<br />
at de havde et godt sikkerhedsniveau, og var ISO<br />
PwC har mange store virk<strong>som</strong>heder blandt kunderne<br />
og oplever, at risikostyring relateret til informationssikkerhed<br />
bliver en stadig vigtigere forretningsparameter.<br />
I en kompliceret virk<strong>som</strong>hedsstruktur<br />
kan det være svært for ledelsen at overskue, hvor<br />
truslerne kommer fra, og hvilke dele af virk<strong>som</strong>heden<br />
der er sårbare.<br />
”Uanset om det er en privat eller offentlig virk<strong>som</strong>hed,<br />
er det vigtigt at vurdere risikoen. De fleste vil sige,<br />
at økonomisystemet er vigtigt at beskytte, men hvor<br />
længe kan virk<strong>som</strong>heden klare sig uden it-dækning i eksempelvis<br />
Supply Chain (produktion og logistik) – kan<br />
man servicere borgere eller kunder uden it – og hvor<br />
længe?” spørger partner Jesper Parsberg fra PwC.<br />
Printer var nøgleleddet<br />
Som et eksempel nævner han en virk<strong>som</strong>hed, hvor<br />
en printer, der udskrev ordresedler, var et vigtigt led<br />
i produktionen. Måske banalt, men ingen tænker<br />
måske over, at her er et nøgleled, der kan standse<br />
27001-certificeret. Problemet er, at en certificering<br />
kun er effektiv, hvis den bliver fulgt op hele tiden, og i<br />
det konkrete tilfælde var certifikatet nok mest en falsk<br />
tryghed. Derfor skal ledelsen gå aktivt ind i processen,”<br />
understreger executive director Thomas Kühn.<br />
Sikkerhed skal forankres i organisationen<br />
It-sikkerhed skal forankres i organisation og direktion,<br />
ellers bliver det let et paradenummer med flotte politikker,<br />
men uden virkning. Da de færreste virk<strong>som</strong>heder<br />
har erfaring med tilrettelæggelse af informationssikkerhed,<br />
kan det ofte være en god hjælp, at konsulenter<br />
udefra strukturerer processen og analyserer det aktuelle<br />
sikkerhedsniveau, men grundlæggende handler<br />
det om, at virk<strong>som</strong>heden og ledelsen selv kigger sine<br />
arbejdsgange efter i sømmene.<br />
”Det er uhyggeligt svært at få forankret en sikkerhedskultur<br />
i virk<strong>som</strong>hederne, viser vores globale undersøgelse.<br />
Selv om det kan koste millioner i mistede data<br />
og tabt produktionstid, gør virk<strong>som</strong>hederne ofte først<br />
noget effektivt ved problemet, når det er gået galt. De<br />
bruger mange penge på teknik, men det er ikke nok<br />
at give it-afdelingen en pose penge. Man skal se den<br />
forretningsmæssige ide i at sikre sig, og der kan vi <strong>som</strong><br />
rådgivere ofte se tingene ovenfra og være et bindeled<br />
mellem forretningsdelen og teknikken. Men det er<br />
virk<strong>som</strong>heden selv, der skal gøre indsatsen,” påpeger<br />
Martin H. Nielsen fra Ernst & Young.<br />
Sikkerhed styrker<br />
kerneforretningen<br />
Det er vigtigt for kerneforretningen<br />
at afklare alle væsentlige risici i<br />
virk<strong>som</strong>heden. Det gælder i høj grad<br />
også risici i it-anvendelsen.<br />
produktionen i timer eller dage og koste virk<strong>som</strong>heden<br />
mange penge.<br />
For mange virk<strong>som</strong>heder er sikkerheden en teknisk<br />
it-øvelse mere end et ledelsesfokus, og det skaber<br />
problemer.<br />
”Det er selve kerneforretningen, det drejer sig om,<br />
og derfor skal ledelsen have fokus på det. Mange har<br />
ikke en beredskabsplan for, hvad der sker, hvis de<br />
mister adgangen til systemer eller data. Her bør der<br />
være planer både for reetablering af it, for hvordan og<br />
hvor længe forretningen kan drives videre uden it og<br />
for hvordan håndtering af kunder og leverandører kan<br />
fortsætte,” understreger Jesper Parsberg.<br />
Erfaringer fra et globalt marked<br />
PwC har <strong>som</strong> rådgiver i et globalt marked erfaringer<br />
fra mange forskellige virk<strong>som</strong>heder i forskellige<br />
brancher. Dermed kan PwC hjælpe kunderne med<br />
at kortlægge det aktuelle risikobillede og de behov<br />
for beredskabsforanstaltninger og kontroller, der<br />
værner mod ubehagelige overraskelser.<br />
”Vi kan hjælpe med at starte processen eller facilitere<br />
et projekt internt hos kunden. It- og informationssikkerhed<br />
er helt sikkert en ledelsesopgave, og vi kan være<br />
med til at støtte op om ledelsens arbejde og hjælpe<br />
dem med en køreplan. Det kræver fortrolighed, tillid og<br />
Thomas Kühn,<br />
executive director.<br />
integritet, men i dag er<br />
mange virk<strong>som</strong>heder blevet<br />
opmærk<strong>som</strong>me på<br />
problemstillingerne, og<br />
vil heldigvis gerne gøre<br />
noget ved det,” siger<br />
Jesper Parsberg.<br />
Jesper Parsberg,<br />
partner fra PwC.<br />
www.ey.com<br />
• PwC har 1555 medarbejdere<br />
fordelt på 17 kontorer<br />
over hele landet.<br />
• PwC har 45 medarbejdere,<br />
der arbejder med it- og<br />
informationssikkerhed.<br />
• Få opdateret viden<br />
tilpasset dig – ilmeld dig<br />
nyhedsbrevet Dialog på<br />
www.pwc.dk/tilmeld<br />
www.pwc.dk<br />
Martin H. Nielsen,<br />
executive director.<br />
ANNONCE<br />
ANNONCE
ANNONCE<br />
Lilian Jensen, administrerende direktør, og Ib Christian Henricson, product manager, fra Capevo.<br />
Vi udvikler Danmarks<br />
digitale fremtid<br />
Capevos digitale selvbetjeningsløsninger frigør store<br />
ressourcer og sparer virk<strong>som</strong>heder og samfundet for<br />
tid og penge.<br />
Når vi <strong>som</strong> borgere benytter selvbetjening på nettet<br />
– eksempelvis hos kommunen – vil vi bare have at<br />
det virker og er sikkert. Så længe det virker upåklageligt,<br />
interesserer vi os ikke for, hvem der står bag<br />
løsningen. Derfor kender kun de færreste danskere<br />
navnet Capevo.<br />
Men Capevo er i virkeligheden kendt af alle<br />
gennem en årrække. For det er Capevo, der står<br />
bag udviklingen af Xform – en effektiv platform<br />
der eksempelvis sikrede en smidig registrering af<br />
donationer under Danmarksindsamlingen, skabte<br />
en onlineformular til bestilling af BroBizz, og mange<br />
andre velkendte løsninger.<br />
”Vi arbejder med et standardprodukt, <strong>som</strong> så igen<br />
er ultraspecialiseret og tilpasset den enkelte kundes<br />
behov. Vi har gennem årene udviklet en stor base af<br />
standardintegrationer, <strong>som</strong> vi konstant vedligeholder<br />
og udbygger. For os er borgernes sikkerhed og<br />
kvaliteten af data afgørende for, at vi kan udvikle en<br />
løsning, der passer til kundens forretning, men det<br />
kræver også, at vi har en udpræget forståelse for<br />
kundens forretningsgange,” forklarer product mana-<br />
Capevo A/S er et dansk softwarehus med ekspertise i at udvikle, implementere og drive<br />
digitale indberetnings- og selvbetjenings-løsninger.<br />
Capevo A/S har siden 2007, leveret en lang række succesfulde selvbetjeningsløsninger<br />
til offentlige myndigheder og private virk<strong>som</strong>heder.<br />
www.capevo.dk<br />
ger Ib Christian Henricson fra Capevo, <strong>som</strong> udvikler<br />
selvbetjeningsløsninger til både offentlige og private<br />
virk<strong>som</strong>heder.<br />
Brug for first movers<br />
I Danmark er det besluttet, at borgerne så vidt muligt<br />
skal betjene sig selv digitalt i de offentlige systemer.<br />
Derfor er det vigtigt, at der er ”first movers”<br />
<strong>som</strong> Capevo, der siden 2007 har udviklet løsninger,<br />
<strong>som</strong> sparer milliarder af offentlige kroner.<br />
”Hele øvelsen går jo ud på, at når borgerne kan<br />
betjene sig selv, sparer stat, regioner og kommuner<br />
penge, der kan bruges til service andre steder. Det<br />
kræver selvfølgelig dels, at vi kan sikre at borgernes<br />
personlige oplysninger behandles fortroligt, dels<br />
at det er nemt at bruge. Og vi har for længst skabt<br />
løsninger, <strong>som</strong> sikrer, at data opbevares forsvarligt,”<br />
understreger administrerende direktør Lilian Jensen.<br />
Capevo satser på cloud computing, og virk<strong>som</strong>heden<br />
er parat med sikre løsninger allerede i dag, så<br />
Capevo også her er i front, når lovgivningen omkring<br />
cloud computing er klar. Cloud kræver klare aftaler<br />
om, hvor data skal befinde sig – eksempelvis skal<br />
data fra offentlige kunder befinde sig i Danmark.<br />
Decentrale løsninger<br />
”Digitaliseringen indebærer mange fordele. Eksempelvis<br />
er den med til at decentralisere sagsbehandlingen,<br />
fordi man med vores produkter kan lave også helt<br />
små løsninger og kontaktformularer, <strong>som</strong> den enkelte<br />
sagsbehandler kan bruge, og <strong>som</strong> så efterhånden kan<br />
stige i kompleksitet. Naturligvis udviklet, så systemerne<br />
kan ”snakke sammen” indbyrdes. Vi har ingen<br />
interesse i at sætte os på kundens løsning – derfor<br />
udvikler vi leverandør-uafhængige løsninger, <strong>som</strong> ikke<br />
binder kunderne,” siger Ib Christian Henricson.<br />
Han peger også på andre oplagte områder,<br />
hvor digitaliseringen kan benyttes. Smartphones<br />
og tablets er oplagte at benytte i undervisnings-<br />
og sundhedssektoren, og i den private sektor er<br />
pensionsselskaber og telebranchen blandt dem, der<br />
har behov for digitale selvbetjeningsformularer. Alt<br />
sammen områder, hvor Capevo satser stærkt.<br />
”Det vigtige er, at serviceniveauet skal blive bedre,<br />
ikke ringere. Det kan digitaliseringen hjælpe med, og<br />
selv om ikke alle vil kunne bruge løsningerne endnu,<br />
så bliver der frigjort ressourcer netop til at hjælpe<br />
der hvor der er behov. Og der er mange flere områder,<br />
der efterhånden vil kunne digitaliseres til gavn<br />
for samfundet,” påpeger Lilian Jensen fra Capevo.
It-sikkerhed skal tænkes ind allerede fra de første faser af planlægningen og være en bærende faktor i alle led.<br />
SOM EU-BORGER HAR MAN ret til beskyttelse af sine<br />
personlige oplysninger. Det er en del af EU’s charter for<br />
grundlæggende rettigheder og er således på linje med<br />
basale rettigheder <strong>som</strong> ytrings-og religionsfrihed.<br />
Beskyttelsen af persondata udfordres af en øget<br />
kompleksitet i juraen samt en hastig udbygning af offentlige<br />
og private it-systemer, der behandler føl<strong>som</strong>me<br />
personoplysninger. Det stiller helt nye krav til den måde<br />
vi håndterer ikke bare data, men også opbygningen af<br />
it-systemer på.<br />
”Omfanget af private og offentlige virk<strong>som</strong>heders<br />
behandling af personoplysninger udgør en farlig cocktail<br />
og indebærer en lang række risici, <strong>som</strong> man er nødt<br />
til at håndtere. Det bliver ikke mindre risikofyldt af, at<br />
persondatalovgivningen juridisk set er meget kompleks,”<br />
siger Anders Wernblad, der er certificeret it-advokat og<br />
partner hos advokatfirmaet LETT. Han rådgiver data-<br />
ansvarlige virk<strong>som</strong>heder om deres ansvar i forbindelse<br />
med blandt andet reglerne i persondatalovgivningen og<br />
sikkerhedsbekendtgørelsen.<br />
NÅR VIRKSOMHEDER OPBYGGER it-systemer,<br />
sker det typisk med et stramt budget og i ramme, hvor<br />
funktionalitet er i højsædet. Risikoen er, at sikkerheden<br />
glemmes eller først tilføjes systemet <strong>som</strong> lapper efterfølgende.<br />
Det resulterer i software, der konstant skal<br />
sikkerhedsopdateres i takt med at nye trusler opdages,<br />
hvilket er et kendt fænomen.<br />
”Der har været en tendens til at it-sikkerhed er noget<br />
man bygger oven på sin it-løsning. Der er behov for, at<br />
vi ser holistisk på sikkerhed, og indser at it-sikkerhed<br />
er fundamental, når vi bygger systemer,” siger Christian<br />
Wernberg-Tougaard, formand for Rådet For Større IT-Sikkerhed.<br />
Han uddyber: ”Typisk opbygger man it-systemer<br />
til den verden, man kender. Det betyder, at man tager højde<br />
for kendte risici, mens de mere teoretiske risikofaktorer<br />
bliver glemt. Et eksempel på dette er opbygningen af<br />
NemID, hvor de såkaldte man-in-the-middle angreb blot<br />
var en teoretisk mulighed, <strong>som</strong> DanID afviste nogensinde<br />
ville blive aktuel. Nu få år efter at systemet blev designet,<br />
har denne type angreb rystet NemID,” påpeger han.<br />
EN LØSNING PÅ PROBLEMET hedder Privacy by<br />
Design. Det er et koncept for, hvordan man opbygger<br />
it-systemer, hvor sikkerhed ikke er en tilføjelse men et<br />
grundliggende element.<br />
Anders Wernblad forklarer: ”Både leverandører af<br />
it-systemer og -services samt deres kunder er nødt til at<br />
tænke Privacy by Design ind i it-løsningerne. Det gælder<br />
om at undgå unødig behandling af personoplysninger.<br />
Hele dette tillæg er udgivet af Rådet For Større IT-Sikkerhed<br />
It-sikkerhed skal med i fundamentet<br />
Sikkerhed ved brug af IT er blevet et så<br />
afgørende, at det ikke blot er en ekstra<br />
feature, man lægger ind, når funktionaliteten<br />
på plads. It-sikkerhed skal<br />
tænkes ind allerede fra de første faser<br />
af planlægningen og være en bærende<br />
faktor i alle led. Det er den nye trend<br />
inden for komplekse it-løsninger, og<br />
den bæres frem både af lovgivning og<br />
alt for mange eksempler på sikkerhedsbrud,<br />
der kunne være undgået.<br />
SYV PRINCIPPER FOR PRIVACY BY DESIGN<br />
Privacy by Design er et koncept for opbygning af it-systemer, hvor sikkerheden er<br />
omdrejningspunktet. Konceptet, der er udviklet i Canada, indeholder anvisninger på tre<br />
områder: Softwaredesign, brug af løsningen samt hardware/infrastruktur. Privacy by<br />
Design kan opsummeres i syv principper:<br />
1. Proaktiv ikke reaktiv – Sikkerheden i it-systemer skal etableres <strong>som</strong> forebyggende –<br />
ikke afhjælpende – foranstaltninger.<br />
2. Beskyttelse af personlige oplysninger <strong>som</strong> standardindstilling. Brugere skal ikke<br />
justere indstillinger for at sikre deres egne data.<br />
Foto: flickr/Will Scullin CC BY<br />
Når det sker, skal oplysningerne beskyttes teknisk optimalt,<br />
herunder ved brug af kryptering og andre sikkerhedsmæssige<br />
tiltag. Kravene til beskyttelse af personoplysninger<br />
og dokumentation for dette bliver løbende<br />
skærpet, og niveauet af beskyttelse er på vej til at blive en<br />
vigtig konkurrenceparameter, <strong>som</strong> indgår i evalueringen<br />
af leverandører og tilbud,” siger Anders Wernblad. Han<br />
oplever en klar tendens i retning af, at virk<strong>som</strong>heder vil<br />
blive nødt til at integrere it-sikkerhed på et dybere niveau i<br />
fremtiden. Blandt andet ses det i Europa-Kommissionens<br />
udkast til persondataforordning, hvor der lagt op til, at der<br />
skal foretages risikovurdering af it-sikkerheden i forbindelse<br />
med en virk<strong>som</strong>heds behandling af personoplysninger.<br />
Hvis der tale om specifikke risici, vil der være krav om udarbejdelse<br />
af en såkaldt konsekvensanalyse, <strong>som</strong> blandt<br />
andet skal angive, hvorledes risiciene kan afhjælpes.<br />
Udfordringerne er både tekniske og juridiske, og de<br />
gælder uanset, om man selv behandler personoplysninger<br />
ved brug af it-systemer, der er lokaliseret og driftes af<br />
virk<strong>som</strong>heden selv, eller om opgaven er blevet outsourcet<br />
til tredjepart.<br />
ANDERS WERNBLAD SIGER: ”Hvis en virk<strong>som</strong>hed<br />
lægger ansvaret ud til en ekstern leverandør, stiller det<br />
større krav til det aftalemæssige grundlag. Det gælder<br />
især, hvis leverandøren benytter sig af cloud computing,<br />
hvor det i praksis er vanskeligere at få skriftlig dokumentation<br />
for, at leverandøren rent faktisk overholder<br />
de it-sikkerhedsmæssige krav, <strong>som</strong> virk<strong>som</strong>heden stiller,<br />
og det kan være svært at kontrollere, om leverandøren<br />
faktisk gør <strong>som</strong> aftalt. I det omfang, at cloud computing<br />
indebærer overførsel af data til lande uden for EU, stiller<br />
det yderligere krav til aftalegrundlaget.”<br />
3. Sikkerhed er integreret design og arkitektur af it-systemer.<br />
4. Fuld funktionalitet. En tilvalgt lavere sikkerhed skal ikke føre til bedre funktionalitet,<br />
– alt skal fungere med maksimal sikkerhed for brugerdata.<br />
5. End-to-end sikkerhed. Sikkerhed skal være integreret fra starten og ikke træde i kraft<br />
på et bestemt tidspunkt.<br />
6. Synlighed og gennemsigtighed i hvordan sikkerhedsfunktionerne er opbygget.<br />
7. Respekt for privatlivets fred – hold fokus på brugeren.<br />
Rådet For Større IT-Sikkerhed 21
Hele dette tillæg er udgivet af Rådet For Større IT-Sikkerhed<br />
Mere<br />
åbenhed<br />
om offentlige it-løsninger<br />
Når det offentlige skruer op for digitaliseringen,<br />
skal der også skrues op for<br />
gennemsigtigheden. Det vil øge borgernes<br />
tillid det offentliges it-løsninger.<br />
Sådan siger Rådet For Større IT-Sikkerhed.<br />
”DANMARK ER ET AF DE LANDE i verden, hvor<br />
befolkningen har størst tillid til myndighederne. Sådan<br />
skal det gerne blive ved med at være, også når borgere<br />
og myndigheder de kommende år begynder at kommunikere<br />
fuldt digitalt. Derfor skal offentligheden have<br />
større indsigt i, hvordan de offentlige it-løsninger skrues<br />
sammen, og hvor godt de fungerer,”” siger Christian<br />
ANNONCE<br />
Wernberg-Tougaard, der er formand for Rådet For Større<br />
IT-Sikkerhed.<br />
Rådet For Større IT-Sikkerhed mener, at det naturlige<br />
næste skridt er at skabe mere åbenhed og gennemsigtighed<br />
i forhold til de offentlige it-løsningers arkitektur,<br />
og hvilke standarder og kvalitetsprocesser de anvender.<br />
”Større klarhed på disse områder vil være med til at<br />
fastholde og styrke borgernes tillid til det offentliges<br />
digitale systemer,” siger Christian Wernberg-Tougaard.<br />
DEN BEDSTE OG ENKLESTE vej frem vil ifølge Rådet<br />
være, at offentlige it-løsninger efterses af uafhængige<br />
tredjeparter, og at der etableres både ret og pligt til<br />
offentligt at rapportere om kvalitet og sårbarheder på en<br />
forsvarlig, konstruktiv og offentligt tilgængelig måde.<br />
”Gode rapporteringsrutiner vil skabe øget gennemsig-<br />
Etablering af en effektiv<br />
sikkerhedsorganisation<br />
Virk<strong>som</strong>heder står konstant over for cybertrusler efterhånden, <strong>som</strong> flere og flere<br />
angribere bruger sofistikerede metoder.<br />
For at modstå disse trusler skal virk<strong>som</strong>hederne<br />
overveje at flytte sikkerhedsindsatsens fokus fra en<br />
lille gruppe enkeltpersoner med taktiske mål til en<br />
virtuel organisation, <strong>som</strong> leverer strategisk værdi.<br />
Selvom målene varierer fra den ene virk<strong>som</strong>hed til<br />
den anden, er disse vigtige elementer de samme:<br />
1. Se mere. Avancerede analyser gør det muligt for<br />
sikkerhedsfolkene at se, hvad der er på vej og optimere<br />
handlingsforløbet, så reaktionen er så effektiv<br />
<strong>som</strong> muligt. Efterhånden <strong>som</strong> cyberangreb bliver<br />
mere sofistikerede, øges presset for at opdage og<br />
reagere på angrebene, samme dag de opstår, og<br />
ikke efter at skaden er sket. Analysedrevet sikkerhed<br />
kan hjælpe virk<strong>som</strong>heder med at tyde mønstre<br />
og adfærd, <strong>som</strong> kan afskrække angriberne, før de<br />
forårsager ubodelig skade.<br />
2. Gør mere. Et sikkerhedssystem kan reagere<br />
hurtigere ved at integrere procesautomatisering med<br />
arbejdsgange udført af mennesker. Automatisering<br />
kan blive en kritisk faktor til bibeholdelse af operationel<br />
stabilitet, når der opstår nye trusler, <strong>som</strong> er mere<br />
hyppige og sofistikerede, og i forbindelse med hurtig<br />
teknologisk forandring og ad hoc anmodninger om<br />
ændringer og nye konfigurationer.<br />
3. Øg indsatsen efter behov. Omgående adgang<br />
til virtuelle programmer skaber et sikkerhedssystem<br />
med de it-ressourcer, processer og personale, der<br />
kræves for hurtigt at modstå en overhængende trussel<br />
og muligheden for at vende tilbage til basisniveau,<br />
når krisen er drevet over. Købsinfrastrukturen og<br />
applikationer ’on demand’ tilbyder mange fordele<br />
så<strong>som</strong> omkostningsbesparelser og muligheden for<br />
at udnytte specialister mod betaling i den konkrete<br />
situation.<br />
Nu hvor risikoen er større end nogensinde før,<br />
er det tid til at gå i gang med at optimere sikkerheden,<br />
så den er tilpasset de forskellige trusler og muligheder<br />
og fremstår <strong>som</strong> en effektiv sikkerhedsorganisation.<br />
Offentligheden skal have større indsigt i hvordan de offentlige it-løsninger skrues sammen, siger Christian<br />
Wernberg-Tougaard fra Rådet For Større IT-Sikkerhed<br />
tighed, og et uafhængigt tilsyn er for eksempel et centralt<br />
element af den reform af PET, <strong>som</strong> i øjeblikket diskuteres,”<br />
uddyber Christian Wernberg-Tougaard.<br />
RÅDET FOR STØRRE IT-SIKKERHED peger på,<br />
at behovet for tillidsskabende politikker aktualiseres<br />
af den efterhånden langvarige offentlige debat blandt<br />
it-eksperter og andre omkring NemID og denne løsnings<br />
sikkerhed. Christian Wernberg-Tougaard siger: ”Langt de<br />
fleste ingeniører i Danmark har tillid til, at det offentlige<br />
får bygget gode og sikre broer. Det skal også gerne være<br />
sådan, at langt de fleste it-eksperter i Danmark har tillid<br />
til at det offentlige får bygget gode og sikre it-systemer.<br />
Når det er tilfældet, spreder tilliden sig <strong>som</strong> ringe i vandet,<br />
også til de borgere, <strong>som</strong> ikke selv har ekspertise på<br />
området.”<br />
Af Hans Rotteveel, Security Lead,<br />
Accenture, Danmark
Krisen sætter fokus på sikkerhed<br />
Krisen har fået de danske virk<strong>som</strong>heder til at sætte fokus på sikkerhed, og det<br />
giver udfordringer for ledelsen mener KPMG.<br />
Finanskrisen har fået mange virk<strong>som</strong>heder til at<br />
kigge indad. De er blevet bevidste om, at deres<br />
risikostyring ikke rækker, og derfor er der kommet<br />
fokus på risikovurdering og på at tilpasse sikkerhedsniveauet.<br />
”Når det går stærkt, er der måske ikke så meget<br />
fokus på andet end produktionen, men når krisen<br />
kradser og sparekniven svinger gennem luften øges<br />
risikovilligheden, og så står it-sikkerheden også for<br />
skud. Danske virk<strong>som</strong>heder er typisk opmærk<strong>som</strong>me<br />
på, at sikkerhedsbrister kan være alvorlige for<br />
forretningen, og de vil selvfølgelig også gerne have<br />
driftsikre systemer uden unødige driftsstop, men<br />
balancen skal være til stede,” siger partner Morten<br />
Klitgaard Friis fra KPMG.<br />
Hvor skal der sættes ind<br />
KPMG rådgiver private og offentlige virk<strong>som</strong>heder<br />
om blandt andet risikostyring, og udarbejder<br />
risikoanalyser der viser, hvor der bør strammes op,<br />
og hvor der kan slækkes på niveauet. For mange<br />
Virk<strong>som</strong>heder mangler<br />
reel styr på sikkerheden<br />
ANNONCE<br />
Mange store virk<strong>som</strong>heder har slet ikke så godt styr<br />
på sikkerheden, <strong>som</strong> de selv mener, viser analyser fra<br />
SecureDevice.<br />
SecureDevice er et it-sikkerhedsfirma med speciale i analyse og rådgivning<br />
om netværkssikkerhed i primært store virk<strong>som</strong>heder. Og de dybtgående<br />
analyser afslører, at mange virk<strong>som</strong>heder tror, deres sikkerhed<br />
er bedre, end den faktisk er.<br />
”Virk<strong>som</strong>hederne fokuserer meget på, hvad der truer i den nærmeste<br />
fremtid, men har ikke styr på, hvad der sker lige nu. Vores analyser baseret<br />
på Sikkerheds Review foretaget hos 60 større danske virk<strong>som</strong>heder viser,<br />
at 98 procent af virk<strong>som</strong>hederne ikke er tilstrækkeligt styr på opdateringen<br />
af 3-parts software, at 74 procent har sårbare websites, der kan angribes,<br />
og at 62 procent har oplevet angreb på grund af medarbejderes brug<br />
af firmaets netværk til Facebook, Peer-to-Peer programmer <strong>som</strong> Skype,<br />
musik- og filmdownloads osv.,” fortæller Michael Albek fra SecureDevice.<br />
Sikkerheds Review<br />
Et Sikkerheds Review foretages ved at opsamle data i netværkstrafikken<br />
gennem en måned. Herefter udarbejder SecureDevice en rapport,<br />
der viser hvilke brister der er, hvilke angreb der har været, og hvordan<br />
virk<strong>som</strong>heden kan beskytte sig bedre. Rapporten er delt i en managementdel,<br />
der beskriver de overordnede problemer, og en mere teknisk<br />
gennemgang.<br />
”Vi kan naturligvis også hjælpe med at implementere tekniske<br />
løsninger og sikkerhedspolitikker, men det står kunden frit for at vælge<br />
en anden leverandør. Vores primære opgave er at påvise sikkerhedsbrister,<br />
og de findes i alle brancher og i<br />
virk<strong>som</strong>heder af alle størrelser,” understreger<br />
Michael Albek.<br />
Foruden analyser og rådgivning<br />
tilbyder SecureDevice en række sikkerhedsløsninger<br />
og er eksempelvis <strong>som</strong><br />
det eneste Nordiske firma <strong>som</strong> er IBM<br />
Security Value Plus Partner. www.securedevice.dk<br />
virk<strong>som</strong>heder er det vigtigt at vide, på hvilket niveau<br />
de befinder sig i forhold til branchen, og det kan<br />
være svært at se for selv en dygtig ledelse.<br />
”Vi arbejder med hundredvis af virk<strong>som</strong>heder<br />
i mange brancher, og vi har derfor både et solidt<br />
netværk og et godt billede af, hvordan det generelle<br />
sikkerhedsniveau ser ud. Der er altid risici for en<br />
virk<strong>som</strong>hed, og det gælder om at finde et sikkerhedsniveau,<br />
der passer til den enkelte virk<strong>som</strong>hed.<br />
Er niveauet for højt eller skævt, lægger det unødige<br />
bånd på forretningen,” siger Morten Klitgaard Friis.<br />
Hvordan skal der sættes ind<br />
Der er mange grunde til at tilpasse sit sikkerhedsniveau<br />
til et branche- eller markedsniveau. Eksterne<br />
krav i form af lovgivning og indgåede kontrakter<br />
giver naturligvis en begrænsning i manøvremulighederne,<br />
men er niveauet inden for egne rammer ikke<br />
rigtigt, bliver det enten for tungt eller for risikofyldt<br />
for virk<strong>som</strong>heden. Det samme gælder i øvrigt, uanset<br />
om man er leverandør eller kunde i outsourcing,<br />
Certifikat til sikker<br />
e-handel og kommunikation<br />
Med et certifikat fra Secorio kan virk<strong>som</strong>hedens<br />
kunder føle sig trygge ved at handle på hjemmesiden.<br />
Vi er stadig usikre, når vi handler på nettet. Selv om<br />
tre millioner danskere i 2011 i alt handlede 76 millioner<br />
gange på nettet, så er der stadig en del, der aflyser købet,<br />
inden de når til betalingen, og omkring 70.000 af os<br />
har været udsat for økonomiske tab i forbindelse med<br />
netkøb – eksempelvis misbrug af kreditkortoplysninger.<br />
Men flere og flere bliver også opmærk<strong>som</strong>me på, at<br />
den lille hængelås og/eller den grønne adresselinje i<br />
browseren betyder, at her er sikkerheden i orden.<br />
”Faktisk har 26 procent af alle på et tidspunkt af-<br />
ANNONCE<br />
holdt sig fra at købe på grund af bekymringer for sikkerheden. Det behøver man<br />
ikke, hvis man vælger et netsted, der er sikret med et SSL certifikat. Og det er<br />
netop disse certifikater, vi kan udstede,” understreger direktør Flemming Jakobsen<br />
fra Secorio, der er certificeringssted og strategisk partner med Comodo –<br />
en af verdens største certifikatudstedere.<br />
Kryptering sikrer føl<strong>som</strong>me oplysninger<br />
Ikke kun e-handel, men også udveksling af oplysninger virk<strong>som</strong>heder og kunder<br />
imellem kan være udsat for sikkerhedsbrist. Både e-mails og andre kommunikationsformer<br />
kan imidlertid sikres med kryptering, så kan de fortrolige oplysninger<br />
udveksles uden at andre kan kigge med. Ud over kryptering er identificering en<br />
væsentlig faktor når man kommunikerer pr. email. Med email certifikater kan man<br />
være sikker på identiteten på den person, man kommunikerer med.<br />
”Vi har produkter, der kan tilpasses den enkelte virk<strong>som</strong>heds behov – både til den<br />
interne og eksterne kommunikation og til e-handel. Og med et SSL certifikat fra os<br />
kan kunder og partnere være sikre på at sikkerheden er i top – certifikatet er en blåstempling<br />
af, at virk<strong>som</strong>heden tager sikkerheden alvorligt,” siger Flemming Jakobsen.<br />
Secorio har stor erfaring og viden om internetsikkerhed og kan yde rådgivning<br />
om alle aspekter af identificering og sikker og fortrolig forsendelse af informationer<br />
over internettet.<br />
www.secorio.com<br />
Morten Klitgaard Friis, partner fra KPMG.<br />
ANNONCE<br />
men her er der ofte mulighed for at forhandle sig til<br />
frem til det rette niveau – et redskab <strong>som</strong> i øvrigt alt<br />
for sjældent benyttes i en kontraktforhandling.<br />
”Vi kan gå ind <strong>som</strong> ledelsens sparringspartner,<br />
når risikobilledet skal afdækkes, for vi har et solidt<br />
kendskab både til håndtering af eksterne krav, og til<br />
de it-tekniske forhold i eksisterende løsninger. Som<br />
uvildige rådgivere, der ikke er bundet op på leverandøralliancer,<br />
kan vi se tingene lidt fra oven og desuden<br />
rådgive ledelsen om projektstyring og risikostyring<br />
med udgangspunkt i kundens egen forretning,”<br />
understreger Morten Klitgaard Friis fra KPMG.<br />
www.kpmg.dk<br />
Flemming Jakobsen,<br />
direktør, Secorio.
KEY NOTES<br />
Peter Suhr<br />
SR. Managing<br />
Partner in Gartner<br />
Consulting<br />
Security & Risk Management Summit<br />
den 30. oktober 2012<br />
Dubex er Danmarks førende, forretningsorienterede it-sikkerhedsspecialist. Vi leverer og supporterer sikkerhedsløsninger til over 500 lokationer globalt og har siden 1997 hjulpet private og offentlige<br />
virk<strong>som</strong>heder med at håndtere risici, imødekomme forandringer og understøtte en fleksibel væ kst. Vores dybdegående tekniske ekspertise og brancheerfaring samt en omfattende produktportefølje<br />
og dokumenterede resultater gør Dubex til den ideelle samarbejdspartner for it-afdelinger, der ønsker at bidrage til virk<strong>som</strong>hedens succes.<br />
MANAGING RISK, ENABLING GROWTH.<br />
Davi Ottenheimer<br />
President of<br />
flyingpenguin and<br />
co-author af<br />
“Securing the<br />
Virtual Environment:<br />
How to Defend the<br />
Enterprise Against<br />
Attack”<br />
KØBENHAVN Gyngemose Parkvej 50, DK-2860 Søborg<br />
AARHUS Åbogade 15, DK-8200 Aarhus N<br />
KONTAKT Tlf. +45 32 83 04 30<br />
Info@dubex.dk, www.dubex.dk<br />
Peter Kruse<br />
Head of CSIS<br />
eCrime Unit and<br />
CTO, CSIS Security<br />
Group<br />
KOM OG HØR OM FORRETNINGS-<br />
UNDERSTØTTENDE IT-SIKKERHED<br />
DEN 30. OKTOBER 2012<br />
Det voksende behov for at tæ nke sikkerhed ind i alle it-relaterede forretningsprocesser,<br />
er en stor udfordring for it-afdelinger. På Security & Risk<br />
Management Summit får du indblik i, hvordan du etablerer et sikkerhedsøkosystem,<br />
der understøtter forretningen og kan håndtere de risici <strong>som</strong> netop<br />
din virk<strong>som</strong>hed står over for.<br />
Læ s mere og tilmeld dig på www.dubex.dk/summit2012<br />
TEMAER<br />
· Enterprise Risk Management and Compliance<br />
· Ledelsesorienteret it-sikkerhed<br />
· Identity & Access Management<br />
· Mobile enheder og sikkerhed<br />
· Advanced Persistent Threats (APT)<br />
· Virtualisering & sikkerhed<br />
· It-sikkerhedsarkitektur<br />
· Sikkerhedstrusler og sårbarheder<br />
ISO27001 Certifi ceret<br />
inden for informationssikkerhed<br />
SKI udvalgt leverandør<br />
Adam Lebech<br />
Digitaliseringschef,<br />
Økonomi- og<br />
Indenrigsministeriet<br />
Jørgen Kristensen Rasch<br />
It-chef i Egedal Kommune<br />
og formand for<br />
Foreningen af kommunale<br />
it-chefer (KITA)<br />
FIRE SPOR<br />
· Ledelsesorienteret it-sikkerhed<br />
· Enterprise Risk Management & Compliance<br />
· Teknisk it-sikkerhed<br />
· Public it-sikkerhed & Risk Management