"Digisikker 2012" som PDF - RFSITS

DigiSikker 2012
EU-STRAMMER GREBET
OM DATASIKKERHED
Side 7
NEMID OG
FOLKETS TILLID
NemID er kommet for at blive men
sikkerhedsproblemer lægger op til
en revurdering af løsningen. 6
BRUGERAFTALERNE
INGEN LÆSER
Vi kan ikke overskue brugeraftalerne
og accepterer dem i blinde. Det er at
bede om problemer.
8
Hele dette tillæg er udgivet af Rådet For Større IT-Sikkerhed
HJÆLP – du er
blevet stjålet!
Side 10
ÅBEN KULTUR SIKRER
DATA BEDST
Læs hvorfor organisationer
med en åben kultur har bedre
it-sikkerhed.
14
Har du styr på dine e-mails?

Hele dette tillæg er udgivet af Rådet For Større IT-Sikkerhed
TILLIDEN
er afgørende
DIGITALISERING er en forandringskraft
af de voldsomme. På samme måde som
dengang verden oplevede det industrielle
gennembrud.
Vi er ved at skabe en ny digital kultur.
Over hele verden vokser nye generationer
op, uden at have kendt til andet end at
kunne være online 24/7.
I DEN FYSISKE VERDEN er tillid et
ret håndgribeligt fænomen. Det skyldes
blandt andet, at geografien sætter grænser.
Man kan umiddelbart aflæse, om man
er i venners lag eller befinder sig et sted,
hvor ekstra opmærksomhed er påkrævet.
På nettet er det hele lidt mere flydende.
Der mange nye signaler, vi alle skal lære
at afkode. Der er nu kun er et ét klik fra
Dybbøl til Delhi, så den lokale tryghed er
ikke længere urørlig. Vi har brug for nye
former for beskyttelse og nye metoder til
at opbygge og aflæse tillid.
Det stiller nye krav til os som borgere
og ansatte – og specielt de af os som udvikler,
sælger, køber og administrerer de
digitale systemer. Sikkerhed og tillid skal
bygges ind fra start og være med i alle
led. Vi skal arbejde målrettet på at skabe
nye metoder, som opbygger tillid mellem
mennesker, der kommunikerer digitalt.
Hvis vi forsømmer dette, fodrer vi frygten.
I DETTE MAGASIN kan du læse en
række forskellige historier, som fokuserer
på it-sikkerhed, privatlivsfred og digital
tillid i Danmark. Vores mål med DigiSikker
2012 er at bidrage til en sund og påkrævet
debat om, hvordan vi bedst håndterer
digitaliseringens mange udfordringer.
Christian
Wernberg-Tougaard,
Formand
Charlotte
Bagger Tranberg,
Næstformand
MEDLEMMER AF RÅDET
FOR STØRRE IT-SIKKERHED
ATP, Danish Biometrics, Danmarks Radio,
Dansk Standard, Deloitte, Devoteam, DK-
CERT, DKUUG, FTF, HK, IDA’s Teknologiudvalg,
Institut for Menneskerettigheder,
ISSA-Nordic, JayNet, KITA (Foreningen af
Kommunale IT-Ansvarlige), KLID, PROSA,
Region Hovedstaden, Statens IT, Uni-IT,
Zebranet Aps, Ældre Sagen
FAGPERSONER (Fagpersoner repræsenterer
ikke deres organisationer): Anja
Bechmann (Aarhus Universitet, Center
for Internetforskning), Charlotte Bagger
Tranberg (Ålborg Universitet, Juridisk
Institut), Christian Wernberg-Tougaard,
Jan Damsgaard (Copenhagen Business
School, CAICT), Klaus Hansen (DIKU,
Københavns Universitet), Niels Chr. Juul
(RUC), Niels Ole Finnemann (Aarhus
Universitet, Center for Internetforskning),
René Rydhof Hansen (Aalborg Universitet,
Datalogisk Institut), Kim Aarenstrup
2 Rådet for større IT-sikkerhed
Registrering af borgere
er gået for vidt
Det er svært at finde nogen, som er uenige. Registreringen af danske borgere er gået
for vidt, og den er ude af proportioner med det, som var formålet.
5,5 MILLIONER DANSKERE bliver hvert år registreret
100.000 gange. Det sker, når vi kommunikerer via telefonen og
går på nettet. 550 mia. registreringer blev det til i 2010. Kun få
ved, hvad de loggede data bliver anvendt til, og i hvilken grad
de bliver anvendt. Disse oplysninger sidder Politiets Efterretningstjeneste
og Rigspolitiet solidt på. Specialkonsulent
og ph.d. ved Institut for Menneskerettigheder, Rikke Frank
Jørgensen, oplyser, at politiet på baggrund af registreringerne
har fået indsigt i 3.500 sager. 170 af sagerne vedrørte brug af
internettet.
Det er logningsbekendtgørelsen fra 2007, der danner rammen
for den udvidede overvågning af vores færden på nettet,
men oplysninger om
”Der er mangel på
telefontrafik er blevet
logget hos mange sammenhæng mellem
teleselskaber lang antallet af overvågninger og
tid før logningsbe-
brugen af dem.”
kendtgørelsen trådte
i kraft. Lognings-
Direktør Jacob Willer
Telekommunikationsindustrien
bekendtgørelsen
udspringer af den anti-terrorlovpakke, som blev vedtaget i
Folketinget tilbage i 2001. I forhold til EU’s direktiv valgte Danmark
en mere vidtgående regulering i bekendtgørelsen.
JACOB WILLER ER DIREKTØR for Telekommunikationsindustrien,
der er brancheorganisation for tele- og internetudbydere.
Han konstaterer, at udbyderne og dermed kunderne selv
skal betale godt 50 mio. kr. årligt for overvågningen, men det,
som forarger ham, er noget andet:
”Der er mangel på sammenhæng mellem antallet af overvågninger
og brugen af dem. Vi mener, det er vigtigt at vurdere
og evaluere, om man får reel værdi ud af den enorme mængde
”Langt de færreste af
os aner, hvor meget og
hvordan vi bliver overvåget.”
Specialkonsulent og ph.d. Rikke
Frank Jørgensen, Institut for
Menneskerettigheder
af registreringer.
Samtidig mener
vi, at der med så
mange registreringer
opstår en
risiko for, at andre
kan have interesse
i registreringsdata
og ønsker at anvende disse til andre formål. Det gælder for
eksempel SKAT, der ønsker at få adgang til disse data – en
adgang vi fortsat nægter at give.”
Specialkonsulent og ph.d. ved Institut for Menneskerettigheder,
Rikke Frank Jørgensen, ser den omfattende logning som
udtryk for mangel på respekt for borgernes privatliv.
”REGISTRERINGEN RAMMER MEGET BREDT. Samtidig
mangler der dokumentation for behovet, særligt i forhold
DIGISIKKER 2012 UDGIVES AF
www.rfsits.dk
Kommunikationschef Bjørn Kassøe Andersen,
Mail: rfsits@rfsits.dk · Mobil: 42 44 03 30
til internet-kommunikation. Logning blev indført i kølvandet på
terrorangrebene i USA i 2001, og det er på høje tid at overveje,
”Er det rimeligt, at der
gælder andre regler for
indsamling af oplysninger
ved datalogning?”
Formanden Niels Bertelsen, PROSA
om dele af den skal rulles
tilbage,” siger Rikke Frank
Jørgensen. Hun tilføjer,
at langt de færreste af os
aner, hvor meget og hvordan
vi bliver overvåget,
og at det måske er derfor,
at der i Danmark ikke har
været en debat om, hvorfor der bliver pillet ved vores uskyld, før
det modsatte er bevist – et gammelt og hæderkronet retsprincip.
PÅ SPØRGSMÅLET OM, hvad der er den ideelle løsning på
problemet, svarer formanden for PROSA, Niels Bertelsen: ”At
give politiet og andre myndigheder de redskaber, der skal til
for at løse opgaverne, uden at sætte vores demokrati på spil.
Med den adgang til overvågning, vi har i dag, er spørgsmålet,
om det er rimeligt, at der gælder andre regler for indsamling
af oplysninger ved logning end for indsamling af oplysninger i
andre dele af samfundet.”
Chefkonsulent Henning Mortensen fra Dansk Industris
ITEK-branchefællesskab mener, at man bør skille berettiget og
uberettiget overvågning bedre ad.
”Der kan være formål med overvågning, som kan være
samfundsgavnlige for både private og virksomheder, men som
det ser ud lige nu, er jeg
enig i, at overvågningen
har taget overhånd. Vi
ved for eksempel, at kun
meget få af de loggede
trafikdata faktisk bruges
Chefkonsulent Henning
i efterforskningsmæssig
Mortensen, ITEK
sammenhæng. Vi ved
ikke, om de reelt har en positiv effekt på domsfældelse eller
indgår i sager, der droppes igen.”
C MEDIA DANMARK A/S er en avisproducent,
som producerer avistillæg i den
nordiske dagspresse. C media Danmark A/S
producerer desuden digitale kunde-
magasiner og årsrapporter.
PROJEKTLEDER: Peter Lundegaard
REDAKTION: Hans Henrik Lichtenberg,
Per-Henrik Goosmann, Bjørn Kassøe
Andersen (ansv.)
GRAFISK DESIGN: Susanne Dehmer/
Friform, Daniel Jernberg/DjESIGN
”Vi ved ikke, om loggede
data reelt har en positiv
effekt på domsfældelse ...”
DIN MOBIL OVERVÅGES DØGNET RUNDT
Hver gang du sender en sms eller foretager et opkald,
bliver din omtrentlige placering logget og gemt. Også
selv om du ikke foretager dig noget, bliver din placering
registreret via den mobilmast, du aktuelt er koblet på.
Det er telefonselskabets pligt at gemme disse data,
som beskrevet i den såkaldte logningsbekendtgørelse.
FOTO: Rådet for Større IT-Sikkerhed,
Ole Johny Sørensen, POL-Foto, Anders Foss
(s.8 Anja Bechmann)
TRYK: Trykkeriet Nordvestsjælland
INFORMATION OM
TILLÆG FÅS HOS:
Peter Lundegaard,
48 44 49 29,
peter@cmedia.as
www.cmedia.as

ANNONCE
Peter Madsen, it-manager
i Avis Danmark.
Lars Berg-Nielsen,
partner i Deloitte.
Har du styr på dine e-mails?
Det får du med ComArchive!
En e-mail kan være et vigtigt, juridisk dokument, som kan betyde forskellen mellem succes
og fallit i en virksomhed. Men hvor er den e-mail med aftalen, som I indgik i sin tid?
Antallet af e-mails stiger og stiger, og vi er hver især konsekvent bagud i forsøget på at få styr på indbakken. Samtidig bliver vi bedt
om at rydde op, men hvor bliver de slettede mails af, og kan man finde dem igen? Måske savner du den e-mail, der bekræfter en
gammel aftale eller fastlægger vilkår for en kontrakt. E-mailen er slettet fra indbakken for længe siden, og den medarbejder, der havde
sagen, er slet ikke i firmaet længere.
”Med ComArchive slipper du for at bekymre dig om e-mails. ComArchive gemmer automatisk alle e-mails og indekserer dem, så
de er lette at finde frem mellem de tusinder af andre e-mails. Vores løsning sikrer virksomheden, gør livet med Outlook enklere og
optimerer virksomhedens e-mail-platform,” fortæller administrerende direktør Svend Frandsen fra ComArchive.
EN E-MAIL TIL EN HALV MILLION
At en e-mail kan være vigtig, kan it-manager i Avis Danmark, Peter Madsen, skrive under på:
”Vi har oplevet, at en e-mail afgjorde en tvist til vores fordel, og det betød 500.000 kr. for virksomheden. Så det er afgørende
vigtigt at arkivere sine e-mails og kunne søge effektivt i dem,” siger han.
Også de store rådgivere anbefaler at man får styr på sine e-mails:
”E-mails er virksomhedsdata og skal behandles som sådan. Det kan være juridisk afgørende at kunne dokumentere aftaler og kontrakter,
så vi anbefaler stærkt, at man arkivere alle e-mails på en sikker og effektiv måde,” siger partner i Deloitte, Lars Berg-Nielsen.
Se filmen, som forklarer løsningen på 1 minut – www.comarchive.com
Er virksomhedens hemmeligheder til salg?
Dagligt trues danske virksomheder af it-kriminelle, der vil have fingrene i fortrolige
oplysninger. Informationerne sælges med kriminelle formål eller lækkes på nettet.
”Der er masser af trusler, og de it-kriminelle har rettet blikket mod Skandinavien. Ofte
sker lækagerne gennem interne sikkerhedsbrist, hvor eksempelvis medarbejdere uforvarende
bringer en virus ind i systemet. I dag kan du ubevidst lukke en it-kriminel ind
i dit system ved at besøge en helt legal hjemmeside, hvor der måske gemmer sig en
virus i en bannerannonce,” fortæller Jan Kaastrup, sikkerhedsekspert og partner i Itsikkerhedsfirmaet
CSIS Security Group.
Gennem de inficerede maskiner kan it-kriminelle lænse virksomheden for følsomme
oplysninger. Det er typisk kreditkortoplysninger, kundedatabasen eller en direkte adgang
til netværket, der bliver solgt på det sorte marked.
Datalækager er hverdag
”Det er steget markant. Især brancher som den finansielle sektor, medicinalindustrien
og offentlige institutioner oplever angreb, men også helt almindelige industrivirksomheder
oplever lækager,” siger Jan Kaastrup fra CSIS, som er specialister i at overvåge
nettet, opsnappe lækkede oplysninger, og hjælpe virksomhederne med at finde og
forebygge lækager.
Ikke kun truslen fra uvidende og uforsigtige medarbejdere er et problem. CSIS oplever
i stigende grad, at professionelle it-kriminelle målrettet forsøger at omgå sikkerhedsforanstaltningerne
i en specifik virksomhed for at tilegne sig værdifulde oplysninger.
I Danmark har der siden starten af 2012 været seks forskellige store angreb mod
Danmark, hvoraf det ene angreb alene resulterede i 15.000 inficerede pc’er i 250 danske
virksomheder. Kun sjældent opdager virksomheden selv, at der lækkes oplysninger.
”Vi oplever ofte, at det har stået på i flere år. Så vi kan kun konstatere, at de it-kriminelle
har fået øjnene godt op for Danmark,” understreger Jan Kaastrup.
Lær mere om Threat Detection
www.csis.dk
Er der følsomme data der forlader din
organisation?
Ezenta 3D sikkerhedsanalyse
Ved du, hvor meget Facebook, Youtube, Bittorrent og Dropbox bliver
brugt i din virksomhed?
Eller hvilke følsomme data, der forlader din organisation?
Lad vores sikkerhedseksperter synliggøre det for dig!
Ezenta A/S
Hørkær 14
2730 Herlev
Læs mere om Ezenta’s 3D sikkerhedsanalyse på:
Om Ezenta A/S
www.ezenta.com
løsninger inden for it-sikkerhed. Gennem rådgivning, undervisning,
løsninger og services, sikrer Ezenta dagligt offentlige organisationer
samt danske og internationale virksomheder i mange forskellige brancher.
Ezenta A/S
Katrinebjergvej 115
8200 Århus N
Rådet www.ezenta.com For Større IT-Sikkerhed 3
Tlf. 70 20 12 60
CVRnr. 32 56 27 60

Hele dette tillæg er udgivet af Rådet For Større IT-Sikkerhed
EU strammer
grebet om
datasikkerhed
EU-kommissionen har udarbejdet en persondataforordning,
der om få år skal erstatte
den danske persondatalov. Lovkomplekset
gør det nemmere at drive virksomhed i EU,
men der lægges også op til gigantbøder for
små overtrædelser, ringere forbrugerbeskyttelse
– og den danske tradition for kollektive
overenskomster udfordres.
GRUNDLAGET FOR DET KOMMENDE, digitale fællesmarked.”
Sådan beskriver EU-kommissær Vivianne Reding den
kommende persondataforordning. Medlemslandenes forskellige
persondatalovgivninger vil med det nye tiltag blive gjort
ensartede, og det skal gavne både borgere og virksomheder.
”Perspektivet er, at forbrugernes tillid til onlinetransaktioner
øges, og for virksomhederne vil konkurrenceevnen kunne
forbedres,” siger Henning Mortensen, der er chefkonsulent hos
ITEK, Dansk Industris branchefællesskab for it-virksomheder.
Han har sat sig grundigt ind i forordningen på vegne af ITEKs
medlemmer, og han kategoriserer indholdet i tre dele: Godt,
dårligt – og sjusk.
”Det gode ved fælles regler er, at det letter administrative
byrder for virksomhederne. Et eksempel på noget, som erhvervslivet
ser frem til, er, at en virksomhed, der i dag arbejder
i flere EU-lande, fremover kun skal tilknyttes ét datatilsyn,”
siger Henning Mortensen.
I ØJEBLIKKET SKAL VIRKSOMHEDERNE tilknyttes datatilsyn
i samtlige de lande, virksomheden opererer i – og forholde
sig til 27 forskellige måder at håndtere persondata på. Forenklingen
kan spare det europæiske erhvervsliv for over to mia. kr. årligt,
og det bliver en af de effektiviseringsgevinster, der kommer ud af
EU-Kommissionens foreslåede forordning om persondata.
Det nuværende udkast til forordningen lægger også nogle
nye og urimelige byrder på virksomhederne. Henning Mortensen
nævner det eksempel, at en virksomhed, der har fået kompromitteret
sin sikkerhed på en måde, så det er gået ud over
brugerdata, i løbet af 24 timer skal oplyse samtlige kunder om
sikkerhedsbruddet.
”Virksomhederne vil have meget svært ved at sige noget
fornuftigt til deres brugere om sikkerhedsbruddet på så kort
4 Rådet For Større IT-Sikkerhed
tid. Vi mener, at forbrugerne vil
blive utrygge, fordi oplysningerne
fra virksomhederne ikke nødvendigvis
følges op med anvisninger
på, hvordan man som forbruger bør
forholde sig. Desuden er det uklart hvor små sikkerhedsbrud,
der skal oplyses om,” siger Henning Mortensen.
Det synspunkt bakkes op af Rådet For Større IT-Sikkerhed.
Formand Christian Wernberg-Tougaard siger:
“Det her kommer til at ramme skævt. De virksomheder, der
rent faktisk lever op til oplysningspligten, kommer til at betale,
mens de, der holder databrud skjult, går fri.”
ET ANDET PROBLEM er, at forordningen udfordrer den
danske arbejdsmarkedsmodel. Ifølge udkastet må man ikke
behandle oplysninger om ansattes navne og sundhedsforhold.
Det kan gå ud over den måde, overenskomster i dag forhandles
på, fordi behandlingen af disse data indgår i kollektive beslutninger
mellem parterne. Dette er en knast, som det kan være
vanskeligt at få ørenlyd for på EU-plan, fordi den danske model
er unik i EU-sammenhæng, vurderer Henning Mortensen.
Det deciderede sjusk handler ifølge Dansk Industri om nogle
vidtgående opstramninger af persondatabeskyttelse. Forordningen
lægger op til, at det vil være et brud på persondataloven,
hvis en virksomhed offentliggør navne og telefonnumre på
medarbejdere.
”Som udkastet ligger nu, vil det være en overtrædelse at
præsentere sine medarbejdere på en virksomheds hjemmeside,
og det skal naturligvis laves om,” lyder det fra Henning
Mortensen.
VIRKSOMHEDERNE ER OGSÅ BEKYMREDE for konsekvenserne
af at overtræde den nye forordning. Bøden kan nå
op på to pct. af virksomhedernes samlede, globale omsætning
eller 1 million euro. Det betyder, at en internationalt arbejdende
software-virksomhed, der dømmes for en fejl lokalt i ét EUmedlemsland,
skal straffes i forhold til virksomhedens globale
omsætning.
Ifølge kommissionen skal forordningen vedtages i medlemslandene
allerede i 2013 og træde i kraft i 2015. Ifølge Dansk
Industri vil der være mange indvendinger, som skal behandles,
fra et væld af virksomheder, organisationer og myndigheder, så
2017 virker som et mere realistisk årstal for ikrafttrædelsen af
forordningen, mener Henning Mortensen.
EU-kommisær Vivianne Reding vil indføre stærke,
klare og ensartede regler for data sikkerhed i EU.
Persondatabeskyttelse
ensartes i EU
Den danske persondatalov
ophæves, i det øjeblik EU’s
persondataforordning bliver
vedtaget. Det åbner for geografisk
profilering af forbrugere
og inddragelse af personlige
sundhedsoplysninger
i forholdet mellem virksomheder
og kunder.
KOMMISSIONENS REFORM af
reglerne for persondatabeskyttelse skal
sikre, at persondata bliver mere ensartet
håndhævet i alle EU-medlemslande.
”En stærk, klar og ensartet retlig ramme
på EU-niveau vil bidrage til at udnytte
potentialet for det digitale, indre marked
og fremme økonomisk vækst, innovation
og jobskabelse,” forklarer EU-kommissær
for retlige anliggender, Viviane Reding.
Konsekvensen er, at den danske
persondatalovgivning ophæves, og trods
EU´s mange foreslåede stramninger
forsvinder væsentlige dele af den nuværende,
danske persondatabeskyttelse
uden at blive erstattet.
”TEKSTEN FRA FORORDNINGEN vil
gælde direkte i dansk ret, og det er ikke
muligt at stå uden for eller få undtagelser
i den, da den er en del af det indre
marked,” siger jurist ved Aalborg Universitet,
Charlotte Bagger Tranberg, der har
skrevet PhD-afhandling om EU-ret og
persondatalovgivning. Hun er bekymret
for den dårligere retsstilling, danske
forbrugere vil få. Det gælder eksempelvis i
forhold til geografisk profilering af dårlige
betalere. Borgere i visse boligområder vil
over én kam kunne vurderes at have en
dårligere rating og dermed ringere mulighed
for at låne penge eller købe på kredit.
Det er i dag ikke tilladt at udarbejde geografiske
profiler af kunder i Danmark.
NOGET TILSVARENDE gælder for
sundhedsoplysninger. I dag må virksomheder
ikke indhente sundhedsoplysninger,
selv om borgeren giver samtykke. Det vil
blive ændret, så virksomheder vil kunne
bruge sundhedsdata til at udarbejde
tilbud på eksempelvis forsikringer, hvis
kunden giver tilladelse til det.

Sikker digital
tovejskommunikation
med e-Boks
e-Boks er kendt for at være den sikre digitale postboks, hvor virksomheder
og myndigheder afleverer post til borgere og ansatte. Løsningen er gennem
årene blevet udbygget, og den virtuelle postboks har hjulpet en lang række
organisationer med at effektivisere arbejdsgange, men der er stadig store
effektiviseringsgevinster at hente – ikke mindst i kraft af nye muligheder
for digitale underskrifter og tovejskommunikation via e-Boks.
Danske forbrugere er vant til at kunne gennemføre
en lang række personlige og juridisk bindende
handlinger på internettet. Mange steder skal man
dog stadig troppe op og sætte sin underskrift
med kuglepen. Det gælder eksempelvis på mange
arbejdspladser, hvor ansættelseskontrakten skal
underskrives, og i forbindelse med optagelse af
lån, eller når en borger skal ansøge om en byggetilladelse
hos kommunen. Sådan behøver det ikke at
være, for teknologi og lovgivning gør det nu muligt
at udvide brugen af digitale underskrifter.
Derfor introducerer e-Boks i de kommende måneder
en ny platform, der gør det muligt for borgere
at underskrive dokumenter digitalt med NemID og
Flere end 3,7 millioner danskere modtager post i
e-Boks. De sparer tid og har bedre overblik over
rudekuverterne. e-Boks er let tilgængelig fra en hvilken
som helst computer eller smartphone over hele
verden, og sparede miljøet for 3.135 ton papir alene i
2011. Flere end 185 millioner dokumenter blev overført
via e-Boks i 2011, hvilket sparede både private og
offentlige virksomheder porto. Blandt afsenderne er
aflevere dem til myndigheder og virksomheder via
e-Boks. Det vil sætte gang i en ny bølge af effektivisering
af arbejdsgange, som vil give store administrative
besparelser i hele samfundet – og ikke
mindst gøre brugeroplevelsen endnu bedre.
”Vi oplever, at vores samarbejdspartnere i eksempelvis
bankerne eller hos myndighederne er meget parate til
at tage disse nye muligheder til sig. Det samme gælder
forbrugerne, som tager disse teknologier til sig meget
hurtigt,” siger administrerende direktør i e-Boks Henrik
Andersen. Han påpeger, at det for brugerne vil betyde
hurtigere arbejdsgange, mere smidig sagsbehandling
og ikke mindst overblik. Samtidig giver digitale under-
langt de fleste banker, alle landets 98 kommuner, de
fleste statslige styrelser, ATP samt en række realkreditinstitutter,
forsikringsselskaber, energiselskaber,
fagforeninger og teleselskaber samt arbejdsgivere,
som sender lønsedler til deres medarbejdere. e-Boks
er et aktieselskab, der ejes ligeligt af Nets og Post
Danmark. e-Boks er hovedsponsor for tennisstjernen
Caroline Wozniacki.
Administrerende direktør
i e-Boks, Henrik Andersen,
lægger op til nye muligheder
for effektiviseringer med e-Boks.
Det sker blandt gennem en
ny, sikker digital underskrift
og tovejskommunikation
via e-Boks.
ANNONCE
skrifter via e-Boks mulighed for massiv effektivisering
– og dermed besparelser for afsenderen.
”Det er væsentligt, når man regner på besparelserne
ved at gå over til digitaliserede underskrifter,
at man ikke blot fokuserer på sparet porto – eller
fremmøde i banken. De største besparelser ligger
faktisk i at effektivisere virksomhedernes interne
dokumenthåndtering og i øvrigt den tid, der spares
ved, at personligt fremmøde ikke længere er nødvendigt.
Et dokument, der er digitalt underskrevet, skal
ikke gennem en arbejdsgang for at ende på det rette
skrivebord og efterfølgende arkiveres. I det øjeblik
det er underskrevet og sendt, ligger det på sin plads
hos modtageren og indgår i den øvrige sagsbehandling
hos afsenderen,” siger Henrik Andersen.
En række myndigheder og virksomheder har allerede
løsninger til underskrifter, men når e-Boks
snart kan tilbyde sin underskriftsløsning bliver det
en del af e-Boks sikre infrastruktur. Den netop vedtagne
Lov om Offentlig Digital Post, danner således
et solidt grundlag for anvendelsesmulighederne for
e-Boks løsningen.

Hele dette tillæg er udgivet af Rådet For Større IT-Sikkerhed
NemID og
folkets tillid
NemID skulle give os sikker kommunikation mellem borgere, virksomheder og
offentlige myndigheder. Men sikkerhedshuller og kritik af løsningens opbygning
lægger op til en revurdering af NemID.
REGERINGEN HAR FORTSAT fuld tillid til NemID. Allerede
i efteråret 2011 fastslog finansminister Bjarne Corydon, at der
fra starten har været stort fokus på sikkerheden i NemID. Han
beskrev, at der hos Nets DanID er beredskab, som gør det
muligt hurtigt at sætte ekstra sikkerhedsforanstaltninger i værk,
hvis der bliver brug for det. ”Af sikkerhedsmæssige årsager
kan det ikke oplyses, hvad disse konkret går ud på, men
bankerne, Nets DanID og Digitaliseringsstyrelsen foretager
løbende risikovurderinger,” lød forsikringen til it-ordfører Dennis
Flydtkjær fra Dansk Folkeparti.
For kritikerne af NemID er hemmelige sikkerhedslapper ikke
overbevisende. De mener, at tiden er løbet fra det, som kaldes
security by obscurity, altså at man skaber sikkerhed ved hjælp
af skjulte og hemmelige teknikker. I stedet ønsker de en mere
tydelig og veldokumenteret sikkerhed, så interesserede kan
forholde sig til de principper og metoder, der anvendes.
DEBATTEN KAN VÆRE SVÆR at gennemskue. Det fyger
med tekniske begreber og forklaringer. I sidste ende kan det
hele koges ned til, om NemID over de
kommende år bliver i stand til at opnå folkets
tillid og blive et velkendt og normalt
tillidsvækkende fænomen på linje med
kreditkort, pas og kørekort. NemID er
nemlig kommet for at blive, og sikkerhedsløsningen
vil blive en stadigt vigtigere
og mere omfattende del af hverdagen
for danske borgere, virksomheder og
myndigheder.
RÅDET FOR STØRRE IT-SIKKERHED
har peget på behovet for en hurtig
revision af NemID-løsningen. Ifølge
Charlotte Bagger Tranberg, jurist, forsker
og næstformand for Rådet For Større ITsikkerhed,
har NemID bredt sig til at omfatte
mange aspekter af vores liv, og det rejser nye problemstillinger:
”NemID er oplagt til finansielle transaktioner. Vi vil aldrig
opnå en 100 pct. sikker løsning, men vi mener, at afvejningen
mellem sikkerhed og risiko her er i orden. Hvis en person
udsættes for svindel i sin netbank, vil dette kunne
gøres op i penge. De nye problemer er opstået, i
takt med at NemID i stigende grad benyttes
til udveksling af personfølsomme data
mellem det offentlige og borgerne.
En sikkerhedsbrist her
kan ikke gøres op i penge,
og konsekvenserne kan være
uoverskuelige for både borgere
og myndigheder,” siger Charlotte
Bagger Tranberg. Hun påpeger, at
det i 2015 vil blive obligatorisk for
borgere at dele oplysninger med
det offentlige digitalt. Altså det
som af kritikere bliver kaldt for
tvangsdigitalisering, fordi
man som udgangspunkt
ikke kan fravælge NemID
– der leveres af en privat
udbyder – eller vælge mel-
6 Rådet For Større IT-Sikkerhed
Digitaliseringsstyrelsen har fortsat
fuld tillid til, at NemID er tilstrækkelig
sikker, siger styrelsens
direktør, Lars Frelle-Petersen
Der gik kun cirka et år,
fra NemID blev taget
i brug, til de første
eksempler på misbrug
dukkede op – vel at
mærke forudsigeligt
misbrug, som udnytter
en af de designmæssige
svagheder i
NemID-løsningen.
lem flere konkurrerende, teknologiske
løsninger.
DER GIK KUN cirka et år, fra
NemID blev taget i brug, til de
første eksempler på misbrug dukkede
op – vel at mærke forudsigeligt
misbrug, som udnytter en
af de designmæssige svagheder
i NemID-løsningen.
”Vi mener, det er afgørende,
at befolkningen har høj tillid til NemID, fordi det er fremtidens
kommunikationsnøgle. Derfor bør arbejdet med en forbedret
version af NemID igangsættes hurtigst muligt i 2012.
Første version af NemID blev udviklet i et lukket forløb. Rådet
mener, at udformningen af næste version bør ske i samspil og
dialog med en bred vifte af aktører,” siger Charlotte Bagger
Tranberg.
Hos Digitaliseringsstyrelsen, der under Finansministeriet har
ansvaret for NemID, er man opmærksom
på problemerne. Direktør Lars Frelle-Petersen
påpeger, at der ud af de over 700
mio. transaktioner, der er gennemført med
NemID, blot har været en håndfuld såkaldte
man-in-the-middle-angreb i forhold
til netbanker. Endnu er der ingen kendte
tilfælde af angreb mod det offentliges selvbetjeningsløsninger
baseret på NemID.
”De aktuelle eksempler på vellykkede
angreb på netbanker bliver naturligvis
taget alvorligt, og vi har konstant fokus
på sikkerheden i NemID. Bankerne, Nets
DanID og Digitaliseringsstyrelsen foretager
derfor løbende risikovurderinger af
de aktuelle trusler og afvejer behovet for
supplerende sikkerhedsforanstaltninger i
forhold til både brugervenlighed og økonomi. Vi mener dog fortsat,
at risikoen for svindel på nuværende tidspunkt er minimal.
Digitaliseringsstyrelsen har på den baggrund fortsat
fuld tillid til, at NemID
er tilstrækkelig sikker,”
sammenfatter Lars
Frelle-Petersen.
De skarpe
er skeptiske
IT-Politisk Forening har siden
NemID’s introduktion været
blandt de skarpeste og mest
vedholdende kritikere af NemIDløsningen.
Flere medlemmer har
helt fravalgt NemID. Sikkerheden
er for dårlig, mener de, og der
er risiko for, at virksomheder og
myndigheder kan snage i borgernes
private data.
DER ER PROBLEMER med den
administrative opbygning af NemID, og
sikkerheden i NemID’s software er forældet,
mener IT-Politisk Forening. Samtidig
er foreningen stærkt skeptisk over for
mulighederne for, at NemID kan benyttes
af serviceudbydere til at få adgang til
brugernes computere.
”Et problem er, at man har valgt at
basere NemID på en Java-applet. Det gør
det i princippet muligt for staten og bankerne
at afvikle programmer på brugernes
computere og snage i personlige forhold,”
siger formand for IT-Politisk Forening,
ph.d. i datalogi, Niels Elgaard Larsen,
der har stillet spørgsmål til, om efterretningstjenester
kan benytte NemID til at
spionere på borgeres computere. DanID
har tidligere afvist, at det kunne lade
sig gøre for serviceudbydere at ”udføre
funktionalitet på brugerens computere.”
IT-Politisk Forening har dog på deres
hjemmeside dokumenteret, hvor nemt det
er at få adgang til brugeres harddiske via
en Java-applet. Det har øget IT-Politisk
Forenings skepsis over for NemID.
”SIKKERHED BØR IKKE være baseret
på uklarhed, det vi kalder security by
obscurity. Det her handler om privatlivets
fred for alle borgere. Derfor burde der
være en mere åben debat om NemID, og
hvordan løsningen rent faktisk er opbygget.”
En anden anke er NemID’s sårbarhed
over for man-in-the-middle-angreb, hvor
en kriminel opretter en falsk side, som en
bruger derefter kommer til at indtaste sine
koder på.
”Dette er ikke teori. Vi har set flere
angrebsbølger. Det er rigtigt, at det
kun er banker, som er blevet ramt, men
det kunne lige så godt være offentlige
tjenester. Der er tale om alvorlige fejl i
hele systemets design, som gør NemID
til et slaraffenland for kriminelle, nysgerrige
virksomheder og myndigheder,” siger
Niels Elgaard Larsen.
VIDSTE DU AT?
• Der er over 200 forskellige danske
websites som benytter NemID
• NemID drives af bankerne gennem Nets
DanID med Digitaliseringsstyrelsen som
ansvarlig myndighed
• 99 pct. af alle danskere i trediverne
har NemID
• 3,84 millioner danskere har NemID
• NemID været brugt lidt over en halv
milliard gange siden introduktionen.

Ingen dato for NemID på mobilen
Danske forbrugere benytter i stigende grad deres tablets og smartphones til
at handle, gå i banken og kommunikere med myndigheder. Men det sker uden
brug af NemID.
DER MANGLER EN MOBIL udgave af NemID, og indtil
den er på plads, må borgerne tage til takke med mindre
sikre løsninger. Det er uheldigt i en tid, hvor forbrugerne i
stigende grad bruger deres mobile enheder til personlig
kommunikation med eksempelvis myndigheder og banker.
Det mener IT-Brancheforeningen.
”Sikker login fra smartphones og tablet-computere er
en af de største drivere for at opnå en mere effektiv digitalisering.
Hver anden familie har i dag smartphones, og
hver femte familie har en tablet-computer. Hvis NemID
skal følge med udviklingen, er det vigtigt, at vi hurtigt
får klare svar på, hvorhen udviklingen går,” siger direktør
Morten Bangsgaard fra IT-Branchen.
DET ER VIGTIGT for udviklere af løsninger at vide, hvilke
sikkerhedskrav det offentlige stiller til brug af hvilke typer
data på hvilke enheder.
SÅDAN SKAL NemID FORBEDRES
RÅDET FOR STØRRE IT-SIKKERHED har udarbejdet en ønskeliste til en fremtidig
generation af NemID. Først og fremmest er det nødvendigt, at regeringen iværksætter
et forberedende arbejde, der inkluderer høringer med eksperter og organisationer.
Rådet For Større IT-sikkerhed mener, at en ny generation af NemID blandt andet bør:
• Udarbejdes i en åben proces
• Etableres på baggrund af åbne standarder
• Leve op til EU’s krav til ”kvalificerede digitale signaturer”
• Være platformsuafhængig
Sikkerhed for kvalitet
i outsourcing
En revisorerklæring fra den statsautoriserede
revisionsvirksomhed REVI-IT
sikrer, at både god it-skik og lovgivning
overholdes.
REVI-IT arbejder med it-revision og rådgivning,
og specielt offentlige myndigheder,
sundhedsvirksomheder og den finansielle
sektor kræver i stigende grad attestering
af ydelserne fra underleverandører.
Følsomme personoplysninger skal beskyt- Martin Brogaard Nielsen.
tes, og det sikrer man sig ved at få en
revisorerklæring på eksempelvis den hosting-leverandør, man outsourcer til.
”Vi auditerer virksomheder og tester deres systemer, så vi kan dokumentere, at
de lever op til kravene i eksempelvis revisionsstandard ISAE 3402. Det kan være
cloud-leverandører eller andre, der opbevarer store datamængder, hvor det er vigtigt
for kunderne at have en sikkerhed for at tingene foregår efter bogen,” forklarer direktør
Martin Brogaard Nielsen fra REVI-IT.
Stigende krav om erklæringer
Sådanne revisorerklæringer bliver mere almindelige i takt med, at virksomheder og
myndigheder efterspørger det hos leverandørerne. Mange leverandører ser det også
som et markedsføringsinstrument, der giver en garanti for, at leverancen lever op til
lovgivningens krav.
”De fleste virksomheder har ikke kompetencer eller ressourcer til selv at kontrollere
leverandørerne, så de ser på, om leverandøren er auditeret og har revisorerklæring. Og
det er der, vi kommer ind i billedet. Vi leverer erklæringer direkte i markedet, men også
gennem vores partnerprogram via en række tilsluttede revisionsfirmaer,” understreger
Martin Brogaard Nielsen.
www.revi-it.dk
Leverandørerne har også et stort behov for at vide,
hvilke komponenter de skal forvente selv at bygge, og
hvilke der vil blive stillet til rådighed i en kommende,
fælles infrastruktur. Det er spørgsmål, som er af afgørende
betydning for de investeringer, leverandørerne skal
foretage, og for hvor hurtigt langtidsholdbare og sikre
løsninger kan komme på markedet.
”Jo længere tid der går uden klare svar, jo større sandsynlighed
er der for, at der sker knopskydninger af midlertidige
sikkerhedsløsninger,” siger Morten Bangsgaard.
Digitaliseringsstyrelsen undersøger i øjeblikket potentialet
for mobil borger- og virksomhedsbetjening med henblik
på at udarbejde en fællesoffentlig handlingsplan for
mobil selvbetjening. Den nuværende NemID-løsning kan
ikke anvendes på mobile platforme. Digitaliseringstyrelsen
kan ikke sige noget om, hvornår en løsning er på plads.
ANNONCE
Hele dette tillæg er udgivet af Rådet For Større IT-Sikkerhed
• Give sikkerhed for, at der ikke kan hentes uvedkommende data fra
brugerens PC
• Følges op med større åbenhed og dialog
• Give brugerne mulighed for at gemme deres digitale nøgler både centralt og decentralt
• Følges op af mulighed for flere konkurrerende login-løsninger.
SE MERE PÅ:
www.rfsits.dk/20120104-nemid
Nu endelig
it-sikkerhed på nettet
En førende dansk platform for debat og
viden om it-sikkerhed. Det er målet med
Ezentas nye website.
It-sikkerhedsvirksomheden Ezenta vil meget
mere end at sælge et produkt. Ezenta vil
skabe debat og gøre op med hemmelighedskræmmeriet
omkring it-sikkerhed, og det
skal blandt andet ske gennem en helt ny og
interaktiv website med vidensdeling, blogs
og et dansk ”trusselsbarometer”.
”Vores website skal være mere end blot et Niels Kemal Onat.
visitkort for vores virksomhed. Vi ser gerne,
at alle kan bruge siden til at blogge om it-sikkerhed og til at udveksle viden og teste
sikkerhedsniveauet. Vi vil kort sagt tage udgangspunkt i erhvervslivets behov frem for
vores eget behov for at vise os frem,” siger CEO og partner i Ezenta, Niels Kemal Onat.
For meget hemmelighedskræmmeri
Han mener, at branchen er præget af for meget hemmelighedskræmmeri, og det betyder,
at ingen kender det reelle trusselsbillede for netop deres branche. Derfor vil Ezenta
på sigt offentliggøre et ”trusselsbarometer” i lighed med det, man har i andre lande.
”Vi vil være med til at skabe et mere nuanceret kendskab til, hvad der findes af
trusler aktuelt og i den nærmeste fremtid, og gennem vores producenter har vi et
verdensomspændende kendskab til trusselsbilledet. Vi kender markedet og kan
samle alle disse oplysninger her, og vi ser ingen grund til at holde det for os selv,”
understreger Niels Kemal Onat.
Udgangspunkt i behovet
Først og fremmest tager det nye site udgangspunkt i erhvervslivets behov.
”It-sikkerhed drejer sig om tillid og troværdighed, og det vil vi vise at vi lever op til,
ved at fokusere på behovet mere end på produkter. Det er en rejse der lige er startet,
men vi håber at rigtig mange vil være med til at skabe denne platform,” påpeger
Niels Kemal Onat.
Ezenta A/S
Hørkær 14
2730 Herlev
Ezenta A/S
Katrinebjergvej 115
8200 Århus N
www.ezenta.com
Tlf. 70 20 12 60
CVRnr. 32 56 27 60
ANNONCE

Hele dette tillæg er udgivet af Rådet For Større IT-Sikkerhed
Rigtigt mange bruger de sociale medier men det er kun er de færreste, som læser brugeraftalerne – og næsten ingen kan overskue dem.
Brugeraftalerne ingen læser
Brugeraftaler til app’s, websites og software er så omfattende og uigennemskuelige,
at forbrugerne opgiver og accepterer vilkår i blinde. Den adfærd skaber
et ulige bytte forhold mellem brugernes nemme adgang til services og udbydernes
rettigheder.
EN KOLLEGA KOMMER FORBI og viser dig et nyt
spil på nettet. Smart. Du spiller i de sene aftentimer og
har accepteret vilkårene for at komme videre. Ude i højre
side af spillet er der reklamer og
annoncer. Det kan også være en
forbrugerundersøgelse af netop dit
bilmærke. Spillet slutter. Du klikker
dig ind på brugerundersøgelsen,
hvor du registrerer dig og beredvilligt
svarer på spørgsmålene og
slutter af med din e-mail-adresse,
fordi du gerne vil vinde en præmie.
Næste dag ligger der tilbud på varer i din indbakke.
Telefonen ringer, og en ung mand fortæller dig, at du har
deltaget i en undersøgelse og gerne vil vide mere. Du
er irriteret, men et helt andet spil end selve spillet blev
startet med et klik. Spillet om din opmærksomhed og
dine indkøb.
SITUATIONEN ER hverdagskost for rigtig mange og
opstår, fordi forbrugerne ikke får læst de aftaler, som
udbyderne af software, spil, sociale medier og app’s har
udarbejdet. Man orker simpelthen ikke at skulle forholde
sig til de mange og ofte lange tekster med jura, forbehold
og uigennemskuelige fordelinger af rettigheder mellem
bruger og udbyder.
Leder af Digital Footprints Research Group, Anja
Bechmann, fra Aarhus Universitet har i en årrække forsket i
sociale netværksudbydere, brugernes adfærd og bytteforholdet
mellem dem. Hun fortæller, at undersøgelser med
klar tydelighed viser, at det kun er de færreste af os, der læser
en brugeraftale, og at næsten ingen kan overskue dem.
Hun er ikke i tvivl om, at det er brugerne, der bliver tabere.
”Udbyderne kalkulerer med, at brugerne afgiver rettig-
DIN AFTALE MED FACEBOOK
8 Rådet For Større IT-Sikkerhed
Man orker simpelthen
ikke at skulle forholde
sig til de mange og
ofte lange tekster.
AFTALEN, DU SIGER JA TIL, når du opretter en konto på Facebook, er meget vidtgående.
Du giver Facebook ”uopsigelig, evig, ikke-eksklusiv, overførbar, fuldt betalt, global
licens (=adgang) til at bruge, kopiere, opføre offentligt, vise offentligt, omformatere,
oversætte, uddrage (helt eller delvist) og distribuere dette brugerindhold til ethvert for-
heder. Det er en præmis for at være med på for eksempel
de sociale medier. Det er som i en skolegård: Er du ikke
med, er du ude, og er du ude, er du ikke en del af det
sociale fællesskab. På den måde
fokuserer man på behovet og gør
det sekundært at læse og forstå
betingelserne for at være med,”
siger Anja Bechmann, som tilføjer,
at det stort set er alle platforme,
der har det samme problem, og at
det er generelt for alle netaftaler.
”Det er hele nettets logik, at folk accepterer og kommer
hurtigt videre.”
ANJA BECHMANN MENER IKKE, at det alene er udbyderne,
der har et problem. Brugerne har et medansvar
for deres klik og vaner på nettet samt antallet af programmer
og applikationer, de installerer. Anja Bechmanns
brugerundersøgelser af Facebook blandt gymnasieelever
viser blandt andet, at de unge i gennemsnit har 60 applikationer
installeret, hvor det højest registrerede antal var
251 på iPad, smartphone og pc.
”Jeg tror ikke, at brugerne ændrer adfærd, før de
erkender, at der foreligger et problem ved at acceptere
brugeraftaler i blinde. Jeg mener, der er et lovgivningsproblem,
hvor vi ikke er fulgt med den teknologiske
udvikling,” siger Anja Bechmann.
INGRID COLDING-JØRGENSEN, som er it-sikkerhedschef
i GN Store Nord og formand for Dansk IT’s Råd for
IT- og Persondatasikkerhed, er enig i Anja Bechmanns
vurderinger af brugernes adfærd på nettet og deres manglende
viden om, hvad der sker bag kulisserne. Hun mener
også, at udbyderne af sociale medier har et stort ansvar:
“Vores it-adfærd og mangel på
disciplin er en åben invitation til
dem, der gerne vil udføre kriminalitet,”
siger Ingrid Colding-Jørgensen,
som er it-sikkerhedschef
i GN Store Nord og formand for
Dansk IT’s Råd for IT- og Persondatasikkerhed.
Foto: lickr/chispita_666 CC BY
“Udbyderne kalkulerer med, at
brugerne afgiver rettigheder.
Det er en præmis for at være
med på for eksempel de sociale
medier,” siger Anja Bechmann
der er leder af Digital Footprints
Research Group ved Aarhus
Universitet og medlem af Rådet
For Større IT-Sikkerhed.
”At sociale medier som eksempelvis Facebook har udviklet
sig fra at være en skolegård til en it-portal for hvad
som helst, burde have været skrevet med meget store
bogstaver, så alle kunne forstå, at de gik fra det sociale
til det kommercielle.”
”VI KAN KUN ÆNDRE ADFÆRD gennem oplysning,
og det er en illusion, at vi kan styre brugerne i én bestemt
retning. Oplysning skal ske gennem eksempler på de
situationer, vi risikerer at havne i, når vi ikke er bevidste
om vores omgang med nettet og vores software,” siger
Ingrid Colding-Jørgensen. Hun mener, at forbrugernes
vaner med at acceptere aftaler i blinde også åbner døren
for kriminalitet. Når forbrugerne vænnes til at overse
brugeraftaler, er der ikke langt til også at overse sikkerhedsadvarsler.
”Vores it-adfærd og mangel på disciplin er en åben
invitation til dem, der gerne vil udføre kriminalitet,” sammenfatter
Ingrid Colding-Jørgensen.
mål, kommercielt, reklamemæssigt eller øvrigt, på eller i forbindelse med websiden eller
promovering heraf, til at udarbejde afledte værker af dette brugerindhold, eller indarbejde
det i andre værker, og til at bevillige og bemyndige underlicenser af ovenstående.”
KILDE: Facebook

ds.dk/informationssikkerhed
Sikkerhed skal styrke
forretningen!
Dansk Standard kan rådgive jer om forretningsrelevant
informationssikkerhed. Det styrker jeres kvalitet og effektivitet.
Kontakt seniorkonsulent Niels Madelung på 41 21 83 04 eller
nm@ds.dk.

Hele dette tillæg er udgivet af Rådet For Større IT-Sikkerhed
HJÆLP!
Du er blevet stjålet!
Borgere, som får
stjålet eller misbrugt
deres identitet,
kan havne i
mareridtsagtige
situationer.
Forbrugerrådet
vurderer at identitetstyveri
er et stort
problem, men
Digitaliseringsstyrelsen
mener ikke,
at der er belæg for
radikale tiltag.
10 Rådet For Større IT-Sikkerhed
KONTOUDTOGET FRA BANKEN VISER, at din konto er
gået i minus, selv om du ved, at den er i plus. Næste dag bliver
du rykket for betaling af et køleskab, du aldrig har set, og en af
dine venner spørger, hvorfor du har meldt dig ind i en patientforening,
selv om du er kernesund. Hvad du endnu ikke ved, er,
at en advokat er på vej til at sende dig en inkassoskrivelse for
manglende overholdelse af en købekontrakt på et stereoanlæg
i den store størrelse.
Din identitet er langsomt blevet overtaget af en anden
person. Dine personlige oplysninger og dit CPR-nummer
bliver brugt til at stifte gæld, oprette medlemskaber – eller til
at en anden udgiver sig for at være dig på sociale netværk. Du
opdager, at noget er galt, og nogen har stjålet din identitet så
fuldkomment, at end ikke dit sundhedsbevis bliver godtaget
som dokumentation for, hvem du er. Det kan udvikle sig til et
mareridt for personer og familier.
Scenariet er ikke taget ud af den blå
luft. Der dukker vedvarende nye sager op,
hvor ofre oplever, at de slår i en dyne, når
de beder om hjælp til at komme tilbage til
virkeligheden. Der findes eksempler på,
at personer har henvendt sig til Experian
og andre, som registrerer dårlige betalere,
med ønske om netop at blive registreret
som dårlig betaler for at slippe ud af kløerne
på identitetstyve. Datatilsynet tilkendegav
i 2011, at opgaven ikke kan varetages
af et kreditoplysningsbureau – men at det
vil være muligt at etablere en sådan tjeneste
i separat regi. Andre har henvendt sig
til deres pengeinstitut for at bede om at få nye konti. Endelig er
der eksempler på, at ofre har valgt at flytte for på den måde at
prøve at slippe væk fra problemet.
DANMARKS STATISTIK HAR IKKE tal på problemernes
omfang. Eneste kendte estimat over problemets omfang kommer
fra Det Juridiske Fakultet, Københavns Universitet. Her
lyder vurderingen, at 30–35.000 danske borgere er ramt af
identitetstyveri.
Anette Høyrup, som er jurist og forbrugerkonsulent i Forbrugerrådet,
er ekspert i persondatabeskyttelse, og hun har fulgt
udviklingen over adskillige år. Hun bebrejder både lovgivere
”Som det ser ud
nu, vil forbrugerne
først få en højere
grad af tryghed,
når EU-forordningen
træder i kraft,
hvilket ser ud til
tidligst at ske i 2015.”
og Digitaliseringsstyrelsen for at have siddet for meget på
hænderne.
”Vi ved fra vores kolleger i USA, at identitetstyveri nu er det
største, forbrugerpolitiske problem derovre. Vi ved også, at
Rigspolitiet ser en stigning i antallet af anmeldte identitetstyverier,
uden at vi dog har fået lejlighed til at se tallene. Men vi ser
ikke vores politikere og Digitaliseringsstyrelsen rykke tilsvarende
på sig for at komme ofrene til hjælp. Forbrugerne er ladt
i stikken, og ofrene hænger selv på problemerne. Vi har i flere
tilfælde set, at man ikke har villet eller ikke har kunnet udstyre
de ramte med nye CPR-numre, så de kan komme videre, og
det er bekymrende,” siger Anette Høyrup, som også ser det
som et problem, at den teknologiske udvikling og mulighed for
digitale identitetstyverier nærmest er spurtet fra den eksisterende
persondatalov.
”I Forbrugerrådet ser vi frem til, at EU-
Kommissionens udkast til en forordning, der
skal erstatte persondataloven, bliver en del
af dansk ret og dermed giver sikkerheden
for persondata et tiltrængt løft. Men vi er
bekymrede over, at der ikke i forvejen er
skabt løsninger for ofrene. Som det ser ud
nu, vil forbrugerne først få en højere grad af
tryghed, når EU-forordningen træder i kraft,
hvilket ser ud til tidligst at ske i 2015,” siger
Anette Høyrup.
LEKTOR I DATALOGI VED RUC, Niels
Chr. Juul, ser ikke identitetstyverier som
noget nyt.
”Det at udgive sig for at være en anden har altid kunnet lade
sig gøre. Vi har stort set kunnet gøre hvad som helst. Lige fra
drengestregerne i skolen, hvor der er blevet bestilt tonsvis af
grus til aflevering i lærerens indkørsel, til socialt bedrageri.
Det kommer vi nok aldrig til livs, så længe menneskeheden
er indrettet, som den er. Men med IT kan konsekvenserne af
identitetstyveriet blive rigtig voldsomme samtidig med at forbrydelsen
kan foretages på afstand. Man behøver ikke se den
det går ud over i øjnene. Vi bør i langt højere grad anerkende,
at det største problem ved identitetstyveri er, at de ramte ikke
kan komme ud af det og få ændret deres CPR-numre. Vi bør
etablere nye og effektive procedurer for at håndtere de ramte,”
Anette Høyrup, Forbrugerrådet

siger Niels Chr. Juul, som dog ikke tror på, at et nyt CPRnummer
kan gøre det alene, hvis gerningsmanden fortsat har
fokus på sit offer.
I Digitaliseringsstyrelsen anerkender man, at der foreligger
et alvorligt problem for dem, der er blevet ramt af identitetstyveri.
Men man ser ikke kritikken af styrelsen som berettiget.
Ifølge direktør i Digitaliseringsstyrelsen, Lars Frelle-Petersen,
er problemstillingen mere kompliceret og kræver endnu mere
eksakt information, før han vil anbefale at tilkalde kavaleriet.
”For det første blander man tingene sammen, fordi man ikke
har definitionen af identitetstyveri på plads. Forskellige interessenter
har forskellige definitioner, og det hjælper ikke ligefrem
de ramte. For det andet er det et problem, at vi ikke kender
problemet i dets fulde omfang. Og for det tredje er det først
nu, at man er gået i gang med et samarbejde på tværs af myndighederne,”
fortæller Lars Frelle-Petersen, som understreger,
at en holdbar hjælp til ofrene er lig med en grundig indsats. En
indsats han også lægger ud til borgere og virksomheder med
ønske om, at vi beskytter vores CPR-numre bedre og er mere
bevidste om vores adfærd med vores CPR-numre og andre
personlige oplysninger.
I DIGITALISERINGSSTYRELSEN STILLER man sig tvivlende
over for tallet på 30–35.000 danske ofre for identitetstyveri.
”Hvis det estimat er korrekt, så er der et meget stort misforhold
mellem dette tal, antallet af sager, som myndighederne
kender til, og det antal af sager, som bliver genstand for presseomtale.
Her i styrelsen bliver vi ikke ligefrem rendt over ende
af ramte eller bekymrede borgere,” siger Lars Frelle-Petersen.
Han oplyser, at Digitaliseringsstyrelsen er gået i gang med
det forebyggende arbejde med informationer på styrelsens
hjemmeside, koordineret indsats med øvrige myndigheder med
henblik på rådgivning og etablering af et egentligt rådgivningssite
for de ramte.
Hele dette tillæg er udgivet af Rådet For Større IT-Sikkerhed
BESKYTTELSE AF
PRIVAT LIVET FRA START
HVIS FREMTIDENS it-systemer skal
kunne beskytte mod identitetstyverier,
skal beskyttelse af privatlivet tænkes ind
i designet af it-systemer, og der skal løbende
holdes øje med, hvor problemerne
opstår.
INDTÆNKNINGEN AF sikkerhed fra
start omtales ofte som Privacy by Design.
Et af grundprincipperne er, at it-systemer
fra start skal udformes, således at data og
sammenhænge i data kun er tilgængelige
for dem, som har brug for dem.
IT-SYSTEMERNES EFFEKTER skal
også vurderes ved hjælp af det, som
kaldes for PIA (Privacy Impact Assessment).
Det er et af de centrale begreber i
EU-Kommissionens udkast til forordning
på persondataområdet. PIA analyserer
konsekvenser af et programs anvendelse
og distribution af personlige oplysninger.
Indførelsen af PIA blev anbefalet af den
nu nedlagte IT- og Telestyrelse.
HVAD ER
IDENTITETS TYVERI?
DER ER MANGE forskellige definitioner
af begrebet identitetstyveri. Til denne
artikel er der anvendt følgende definition:
• Identitetstyveri er en persons eller
gruppe af personers overtagelse af en
anden persons fysiske og/eller digitale
identitet.
• Tyveriet skal have til formål at fratage
den anden persons materielle værdier,
rettigheder eller forpligtelser.
DET ER SÅLEDES IKKE identitetstyveri
alene at stjæle og misbruge koder til kreditkort.
Der er først tale om identitetstyveri,
når de stjålne kreditkortdata misbruges
i sammenhæng med anden misbrug af en
persons identitet og persondata.
Identitetstyveri har som regel til formål
at fratage en anden persons materielle
værdier eller rettigheder og benytte dem
til egen vinding. Det kan eksempelvis ske,
når et pas blive stjålet og brugt af en anden
person eller på nettet, når et opsnappet
password bruges til at få uretmæssig
adgang til data i den anden persons navn.
Ved grove identitetstyverier har de kriminelle
så mange oplysninger om offeret,
at de har adgang til at manipulere med
personens økonomi, kontakt til offentlige
myndigheder og offerets private netværk.
I retssystemet behandles identitetstyveri
typisk under straffelovens paragraffer
om bedrageri og dokumentfalsk.
Rådet For Større IT-Sikkerhed 11

ANNONCE
Norman har flere års erfaring med avanceret beskyttelse af virksomheders netværk og produktionsapparat mod it-kriminelle, fortæller Torjus Gylstorff
og Robert Juul Glæsel.
Pioner inden for sikkerhed beskytter danske
produktions- og forsyningsvirksomheder
Truslerne står i kø mod danske produktions- og forsyningsvirksomheders it-systemer.
Men der er hjælp at hente hos en pioner i branchen.
Norman har været med i it-sikkerhedsbranchen,
siden it-trusler var virus konstrueret af cola-drikkende
nørder – i dag er it-kriminelle højt specialiserede,
professionelle forbrydere, som arbejder på tværs af
landegrænser.
Det betyder, at trusler mod virksomheder – også
danske – i dag er stærkt stigende og betydeligt mere
komplekse. Trusselsbilledet er et helt andet. Mængden
af avancerede angreb, som er målrettede og
lavet til at omgå de klassiske sikkerhedsmekanismer,
er i stærk stigning.
”Traditionelle it-sikkerhedsløsninger løfter en del
af opgaven mht. beskyttelse af IT og produktions-IT
systemer. Men virksomheder og organisationer skal
forholde sig til en ny generation af avancerede og
målrettede trusler, som skal detekteres med tilsvarende
avancerede værktøjer for at sikre den kritiske
infrastruktur,” understreger direktør Torjus Gylstorff,
som netop har overdraget tøjlerne i den danske
afdeling af Norman til Robert Juul Glæsel for selv at
koncentrere sig om Norman’s internationale forretning
indenfor avanceret beskyttelse af virksomheder
og organisationer.
Avancerede analyser afslører skjulte trusler
Norman arbejder i dag med avancerede analyser af
datastrømme for at kortlægge skjulte eller målret-
tede angreb. Traditionelle sikkerhedsmekanismer
har svært ved at detektere avancerede angreb, som
kan være specialiserede til kun at ramme en enkelt
virksomhed.
Både private virksomheder og offentlige myndigheder
er udsat for trusler – fra hackere, it-kriminelle,
eller fra organisationer, der vil tilegne sig forretningshemmeligheder.
Virksomheder, som vil sikre
produktionen, beskytte kritisk infrastruktur eller
beskytte følsomme data, bør investere i de it-sikkerhedsværktøjer,
som er målrettet til netop denne form
for beskyttelse. Og de værktøjer har Norman.
Et godt eksempel er Norman SCADA Protection,
som beskytter produktions-it. En produktion, der
styres af computere, er ofte en del af virksomhedens
netværk, og i alle tilfælde udsat for overflytning af
data. Men selv om man kan beskytte hele virksomheden
mod trusler udefra, kan der være sikkerhedsbrist
mellem det administrative netværk og produktionen.
Uventede trusler
”Det løser vi ved at skanne alt netværkstrafik til og fra
produktionsmiljøet. Men der kan også komme trusler
ind helt uforvarende – eksempelvis fra en medarbejder
eller en udefra kommende tekniker, der tilslutter
en USB-nøgle eller en bærbar enhed til produktionssystemet,
for eksempelvis at opgradere det. Her
kan vi lave en spærring, som kun tillader sikkerhedsskannede
og godkendte enheder at blive koblet på,”
fortæller Robert Juul Glæsel.
Sådanne trusler skyldes ofte en uhensigtsmæssig
adfærd, men det vil ske, når mennesker er en del af
produktionen. Derfor er det bedst at sikre selve systemet
mod truslerne, i stedet for at prøve at ændre
adfærden.
Iran-angreb åbnede øjnene
Et af de eksempler, der gav verden en aha-oplevelse,
var den berømte Stuxnet-orm, der var designet til at
nedbryde det iranske atomprogram. At en magt på
den måde kunne ødelægge en anden magts infrastruktur,
viste hvor sårbar forsyning og andre vitale
samfundsanlæg kan være, og siden har branchen arbejdet
på højtryk for at løse sikkerhedsbristerne. Det
er blandt andet den type løsninger, Norman dagligt
videreudvikler til gavn for kunderne.
Telefon: 70 25 35 08 · e-mail: info@normandk.com
www.norman.com

FAKTA
SÅDAN ANGRIBES
INDUSTRI COMPUTERE
PLC´ERE SIDDER I DAG i næsten alle
automatiserede industrisystemer. Det vil
sige i alt fra vaskehallen nede på tanken
og landbrugets malkemaskiner til bilfabrikker
og atomkraftanlæg. De PLC´ere, der
i dag installeres, baserer sig på teknologi,
der blev udviklet i begyndelsen af
1980´erne. Systemerne er løbende blevet
udbygget med basis i den oprindelige
kerne. Det betyder, at det grundlæggende
design i de chips, som benyttes, er fra en
tid, hvor it-sikkerhed ikke var en integreret
del af arkitekturen. De former for
sikkerhed, der findes, er lappeløsninger,
som er kommet til efterfølgende. Det gør
PLC´ere særligt udsatte for de såkaldte
zero day-angreb, det vil sige angreb via
sikkerhedshuller, som ikke tidligere har
været kendt, netop som
det var tilfældet med
Stuxnet-ormen. Det
er et kapløb, hvor
udviklerne hele tiden
er bagud i forhold til
sikkerhedstruslerne.
PLC-bokse af denne
type sidder i næsten
alle automatiserede
industrisystemer.
ELMÅLERNE KAN BLIVE
NÆSTE HACKER-MÅL
INTELLIGENTE ELMÅLERE er installeret
i flere hundredetusinde danske hjem.
De gør det muligt at overvåge og styre
forbruget. Målerne er koblet sammen i et
stort netværk, hvor data om elpriser og
forbrug løbende udveksles. Med tiden vil
det blive muligt at tænde og slukke hjemmets
el-apparater automatisk via målerne.
Målerne kan også tilgås fra computere og
smartphones. Det skaber helt nye muligheder
for at anrette virusangreb mod de
private hjem. Elmålerne er nemlig baseret
på de samme, gamle teknologier, der er
sårbare over for vira af samme type som
Flame og Stuxnet.
STUXNET OG FLAME –
DE ONDE FÆTRE
STUXNET VAR IKKE blot en enkeltstående
orm. It-sikkerhedseksperter fra
blandt andet Kaspersky har afdækket
en nær familierelation mellem Stuxnet
og Flame, der blev opdaget i 2012. Da
Stuxnet blev opdaget i 2010, viste det
sig, at der var tre versioner i omløb, og
at de havde huseret siden 2009. Man
har indtil for nylig troet, at der var tale
om én isoleret kode. Nu viser det sig, at
den nyligt opdagede Flame-orm faktisk er
ældre, og at Stuxnet til dels er baseret på
Flame-platformen.
Modelfoto: flickr/teleradiogroup CC BY-ND
STUXNET ÆNDREDE ALT:
Da industrien fik
taget sin uskyld
Millioner af små computere, som holder
essentielle produktionsanlæg kørende,
kan meget vel blive de næste store mål for
hackere og terrorister. Det står klart, efter
computerormen Stuxnet i 2010 blev opdaget.
Den havde spredt sig via Microsoft
Windows, og dens mål var en helt bestemt
type industricomputer på iranske atomanlæg.
Ormen var så avanceret, at der i dag
er bred enighed om, at USA og Israel har
stået bag. Alt tyder på, at den ikke skulle
have været sluppet løs på internettet –
men nu er det sket, og hackere kan bruge
koden til at lave nye varianter.
INDUSTRIENS COMPUTERSYSTEMER holder samfundet
kørende. I alle produktionssystemer sidder der små computere
og styrer robotter, opsamler data eller justerer hastighed
på transportbånd. Traditionelt har disse småcomputere, der
baseres på PLC´ere (Programmable Logic Controller), været
lukkede systemer. PLC´erne bliver dog i disse år integreret
i større produktionsstyringsløsninger, de såkaldte SCADA-
systemer. Forkortelsen SCADA står for Supervisory Control
And Data Acquisition, det vil sige overvågning og datafangst.
Systemerne er afgørende for, at de mange små computere kan
give virksomheden værdifulde oplysninger om produktionen.
SCADA-systemerne kobles i stigende grad sammen med
virksomhedernes økonomistyringssystemer, og det ses også
stadig oftere, at SCADA-systemer og -komponenter kan monitoreres
og serviceres via internettet.
Det gør livet lettere for virksomhederne, men det giver også
en række indgange for hackerangreb – netop det som skete
ved Stuxnet- og igen i 2012 med Flame-angrebene.
STUXNET-ORMEN BLIVER NU fanget af de fleste sikkerhedsløsninger,
men der er sket et fundamentalt skift. Det
krævede indsats fra to stater at udvikle den avancerede kode,
som Stuxnet benyttede, og som anvendtes som virtuelt våben
mod Iraks atomanlæg. Nu findes denne kode frit tilgængelig på
Hele dette tillæg er udgivet af Rådet For Større IT-Sikkerhed
Iranske teknikere arbejder på Bushehr atomkraftværket i den sydlige del af landet. Iran har bekræftet at Stuxnet inficerede adskillige af de ansattes
bærbare computere, men har også ladet forstå at selve anlægget ikke blev påvirket.
internettet, og nye varianter, som benytter samme, avancerede
teknik, vil være nemme at udvikle.
Det har Yaniv Miron gjort for at vise, hvor sårbare virksomhederne
er. Han er sikkerhedskonsulent i virksomheden FortConsult,
og han har en fortid hos blandt andet Israels militær, Israel
Defence Forces. Han forsøger at oplyse om den potentielle risiko,
de meget udbredte SCADA- og PLC-baserede systemer
udgør for erhvervslivet og også for staters sikkerhed.
”TRUSLEN MOD VORES industrisystemer er reel. Når der
skal bores olie, eller når der skal etableres nye produktionssystemer,
så handler det for virksomhederne først og fremmest
om at få produktionen op i omdrejninger. It-sikkerhed er
man måske nok bevidst om, men ude i virksomhederne anses
industrisystemerne for kun at udgøre en lille risiko. Det skyldes,
at angrebene er sjældne, men risikoen stiger, i takt med at der
ikke tages hånd om problemet,” siger Yaniv Miron.
Virksomhedernes mangel på opmærksomhed betyder, at der
oppustes en boble af sårbarheder: Virksomhederne udbygger
konstant industrianlæg med usikker teknologi, samtidig med at
redskaberne til at kompromittere sikkerheden bliver mere og
mere tilgængelige.
”Det er ikke science fiction længere. Jeg har personligt hacket
mig ind i PLC´ere og SCADA-systemer, og værktøjer til at gøre
dette kan frit downloades fra internettet. Set fra et sikkerhedssynspunkt
er det en uholdbar situation,” fortæller Yaniv Miron.
SIKKERHEDSSTRATEG KIM AARENSTRUP fra IBM er
enig i den betragtning. Orme som Stuxnet og Flame har taget
industriens uskyld, og han mener, at virksomhedernes ledelser
i højere grad bør tage deres it-sikkerhedsfolk med på råd:
”Der er en tendens til, at sikkerhedsfolkene skal slås rigtig
hårdt for deres berettigelse. I forbindelse med finanskrisen er
sikkerheden forsvundet fra ledelses-radaren, i takt med at der
har været travlt med at kæmpe for forretningens økonomi.”
Han påpeger desuden, at en nylig IBM-undersøgelse af itsikkerheden
fordelt på lande verden over viser, at danske virksomheder
de seneste år er sakket agterud i forhold til andre
lande. Kim Aarenstrup anbefaler derfor, at man på ledelsesniveau
i danske virksomheder tager skridt til at hæve it-sikkerheden
fra et brandslukningsniveau til et strategisk niveau.
”Det er vigtigt at forstå, at it er en komponent i forretningen
og ikke kun noget, der vedrører it-afdelingen. Den forståelse
mangler i mange danske virksomheder,” siger Kim Aarenstrup.
Rådet For Større IT-Sikkerhed 13

Hele dette tillæg er udgivet af Rådet For Større IT-Sikkerhed
Det er mindre attraktivt at kopiere og misbruge data, som er skabt i samarbejde med andre.
Åben kultur
sikrer data bedst
Videndeling, teamwork og fri adgang til
virksomhedens fælles data er nøgleord for
en moderne virksomhed. Medarbejdernes
adgang til data giver samtidig en række
sikkerhedsrisici, som det er en ledelses
opgave at tackle.
NÅR EN MEDARBEJDER FORLADER en virksomhed, er
der betydelig risiko for, at der også går data og viden tabt. Det
kan være viden om fremgangsmåder, kundedatabaser, design
og meget andet. Åbenhed og videndeling kan være et effektivt
våben mod tab af data og viden. Når virksomhedens viden er
fælles, ligger enkelte medarbejdere nemlig ikke alene inde med
kritisk viden om forretningsgange eller data om kunder.
Inger Toft Thiersen er uddannet advokat, og hun er indehaver
af rådgivningsvirksomheden Viden Assistance.
”Når vi skal minimere tabet af data via medarbejderne, skal
vi se på, hvordan vi videndeler, og hvilke aftaler vi har for videndeling.
Virksomheder, som pålægger de ansatte at videndele
og at dokumentere deres arbejdsgange, mister langt færre
data end virksomheder, der ikke har regulering på området,”
siger Inger Toft Thiersen.
Det skyldes, at de virksomheder, der har en kultur for deling
af viden og data, arbejder i så komplekse sammenhænge
internt og eksternt, at der ikke er incitament til at kopiere eller
misbruge data, som ikke kan anvendes uden hjælp fra eller i
sammenhæng med andre.
EN AF INGER TOFT THIERSENS opgaver er at sikre, at
virksomhederne ikke taber data og viden, når en medarbejder
rejser. Det kan være ved at indføre it-systemer, regler for videndeling
eller ved at afholde exit-samtaler.
”Virksomheden skal indse, at det er vigtigt for dens bund-
14 Rådet For Større IT-Sikkerhed
linje, at der videndeles på en struktureret måde, og at det er en
ledelsesopgave at styre denne indsats. Det er min oplevelse,
at meget få virksomheder i dag erkender dette behov, og dermed
risikerer de, at der forsvinder data fra virksomheden.”
NIELS MADELUNG, DER ER seniorrådgiver hos Dansk
Standard siger: ”Det kan være en motiverende faktor i en
virksomhed at have fri adgang til fællesdrev. Det giver en
fornemmelse af åbenhed og fælleskab, men flere og flere
virksomheder er gået over til at organisere data efter needto-know
frem for nice-to-know for at undgå tab af data, og de
indfører standarder for bedre datahåndtering. Det kan være
noget så simpelt som at sikre, at kun de rette personer har
adgang til virksomhedens it-system. Jeg har set eksempler på,
at afskedigede medarbejdere har haft adgang til deres tidligere
arbejdspladsers it-systemer meget længere tid, end de skulle
have haft. Her kan standarder for medarbejderes adgang være
en hjælp,” siger Niels Madelung.
INGER TOFT THIERSEN PÅPEGER, at det er væsentligt at
sondre mellem data, viden og forretningshemmeligheder: ”Data
og information tilhører arbejdsgiveren. Vi taler her for eksempel
om beregninger, aftaler, analyser. Viden er derimod resultatet
af medarbejderens bearbejdning af disse data og tilhører som
udgangspunkt medarbejderen, indtil resultatet af arbejdet indgår
i virksomhedens data.” Hun tilføjer, at behandlingen af data
og viden bør være reguleret af ansættelseskontrakten, hvor
der kan være meget stor forskel på detaljeringsgraden. Forretningshemmelighederne
reguleres af markedsføringsloven.
Med den i hånden tager nogle virksomheder hele skridtet og
forlanger, at alle data er dokumenteret slettet fra den ansattes
pc, mens andre gennemfører et interview i forbindelse med fratrædelse.
Andre igen indfører ISO-standarder eller udarbejder
interne politikker for, hvordan data skal behandles, og hvilke
typer data en medarbejder må tage med hjem.
Foto: flickr/alessandromusicorio CC BY-SA
TO SCENARIER
FOR DATATAB
NIELS MADELUNG, der er seniorrådgiver
hos Dansk Standard, ser to forskellige
scenarier for, hvordan en medarbejder
kan gøre skade på en virksomhed ved at
lænse data.
Et scenarie er den beregnende
medarbejder, som igennem længere tid
indsamler data og systematisk sender
denne viden ud af virksomheden. Email,
USB-stik og smartphones gør det vanskeligt
at lægge restriktioner på data, som
medarbejderen i sin hverdag har adgang
til. Her er løsningen at have et godt forhold
til sine medarbejdere.
”Det er meget sjældent, vi ser den
systematiske lænsning af data. Problemet
er, at det ikke kan forhindres direkte gennem
tekniske eller administrative tiltag.
For at undgå, at den sikkerhedsbrist bliver
udnyttet, må ledelsen satse på forholdet
mellem medarbejdere og virksomhed.”
DET ANDET SCENARIE, som ifølge
Niels Madelung er det mest udbredte, er,
at en medarbejder i affekt og over kort
tid gør en indsats for at hive så mange
værdifulde data med sig som muligt. Det
kan ske i forbindelse med en opsigelse
eller splid på arbejdspladsen. En ledelse
kan forebygge denne type situationer på
flere måder. Først og fremmest skal data
organiseres i en struktur, hvor man ikke
umiddelbart fra brugerfladerne kan kopiere
det samlede indhold. Databaser, der
præsenteres på en web-brugerflade, er et
eksempel på en god løsning. Det er også
en god idé at have procedurer for hvem,
der har adgang til hvad og hvornår.
FIRE TRIN TIL BEDRE
DATASIKKERHED
Proceskonsulent Inger Toft Thiersen
anbefaler ofte organisationer at arbejde
med datasikkerhed ud fra en strategi på
fire niveauer:
TILLID: Tillid til, at alle behandler data
som aftalt, og tillid til, at medarbejderne
videndeler til gavn for virksomhed og
kolleger.
ANERKENDELSE: Anerkendelse fra
ledelse og kolleger, når der videndeles.
STRUKTUR: Videndeling sker struktureret
og med de rette it-systemer.
KOLLEKTIV INDSATS: Videndeling
finder sted som en samlet virksomhedsindsats,
hvor hver enkelt bærer et ansvar.

DET ER IKKE
ALT, DER KAN
SIKRES BAG EN
FIREWALL
VORES NETVÆRK SKABER SIKKERHED FOR IT-FOLKET
SAMDATA\HK er Danmarks største faglige netværk for
IT-specialister. Det gør, at vi har de nødvendige
forudsætninger for at sikre de bedste løn og arbejdsvilkår
for vores medlemmer.

ANNONCE
It-sikkerhed
styrker
troværdighed
og vækst
It-sikkerhed er ikke blot en nødvendig
investering. For flere og flere virksomheder
er det et værktøj til forretningsudvikling,
der giver plus på bundlinjen.
Managing Risk. Enabling Growth. Det er Dubex’
slogan, og det siger præcist, hvad Chief Technical
Officer Jacob Herbst mener, når han fortæller om
virksom hedens forretningsstrategi.
”Traditionel risikostyring tager sigte på at kunne
afværge trusler som hacking og at kunne leve op til
stigende krav fra kunder og myndigheder. Men flere
og flere erfarer, at der er god fornuft og forretning
i at sikre sine data. Et eksempel er, når virksomhedens
medarbejdere skal koble sig op på netværket
eksternt fra bærbare computere eller smartphones,
et andet er e-handel, hvor flere virksomheder giver
kunder adgang til interne oplysninger, så de kan
følge deres ordrer,” fortæller han.
Gevinst på flere fronter
Trusler som hacking, brug af mobile enheder og
adgang til virksomhedsdata er alt sammen emner, der
kræver, at sikkerheden på netværket er i top. Er den det,
kan virksomheden hente gevinster på flere fronter. Hvis
kunderne har tillid til virksomhedens datasikkerhed, vil
de være tilbøjelige til at vælge samme leverandør næste
gang. Samtidig kan virksomheden få effektiviseringsgevinster
ud af at optimere it-sikkerheden.
”Det er her, vi kommer ind. Vi er totalleverandører
og kan både levere standarderne og teknikken. Vi
går ind og ser på kundens behov og processer, og vi
laver en risikoanalyse i forhold til kundens sikkerhedsniveau.
Alt efter hvilken virksomhed vi taler om, kan
det være hackerangreb, virus eller strømafbrydelser,
der giver risiko for nedetid eller regulære terrortrusler
mod eksempelvis en vigtig forsyningsvirksomhed,”
fortæller Jacob Herbst.
Dubex arbejder blandt andet indenfor brancher som
finans, medicinal, it og tele, produktion, rådgivning og
den offentlige sektor, og de råder over hele paletten
fra risikoanalyse over sikkerhedsprodukter til implementering
og support. Konsulenterne arbejder tæt
sammen med kundens medarbejdere om de bedste
løsninger uanset hvor i verden, det foregår.
Uden it – ingen forretning
I dag er stort set alle virksomheder – og hele samfundet
– afhængige af it-systemer, der virker. Offentlige
myndigheder håndterer personfølsomme data, og
virksomheder sender fortrolige oplysninger på tværs
af grænser til hele kloden. Finansielle virksomheder
og børser kan ikke tillade tillidstab eller læk af oplys-
Dubex er Danmarks førende, forretningsorienterede
it-sikkerhedsspecialist. De leverer og supporterer
sikkerhedsløsninger til over 500 lokationer globalt
og har siden 1997 hjulpet private og offentlige virksomheder
med at håndtere risici, imødekomme forandringer
og understøtte en fleksibel vækst. Dubex dybdegående
Jacob Herbst, Chief Technical Officer, Dubex.
ninger til professionelle it-kriminelle, og derfor er risk
management inden for it-sikkerhed i dag mindst lige
så vigtigt som finansiel risikostyring.
”Uden it er der intet forretningsgrundlag, og
sikkerhed er kompleks i dag. Der findes mange
leverandører af sikkerhedsprodukter, og kun ganske
få gigantiske virksomheder har selv de eksperter
og den viden, der er nødvendig for at håndtere
sikkerhedsspørgsmål. Vores eksperter er typisk
ingeniører med en proces- eller it-baggrund, og de
har en grundlæggende forretningsforståelse, så vi
kan vurdere kundernes reelle behov. Vi repræsenterer
mange leverandører og kan derfor fungere
som ambassadører mellem producenter og kunder,”
understreger Jacob Herbst.
Hos Dubex går risikostyring og vækst hånd i hånd.
Og det har en række store danske virksomheder allerede
indset værdien af. Virksomheder som Rockwool,
Cowi og Ikano benytter Dubex som sparringspartner
i sikkerhedsspørgsmål, ligesom vigtige forsyningsvirksomheder
som Lynettefællesskabet sikrer sig
gennem samarbejdet med Dubex.
tekniske ekspertise og brancheerfaring samt en omfattende
produktportefølje og dokumenterede resultater gør
Dubex til den ideelle samarbejdspartner for it-afdelinger,
der ønsker at bidrage til virksomhedens succes.
www.dubex.dk

Kronik
SYSTEMER HAR
INGEN
SAMVITTIGHED
Hans Jørgen Bonnichsen, PETs
tidligere operative chef, peger i
denne kronik på vigtigheden af,
at vi fastholder Danmark som et
liberalt retssamfund. Som digitaliseringen
gennemføres nu, bringer
den Danmark hen imod en kontrolstat,
advarer han. Man bør altid
som politiker tænke på, om man
er villig til at overlade sin egen
lovgivning til ens værste fjender.
Når offentlige myndigheder eller private firmaer
outsourcer databehandling og -opbevaring, er det
alfa og omega at få klare aftaler, der sikrer, at data
ikke falder i de forkerte hænder. Hos Lett Advokatfirma
oplever partner Anders Wernblad, at mange
virksomheder ikke er helt klar over, hvilke krav de skal
stille til deres leverandører, når det f. eks. gælder
cloud computing.
”Cloud indebærer mange fordele, men rejser også
nogle juridiske problemer. Hvor præcist befinder dine
data sig – er de i Danmark, i et EU-land eller måske
i Indien? Hvordan kontrollerer man, at persondatareglerne
rent faktisk overholdes osv? Derfor er det
vigtigt, at der indgås en skriftlig databehandleraftale
med krav om, at eksempelvis data skal befinde sig på
en bestemt lokation. Det kan vi som advokater pege
på, ligesom vi med vores store erfaring på området
– og fra arbejde med både kunde- og leverandørsiden
– kan stille de rigtige spørgsmål, så kontrakten
sikrer parterne bedst muligt,” understreger Anders
Wernblad som leder afdelingen for IT- og outsourcing
hos LETT.
It-politik og teknik
It-sikkerheden kan være i fare både internt og
eksternt. Derfor bør både offentlige og private virksomheder
dels have en politik omkring it-sikkerhed,
dels sikre sig med tekniske løsninger. Desuden skal
DIGITALISERINGEN AF VORES SAMFUND er en
kilde til optimisme og pessimisme på samme tid. Optimisme,
fordi digitaliseringen sparer penge, redder liv,
giver os fantastiske oplevelser, bygger netværk, effektiviserer
og giver os mere tid til at lave de ting, vi gerne vil.
Pessimisme, da digitaliseringen også har en bagside,
hvis den ikke gennemføres fornuftigt og velovervejet.
Den kan misbruges, især fordi vi har skabt et samfund,
som hærges mere og mere af paranoid overvågning og
kriminelt misbrug.
Samlet set har vi nu en situation, der gør, at vi i
Danmark mere og mere bevæger os væk fra et liberalt
retssamfund og hen imod en kontrolstat. Det er muligt,
at nogen mener, at jeg maler med den sorte pensel,
men det er en gang imellem nødvendigt for at fremme
forståelse. Det er i den forbindelse bemærkelsesværdigt
at se forskellen på debatten i Tyskland og i Danmark.
Læg mærke til illustrationen her på siden, hvor man ser
virksomhederne være specifikke i deres krav til leverandører,
og de skal blandt andet sikre, at eventuelle
kunder og partnere, der har adgang til dele af virksomhedens
systemer, har den korrekte autorisation.
”Også her kan man sikre sig teknisk, men når
det gælder leverandører, kan det være mere uigennemskueligt.
En leverandør benytter måske en underleverandør,
og så mister du let styringen og kontrolmuligheden,
når der er flere led. Her skal man sikre
en kontrakt, der tager højde også for denne situation,”
understreger Anders Wernblad.
Skærpet persondataregulering i vente
Hos Lett har medarbejderne i IT- og outsourcing
speciale i love og regler på it-området og persondatalovgivningen.
Især på persondataområdet forventer
Anders Wernblad store stramninger inden for de
kommende år.
”Der kommer en EU-forordning om et par år, der
på mange områder vil skærpe persondatareglerne,
herunder med krav om dokumentation for datahåndtering
og store bøder ved overtrædelser. Det kan
virksomheder og myndigheder lige så godt forberede
sig på nu, for det vil få store konsekvenser, hvis den
fremtidige lovgivning ikke overholdes. Derfor bør man
allerede nu udforme skriftlige politikker for behandling
af persondata, hvilket ikke er et direkte krav i dag,”
siger Anders Wernblad.
Hele dette tillæg er udgivet af Rådet For Større IT-Sikkerhed
en tysk demonstration under parolen: ”Mine data tilhører
mig”. Jeg har svært ved at forestille mig, at man kunne
mobilisere en sådan demonstration i Danmark mod
eksempelvis logningsbekendtgørelsen.
VI BEFINDER OS I EN SITUATION, hvor den danske
befolkning er ligeglad. I den forbindelse bør vi være
opmærksomme på, at det, at være ligeglad og lade ligegyldigheden
råde, ikke kun er en synd, men også en straf,
som Nobelprismodtageren Elie Wiesel engang har sagt.
Det har man sandet i Tyskland, ikke mindst på grund af
landets historie. Her føres der en ganske anden debat.
Den er inspirerende at følge, og jeg håber også, at den
får afsmittende effekt i Danmark. Men det vil kun ske, hvis
vi får kendskab til den.
Det er lang tid siden, at vi har hørt en dansk politiker
sige, og jeg citerer: ”Der lovgives på en sådan måde, at
man forsøger at bilde os ind, at lovgivningen kan
Persondata kræver præcise aftaler
Outsourcing, cloud computing og følsomme persondata er en farlig blanding,
der kræver præcise, juridiske aftaler.
Anders Wernblad , partner i LETT.
ANNONCE
LETT er en højtspecialiseret full-service-advokatvirksomhed,
der rådgiver erhvervslivet og den
offentlige sektor. Flere af LETTs advokater er
certificerede it-advokater og it/ip-mediatorer
og har kommerciel indsigt og relevant praktisk
erfaring i at identificere og håndtere både risici
og muligheder i it-projekter.
www.lett.dk

Hele dette tillæg er udgivet af Rådet For Større IT-Sikkerhed
SYSTEMER HAR INGEN SAMVITTIGHED
udrydde alle farer. Intet forbud, intet påbud, ingen overvågning
kan udrydde alle livets farer. Men friheden ofres
hver gang. De bilder os ind, at jorden bliver et bedre
sted og mindre farligt sted at være, blot vi indskrænker
friheden?”
Det kunne være mine ord, men er det ikke. Det er Birthe
Rønn Hornbechs ord for år tilbage. Frygten for ”Big
Brother is watching you” er afløst af forventningerne om
at ”Big Mother takes care of you”, kraftigt understøttet af
holdningen ”hvis du ikke har noget at skjule, har du intet
at frygte”.
DETTE SKER SAMTIDIGT MED, at flere og flere data
registreres og behandles centralt, og samtidigt med, at
der mangler bevillinger og muligheder til de myndigheder,
der skal indtræde i ”Big Mother”-rollen og vurdere
rimeligheden og lovligheden af behandlingen af disse
data.
Datatilsynet foretager i gennemsnit 70 inspektioner om
året. I dag er der cirka 4000 dataansvarlige og databehandlere.
Det betyder, at Datatilsynet kan foretage
inspektioner hos disse sådan cirka hver 51. år. Dette
sker samtidig med, at vi har en for så vidt positiv grundlæggende,
men måske naiv tro på, at de mennesker,
der håndterer vore personfølsomme oplysninger, altid er
gode og retsindige mennesker. Det kan vi håbe på, men
det kan så sandelig også være kriminelle, måske endog
embedsmisbrugere.
MAN BØR ALTID TÆNKE PÅ, at selv om der måske
ligger de bedste intentioner bag, for eksempel at modvirke
og forhindre kriminalitet og terror, så kan der være
næsten uimodståelige fristelser for berigelse. Man bør
altid tænke på, at der i krisesituationer kan blive lagt pres
på politi og efterretningstjenesten, der kan resultere i
grove krænkelser af retssikkerheden og privatlivets fred.
It-sikkerhedsfirmaet Secu A/S har mange
års erfaring i infrastrukturelle services, og
hjælper danske virksomheder med rådgivning
og tekniske løsninger, som sikrer
deres data ved outsourcing. I dag er cloud
den store udfordring, som mange virksomheder gerne vil tage op.
”Der er store fordele ved cloud, men mange tøver, fordi de er i tvivl om, hvordan de
kan bevare kontrollen over deres data og bevare den fleksibilitet, der ligger i selv at
have data liggende. Men det kan sagtens lade sig gøre at flytte sin egen it-sikkerhedspolitik
med ud i skyen, vælge hvilke data, der skal med, og hvordan de skal klassificeres.
Vi har masser af erfaring med at sikre data i cloud, og eksempelvis kryptere data og
separere krypteringsnøgler, så det ikke er muligt at bruge de krypterede data for uautoriserede,”
understreger partner og CTO Tommy Abrahamsson fra Secu A/S.
Udnyt fordelene – undgå faldgruber
Hele øvelsen går ud på at udnytte alle fordelene i cloud og undgå faldgruber. Det
gælder i stort set alle brancher, at virksomheder vil have fordele i at lægge data ud i
stedet for selv at have et datalager, der skal passes, sikres og opgraderes. Især virksomheder,
der alligevel står foran en opgradering af datalageret bør tænke i cloud,
mener Tommy Abrahamsson.
”Vi har eksempelvis hjulpet et stort rederi med at bygge deres globale netværk ind
i et cloudmiljø. Man skal huske, at cloud-leverandører som Amazon bruger kolossale
summer på sikkerhed – ofte mere end et stort dansk firmas årsomsætning. Og det
er mere, end den enkelte virksomhed vil bruge på sikkerhed. Så hvis man bruger sin
omtanke og fornuft – og får god rådgivning – så kan man som dansk virksomhed få
mange fordele af cloud,” påpeger Tommy Abrahamsson fra Secu, som også tilbyder
services, der kan overvåge ressourceforbruget
i cloudmiljøet og kryptere data, ligesom
Secu også har en række løsninger inden for
mere traditionel netværkssikkerhed.
”Man bør altid som politiker
tænke på, om man er villig
til at overlade sin egen
lovgivning til ens værste
fjender. Uanset hvor umulig
tanken er, så kan der ske et
politisk systemskift.”
Systemer har ingen samvittighed, det har kun mennesker.
Man bør altid som politiker tænke på, om man er villig
til at overlade sin egen lovgivning til ens værste fjender.
Uanset hvor umulig tanken er, så kan der ske et politisk
systemskift.
Det var ved årtusindeskiftet helt utænkeligt, at PET
nu – i kraft af en af de gennemførte terrorpakker – har
fået bemyndigelse og fri adgang til oplysninger, herunder
personfølsomme oplysninger, som ligger hos de
offentlige forvaltningsmyndigheder. Det vil i princippet
sige, at PET kan gå til sygehusene, socialforvaltninger
og told- og skattemyndighederne og få oplysninger, eller
de kan gå til ethvert bibliotek i dette land og få udleveret
lister over samtlige borgere, der inden for den sidste
måned, har lånt ”Den lille Kemiker”. Bibliotekaren har ikke
mulighed for at kræve en domstolsvurdering af substansen
i begæringen.
Associationen til et ”tankepoliti” er nærliggende, og
her er det værd at bemærke, at tanken er den eneste
absolutte frihed, vi ejer.
DET STOPPER IKKE HER. Justitsministeriet haft en arbejdsgruppe
siddende, der skal se på brugerregistrering
ANNONCE ANNONCE
Kom bare i
gang med cloud
Danske virksomheder vil gerne outsource
deres data til cloud computing,
men mange tøver stadig. Det er der ingen
grund til, mener man hos Secu A/S.
Stay Secure er Nordens største virksomhed
inden for ekstern mailscanning. Virksomheden
scanner mails og webtrafik for spam og virus
for 430.000 brugere i Norden – i alt bliver
det til 750 mio. mails hver måned.
”99 procent af de mange mails er spam
eller mails fra it-kriminelle, der prøver at lokke
oplysninger fra brugerne, og det giver os det
bedste datagrundlag for at finde ud af, hvad
der netop nu florerer af trusler. Vi har mere
end 30 års erfaring med dette arbejde, og i
af internetadgang på bibliotekerne, der ellers indtil dato
har været et fristed, også i forhold til den efterhånden
mere og mere åbenbart meningsløse logningsbestemmelse,
som er helt ude af proportioner i forhold til PETs
og politiets anvendelse af den. Logningsbestemmelser
som i Tyskland er erklæret for forfatningsstridige.
Rapporten om de nye indgreb i forhold til bibliotekerne
skulle være færdiggjort inden udgangen af 2010. Hen
over sommeren 2011 blev initiativet omtalt i de danske
medier, og heldigvis var der forskellige aktører, som
protesterede. Hvis dette tiltag realiseres, er det endnu et
eksempel på den stadigt stigende overvågning af almindelige
borgere, som terrorbekæmpelsen har sat i system.
DER ER FORMENTLIG INGEN TVIVL OM, at en
række af de indgreb, vi har set gennem de seneste år,
er skabt ud af frygt. Frygten for terror, frygten for den
personfarlige kriminalitet. Frygten er en meget smitsom
følelse, der kan invalidere vor livskvalitet og underminere
vor fornuft og dømmekraft. Vi må ikke glemme, at den
som kontrollerer frygten i et samfund, kontrollerer magten
i et samfund. Frygt er et effektivt redskab til at holde
orden i et samfund. Er det sådan et samfund, vi ønsker?
Hans Jørgen Bonnichsen
var operativ chef for Politiets
Efterretningstjeneste frem til 2006,
hvor han gik på pension.
Siden har han blandt andet
skrevet bogen ”Frygt & fornuft
– I terrorens tidsalder”.
Unikt samarbejde mod it-kriminelle
Med et datagrundlag på 750 mio. mails om måneden kan virksomhederne
Sec4IT og Stay Secure i samarbejde hjælpe med at sikre nordiske virksomheder
mod it-kriminelle.
Tommy Abrahamsson. Kaj Møller Holmquist, Sec4IT,
og Esben Arnøy Jørgensen,
Stay Secure.
samarbejde med Sec4IT kan vi advare eksempelvis banker og virksomheder mod
trusler,” siger Esben Arnøy Jørgensen fra Stay Secure.
Sec4IT benytter den store database af mails til at danne et overblik over trusler,
og advare de virksomheder, der abonnerer på Sec4IT’s service. Tilsammen kan
de to virksomheder stoppe spam og it-kriminelle, der forsøger at tilegne sig data
som kontonumre, brugernavne & password, samt identitets tyveri.
”Det er et helt unikt samarbejde, og jeg tror ikke andre har et så stort datamateriale
at arbejde ud fra. Det giver os mulighed for at være med til at blokere
for hjemmesider ved hjælp af Stay Secures WebFilter og lukke for phising sites,
der er konstrueret af it-kriminelle, og betyder at vi hurtigt kan gribe ind, når de
kriminelle finder nye veje. Det er jo et ”våbenkapløb” hvor de kriminelle hele tiden
er lidt foran, men ved at samarbejde kan vi næsten holde trit og forhindre megen
kriminalitet,” siger Kaj Møller Holmquist fra Sec4IT.
I dag forsøger mange it-kriminelle via falske mails at få ofrene til at indbetale
mindre beløb, som en virksomhed måske ikke bemærker, mens andre forsøger via
falske mails og hjemmesider at lokke kreditkortoplysninger og andre personlige
oplysninger fra brugerne. Den slags kriminalitet forsøger Sec4IT og Stay Secure
i fællesskab at bekæmpe.
www.secu.dk www.sec4it.dk www.staysecure.dk
+45 7022 9969 +45 3131 4849

God sikkerhed kræver
ledelsens engagement
Sikkerhedstrusler kan ikke altid løses
med teknik, og derfor er det vigtigt, at
også topledelsen er opmærksom på
problematikken, viser en global undersøgelse.
En af verdens største rådgivere, Ernst & Young,
gennemfører hvert år en global undersøgelse af
tendenserne inden for informationssikkerhed. Og
den viser, at virksomhederne dels er bekymret for
informationssikkerheden, dels ofte bruger ressourcerne
forkert, når de skal dække sig ind.
”Langt den største trussel er internt i virksomheden,
hvor bekymringen går på bla. brugen af nye teknologier
som Ipads og smartphones på virksomhedens netværk.
De bruger mange penge på teknisk sikkerhedsudstyr,
men har ikke altid gjort sig klart, hvad behovet egentligt
er,” siger executive director Martin H. Nielsen fra Ernst
& Young.
Han peger på at virksomhederne skal gøre sig
klart, hvor deres kritiske informationer ligger, og hvilke
aspekter, der skal beskyttes, i stedet for at sætte ind
over en bred kam. Og så skal medarbejderne kunne
se fornuften i at sikre de vigtige informationer – ellers
virker sikkerhedspolitikken ikke.
”Vi så eksempelvis en stor virksomhed som mente
at de havde et godt sikkerhedsniveau, og var ISO
PwC har mange store virksomheder blandt kunderne
og oplever, at risikostyring relateret til informationssikkerhed
bliver en stadig vigtigere forretningsparameter.
I en kompliceret virksomhedsstruktur
kan det være svært for ledelsen at overskue, hvor
truslerne kommer fra, og hvilke dele af virksomheden
der er sårbare.
”Uanset om det er en privat eller offentlig virksomhed,
er det vigtigt at vurdere risikoen. De fleste vil sige,
at økonomisystemet er vigtigt at beskytte, men hvor
længe kan virksomheden klare sig uden it-dækning i eksempelvis
Supply Chain (produktion og logistik) – kan
man servicere borgere eller kunder uden it – og hvor
længe?” spørger partner Jesper Parsberg fra PwC.
Printer var nøgleleddet
Som et eksempel nævner han en virksomhed, hvor
en printer, der udskrev ordresedler, var et vigtigt led
i produktionen. Måske banalt, men ingen tænker
måske over, at her er et nøgleled, der kan standse
27001-certificeret. Problemet er, at en certificering
kun er effektiv, hvis den bliver fulgt op hele tiden, og i
det konkrete tilfælde var certifikatet nok mest en falsk
tryghed. Derfor skal ledelsen gå aktivt ind i processen,”
understreger executive director Thomas Kühn.
Sikkerhed skal forankres i organisationen
It-sikkerhed skal forankres i organisation og direktion,
ellers bliver det let et paradenummer med flotte politikker,
men uden virkning. Da de færreste virksomheder
har erfaring med tilrettelæggelse af informationssikkerhed,
kan det ofte være en god hjælp, at konsulenter
udefra strukturerer processen og analyserer det aktuelle
sikkerhedsniveau, men grundlæggende handler
det om, at virksomheden og ledelsen selv kigger sine
arbejdsgange efter i sømmene.
”Det er uhyggeligt svært at få forankret en sikkerhedskultur
i virksomhederne, viser vores globale undersøgelse.
Selv om det kan koste millioner i mistede data
og tabt produktionstid, gør virksomhederne ofte først
noget effektivt ved problemet, når det er gået galt. De
bruger mange penge på teknik, men det er ikke nok
at give it-afdelingen en pose penge. Man skal se den
forretningsmæssige ide i at sikre sig, og der kan vi som
rådgivere ofte se tingene ovenfra og være et bindeled
mellem forretningsdelen og teknikken. Men det er
virksomheden selv, der skal gøre indsatsen,” påpeger
Martin H. Nielsen fra Ernst & Young.
Sikkerhed styrker
kerneforretningen
Det er vigtigt for kerneforretningen
at afklare alle væsentlige risici i
virksomheden. Det gælder i høj grad
også risici i it-anvendelsen.
produktionen i timer eller dage og koste virksomheden
mange penge.
For mange virksomheder er sikkerheden en teknisk
it-øvelse mere end et ledelsesfokus, og det skaber
problemer.
”Det er selve kerneforretningen, det drejer sig om,
og derfor skal ledelsen have fokus på det. Mange har
ikke en beredskabsplan for, hvad der sker, hvis de
mister adgangen til systemer eller data. Her bør der
være planer både for reetablering af it, for hvordan og
hvor længe forretningen kan drives videre uden it og
for hvordan håndtering af kunder og leverandører kan
fortsætte,” understreger Jesper Parsberg.
Erfaringer fra et globalt marked
PwC har som rådgiver i et globalt marked erfaringer
fra mange forskellige virksomheder i forskellige
brancher. Dermed kan PwC hjælpe kunderne med
at kortlægge det aktuelle risikobillede og de behov
for beredskabsforanstaltninger og kontroller, der
værner mod ubehagelige overraskelser.
”Vi kan hjælpe med at starte processen eller facilitere
et projekt internt hos kunden. It- og informationssikkerhed
er helt sikkert en ledelsesopgave, og vi kan være
med til at støtte op om ledelsens arbejde og hjælpe
dem med en køreplan. Det kræver fortrolighed, tillid og
Thomas Kühn,
executive director.
integritet, men i dag er
mange virksomheder blevet
opmærksomme på
problemstillingerne, og
vil heldigvis gerne gøre
noget ved det,” siger
Jesper Parsberg.
Jesper Parsberg,
partner fra PwC.
www.ey.com
• PwC har 1555 medarbejdere
fordelt på 17 kontorer
over hele landet.
• PwC har 45 medarbejdere,
der arbejder med it- og
informationssikkerhed.
• Få opdateret viden
tilpasset dig – ilmeld dig
nyhedsbrevet Dialog på
www.pwc.dk/tilmeld
www.pwc.dk
Martin H. Nielsen,
executive director.
ANNONCE
ANNONCE

ANNONCE
Lilian Jensen, administrerende direktør, og Ib Christian Henricson, product manager, fra Capevo.
Vi udvikler Danmarks
digitale fremtid
Capevos digitale selvbetjeningsløsninger frigør store
ressourcer og sparer virksomheder og samfundet for
tid og penge.
Når vi som borgere benytter selvbetjening på nettet
– eksempelvis hos kommunen – vil vi bare have at
det virker og er sikkert. Så længe det virker upåklageligt,
interesserer vi os ikke for, hvem der står bag
løsningen. Derfor kender kun de færreste danskere
navnet Capevo.
Men Capevo er i virkeligheden kendt af alle
gennem en årrække. For det er Capevo, der står
bag udviklingen af Xform – en effektiv platform
der eksempelvis sikrede en smidig registrering af
donationer under Danmarksindsamlingen, skabte
en onlineformular til bestilling af BroBizz, og mange
andre velkendte løsninger.
”Vi arbejder med et standardprodukt, som så igen
er ultraspecialiseret og tilpasset den enkelte kundes
behov. Vi har gennem årene udviklet en stor base af
standardintegrationer, som vi konstant vedligeholder
og udbygger. For os er borgernes sikkerhed og
kvaliteten af data afgørende for, at vi kan udvikle en
løsning, der passer til kundens forretning, men det
kræver også, at vi har en udpræget forståelse for
kundens forretningsgange,” forklarer product mana-
Capevo A/S er et dansk softwarehus med ekspertise i at udvikle, implementere og drive
digitale indberetnings- og selvbetjenings-løsninger.
Capevo A/S har siden 2007, leveret en lang række succesfulde selvbetjeningsløsninger
til offentlige myndigheder og private virksomheder.
www.capevo.dk
ger Ib Christian Henricson fra Capevo, som udvikler
selvbetjeningsløsninger til både offentlige og private
virksomheder.
Brug for first movers
I Danmark er det besluttet, at borgerne så vidt muligt
skal betjene sig selv digitalt i de offentlige systemer.
Derfor er det vigtigt, at der er ”first movers”
som Capevo, der siden 2007 har udviklet løsninger,
som sparer milliarder af offentlige kroner.
”Hele øvelsen går jo ud på, at når borgerne kan
betjene sig selv, sparer stat, regioner og kommuner
penge, der kan bruges til service andre steder. Det
kræver selvfølgelig dels, at vi kan sikre at borgernes
personlige oplysninger behandles fortroligt, dels
at det er nemt at bruge. Og vi har for længst skabt
løsninger, som sikrer, at data opbevares forsvarligt,”
understreger administrerende direktør Lilian Jensen.
Capevo satser på cloud computing, og virksomheden
er parat med sikre løsninger allerede i dag, så
Capevo også her er i front, når lovgivningen omkring
cloud computing er klar. Cloud kræver klare aftaler
om, hvor data skal befinde sig – eksempelvis skal
data fra offentlige kunder befinde sig i Danmark.
Decentrale løsninger
”Digitaliseringen indebærer mange fordele. Eksempelvis
er den med til at decentralisere sagsbehandlingen,
fordi man med vores produkter kan lave også helt
små løsninger og kontaktformularer, som den enkelte
sagsbehandler kan bruge, og som så efterhånden kan
stige i kompleksitet. Naturligvis udviklet, så systemerne
kan ”snakke sammen” indbyrdes. Vi har ingen
interesse i at sætte os på kundens løsning – derfor
udvikler vi leverandør-uafhængige løsninger, som ikke
binder kunderne,” siger Ib Christian Henricson.
Han peger også på andre oplagte områder,
hvor digitaliseringen kan benyttes. Smartphones
og tablets er oplagte at benytte i undervisnings-
og sundhedssektoren, og i den private sektor er
pensionsselskaber og telebranchen blandt dem, der
har behov for digitale selvbetjeningsformularer. Alt
sammen områder, hvor Capevo satser stærkt.
”Det vigtige er, at serviceniveauet skal blive bedre,
ikke ringere. Det kan digitaliseringen hjælpe med, og
selv om ikke alle vil kunne bruge løsningerne endnu,
så bliver der frigjort ressourcer netop til at hjælpe
der hvor der er behov. Og der er mange flere områder,
der efterhånden vil kunne digitaliseres til gavn
for samfundet,” påpeger Lilian Jensen fra Capevo.

It-sikkerhed skal tænkes ind allerede fra de første faser af planlægningen og være en bærende faktor i alle led.
SOM EU-BORGER HAR MAN ret til beskyttelse af sine
personlige oplysninger. Det er en del af EU’s charter for
grundlæggende rettigheder og er således på linje med
basale rettigheder som ytrings-og religionsfrihed.
Beskyttelsen af persondata udfordres af en øget
kompleksitet i juraen samt en hastig udbygning af offentlige
og private it-systemer, der behandler følsomme
personoplysninger. Det stiller helt nye krav til den måde
vi håndterer ikke bare data, men også opbygningen af
it-systemer på.
”Omfanget af private og offentlige virksomheders
behandling af personoplysninger udgør en farlig cocktail
og indebærer en lang række risici, som man er nødt
til at håndtere. Det bliver ikke mindre risikofyldt af, at
persondatalovgivningen juridisk set er meget kompleks,”
siger Anders Wernblad, der er certificeret it-advokat og
partner hos advokatfirmaet LETT. Han rådgiver data-
ansvarlige virksomheder om deres ansvar i forbindelse
med blandt andet reglerne i persondatalovgivningen og
sikkerhedsbekendtgørelsen.
NÅR VIRKSOMHEDER OPBYGGER it-systemer,
sker det typisk med et stramt budget og i ramme, hvor
funktionalitet er i højsædet. Risikoen er, at sikkerheden
glemmes eller først tilføjes systemet som lapper efterfølgende.
Det resulterer i software, der konstant skal
sikkerhedsopdateres i takt med at nye trusler opdages,
hvilket er et kendt fænomen.
”Der har været en tendens til at it-sikkerhed er noget
man bygger oven på sin it-løsning. Der er behov for, at
vi ser holistisk på sikkerhed, og indser at it-sikkerhed
er fundamental, når vi bygger systemer,” siger Christian
Wernberg-Tougaard, formand for Rådet For Større IT-Sikkerhed.
Han uddyber: ”Typisk opbygger man it-systemer
til den verden, man kender. Det betyder, at man tager højde
for kendte risici, mens de mere teoretiske risikofaktorer
bliver glemt. Et eksempel på dette er opbygningen af
NemID, hvor de såkaldte man-in-the-middle angreb blot
var en teoretisk mulighed, som DanID afviste nogensinde
ville blive aktuel. Nu få år efter at systemet blev designet,
har denne type angreb rystet NemID,” påpeger han.
EN LØSNING PÅ PROBLEMET hedder Privacy by
Design. Det er et koncept for, hvordan man opbygger
it-systemer, hvor sikkerhed ikke er en tilføjelse men et
grundliggende element.
Anders Wernblad forklarer: ”Både leverandører af
it-systemer og -services samt deres kunder er nødt til at
tænke Privacy by Design ind i it-løsningerne. Det gælder
om at undgå unødig behandling af personoplysninger.
Hele dette tillæg er udgivet af Rådet For Større IT-Sikkerhed
It-sikkerhed skal med i fundamentet
Sikkerhed ved brug af IT er blevet et så
afgørende, at det ikke blot er en ekstra
feature, man lægger ind, når funktionaliteten
på plads. It-sikkerhed skal
tænkes ind allerede fra de første faser
af planlægningen og være en bærende
faktor i alle led. Det er den nye trend
inden for komplekse it-løsninger, og
den bæres frem både af lovgivning og
alt for mange eksempler på sikkerhedsbrud,
der kunne være undgået.
SYV PRINCIPPER FOR PRIVACY BY DESIGN
Privacy by Design er et koncept for opbygning af it-systemer, hvor sikkerheden er
omdrejningspunktet. Konceptet, der er udviklet i Canada, indeholder anvisninger på tre
områder: Softwaredesign, brug af løsningen samt hardware/infrastruktur. Privacy by
Design kan opsummeres i syv principper:
1. Proaktiv ikke reaktiv – Sikkerheden i it-systemer skal etableres som forebyggende –
ikke afhjælpende – foranstaltninger.
2. Beskyttelse af personlige oplysninger som standardindstilling. Brugere skal ikke
justere indstillinger for at sikre deres egne data.
Foto: flickr/Will Scullin CC BY
Når det sker, skal oplysningerne beskyttes teknisk optimalt,
herunder ved brug af kryptering og andre sikkerhedsmæssige
tiltag. Kravene til beskyttelse af personoplysninger
og dokumentation for dette bliver løbende
skærpet, og niveauet af beskyttelse er på vej til at blive en
vigtig konkurrenceparameter, som indgår i evalueringen
af leverandører og tilbud,” siger Anders Wernblad. Han
oplever en klar tendens i retning af, at virksomheder vil
blive nødt til at integrere it-sikkerhed på et dybere niveau i
fremtiden. Blandt andet ses det i Europa-Kommissionens
udkast til persondataforordning, hvor der lagt op til, at der
skal foretages risikovurdering af it-sikkerheden i forbindelse
med en virksomheds behandling af personoplysninger.
Hvis der tale om specifikke risici, vil der være krav om udarbejdelse
af en såkaldt konsekvensanalyse, som blandt
andet skal angive, hvorledes risiciene kan afhjælpes.
Udfordringerne er både tekniske og juridiske, og de
gælder uanset, om man selv behandler personoplysninger
ved brug af it-systemer, der er lokaliseret og driftes af
virksomheden selv, eller om opgaven er blevet outsourcet
til tredjepart.
ANDERS WERNBLAD SIGER: ”Hvis en virksomhed
lægger ansvaret ud til en ekstern leverandør, stiller det
større krav til det aftalemæssige grundlag. Det gælder
især, hvis leverandøren benytter sig af cloud computing,
hvor det i praksis er vanskeligere at få skriftlig dokumentation
for, at leverandøren rent faktisk overholder
de it-sikkerhedsmæssige krav, som virksomheden stiller,
og det kan være svært at kontrollere, om leverandøren
faktisk gør som aftalt. I det omfang, at cloud computing
indebærer overførsel af data til lande uden for EU, stiller
det yderligere krav til aftalegrundlaget.”
3. Sikkerhed er integreret design og arkitektur af it-systemer.
4. Fuld funktionalitet. En tilvalgt lavere sikkerhed skal ikke føre til bedre funktionalitet,
– alt skal fungere med maksimal sikkerhed for brugerdata.
5. End-to-end sikkerhed. Sikkerhed skal være integreret fra starten og ikke træde i kraft
på et bestemt tidspunkt.
6. Synlighed og gennemsigtighed i hvordan sikkerhedsfunktionerne er opbygget.
7. Respekt for privatlivets fred – hold fokus på brugeren.
Rådet For Større IT-Sikkerhed 21

Hele dette tillæg er udgivet af Rådet For Større IT-Sikkerhed
Mere
åbenhed
om offentlige it-løsninger
Når det offentlige skruer op for digitaliseringen,
skal der også skrues op for
gennemsigtigheden. Det vil øge borgernes
tillid det offentliges it-løsninger.
Sådan siger Rådet For Større IT-Sikkerhed.
”DANMARK ER ET AF DE LANDE i verden, hvor
befolkningen har størst tillid til myndighederne. Sådan
skal det gerne blive ved med at være, også når borgere
og myndigheder de kommende år begynder at kommunikere
fuldt digitalt. Derfor skal offentligheden have
større indsigt i, hvordan de offentlige it-løsninger skrues
sammen, og hvor godt de fungerer,”” siger Christian
ANNONCE
Wernberg-Tougaard, der er formand for Rådet For Større
IT-Sikkerhed.
Rådet For Større IT-Sikkerhed mener, at det naturlige
næste skridt er at skabe mere åbenhed og gennemsigtighed
i forhold til de offentlige it-løsningers arkitektur,
og hvilke standarder og kvalitetsprocesser de anvender.
”Større klarhed på disse områder vil være med til at
fastholde og styrke borgernes tillid til det offentliges
digitale systemer,” siger Christian Wernberg-Tougaard.
DEN BEDSTE OG ENKLESTE vej frem vil ifølge Rådet
være, at offentlige it-løsninger efterses af uafhængige
tredjeparter, og at der etableres både ret og pligt til
offentligt at rapportere om kvalitet og sårbarheder på en
forsvarlig, konstruktiv og offentligt tilgængelig måde.
”Gode rapporteringsrutiner vil skabe øget gennemsig-
Etablering af en effektiv
sikkerhedsorganisation
Virksomheder står konstant over for cybertrusler efterhånden, som flere og flere
angribere bruger sofistikerede metoder.
For at modstå disse trusler skal virksomhederne
overveje at flytte sikkerhedsindsatsens fokus fra en
lille gruppe enkeltpersoner med taktiske mål til en
virtuel organisation, som leverer strategisk værdi.
Selvom målene varierer fra den ene virksomhed til
den anden, er disse vigtige elementer de samme:
1. Se mere. Avancerede analyser gør det muligt for
sikkerhedsfolkene at se, hvad der er på vej og optimere
handlingsforløbet, så reaktionen er så effektiv
som muligt. Efterhånden som cyberangreb bliver
mere sofistikerede, øges presset for at opdage og
reagere på angrebene, samme dag de opstår, og
ikke efter at skaden er sket. Analysedrevet sikkerhed
kan hjælpe virksomheder med at tyde mønstre
og adfærd, som kan afskrække angriberne, før de
forårsager ubodelig skade.
2. Gør mere. Et sikkerhedssystem kan reagere
hurtigere ved at integrere procesautomatisering med
arbejdsgange udført af mennesker. Automatisering
kan blive en kritisk faktor til bibeholdelse af operationel
stabilitet, når der opstår nye trusler, som er mere
hyppige og sofistikerede, og i forbindelse med hurtig
teknologisk forandring og ad hoc anmodninger om
ændringer og nye konfigurationer.
3. Øg indsatsen efter behov. Omgående adgang
til virtuelle programmer skaber et sikkerhedssystem
med de it-ressourcer, processer og personale, der
kræves for hurtigt at modstå en overhængende trussel
og muligheden for at vende tilbage til basisniveau,
når krisen er drevet over. Købsinfrastrukturen og
applikationer ’on demand’ tilbyder mange fordele
såsom omkostningsbesparelser og muligheden for
at udnytte specialister mod betaling i den konkrete
situation.
Nu hvor risikoen er større end nogensinde før,
er det tid til at gå i gang med at optimere sikkerheden,
så den er tilpasset de forskellige trusler og muligheder
og fremstår som en effektiv sikkerhedsorganisation.
Offentligheden skal have større indsigt i hvordan de offentlige it-løsninger skrues sammen, siger Christian
Wernberg-Tougaard fra Rådet For Større IT-Sikkerhed
tighed, og et uafhængigt tilsyn er for eksempel et centralt
element af den reform af PET, som i øjeblikket diskuteres,”
uddyber Christian Wernberg-Tougaard.
RÅDET FOR STØRRE IT-SIKKERHED peger på,
at behovet for tillidsskabende politikker aktualiseres
af den efterhånden langvarige offentlige debat blandt
it-eksperter og andre omkring NemID og denne løsnings
sikkerhed. Christian Wernberg-Tougaard siger: ”Langt de
fleste ingeniører i Danmark har tillid til, at det offentlige
får bygget gode og sikre broer. Det skal også gerne være
sådan, at langt de fleste it-eksperter i Danmark har tillid
til at det offentlige får bygget gode og sikre it-systemer.
Når det er tilfældet, spreder tilliden sig som ringe i vandet,
også til de borgere, som ikke selv har ekspertise på
området.”
Af Hans Rotteveel, Security Lead,
Accenture, Danmark

Krisen sætter fokus på sikkerhed
Krisen har fået de danske virksomheder til at sætte fokus på sikkerhed, og det
giver udfordringer for ledelsen mener KPMG.
Finanskrisen har fået mange virksomheder til at
kigge indad. De er blevet bevidste om, at deres
risikostyring ikke rækker, og derfor er der kommet
fokus på risikovurdering og på at tilpasse sikkerhedsniveauet.
”Når det går stærkt, er der måske ikke så meget
fokus på andet end produktionen, men når krisen
kradser og sparekniven svinger gennem luften øges
risikovilligheden, og så står it-sikkerheden også for
skud. Danske virksomheder er typisk opmærksomme
på, at sikkerhedsbrister kan være alvorlige for
forretningen, og de vil selvfølgelig også gerne have
driftsikre systemer uden unødige driftsstop, men
balancen skal være til stede,” siger partner Morten
Klitgaard Friis fra KPMG.
Hvor skal der sættes ind
KPMG rådgiver private og offentlige virksomheder
om blandt andet risikostyring, og udarbejder
risikoanalyser der viser, hvor der bør strammes op,
og hvor der kan slækkes på niveauet. For mange
Virksomheder mangler
reel styr på sikkerheden
ANNONCE
Mange store virksomheder har slet ikke så godt styr
på sikkerheden, som de selv mener, viser analyser fra
SecureDevice.
SecureDevice er et it-sikkerhedsfirma med speciale i analyse og rådgivning
om netværkssikkerhed i primært store virksomheder. Og de dybtgående
analyser afslører, at mange virksomheder tror, deres sikkerhed
er bedre, end den faktisk er.
”Virksomhederne fokuserer meget på, hvad der truer i den nærmeste
fremtid, men har ikke styr på, hvad der sker lige nu. Vores analyser baseret
på Sikkerheds Review foretaget hos 60 større danske virksomheder viser,
at 98 procent af virksomhederne ikke er tilstrækkeligt styr på opdateringen
af 3-parts software, at 74 procent har sårbare websites, der kan angribes,
og at 62 procent har oplevet angreb på grund af medarbejderes brug
af firmaets netværk til Facebook, Peer-to-Peer programmer som Skype,
musik- og filmdownloads osv.,” fortæller Michael Albek fra SecureDevice.
Sikkerheds Review
Et Sikkerheds Review foretages ved at opsamle data i netværkstrafikken
gennem en måned. Herefter udarbejder SecureDevice en rapport,
der viser hvilke brister der er, hvilke angreb der har været, og hvordan
virksomheden kan beskytte sig bedre. Rapporten er delt i en managementdel,
der beskriver de overordnede problemer, og en mere teknisk
gennemgang.
”Vi kan naturligvis også hjælpe med at implementere tekniske
løsninger og sikkerhedspolitikker, men det står kunden frit for at vælge
en anden leverandør. Vores primære opgave er at påvise sikkerhedsbrister,
og de findes i alle brancher og i
virksomheder af alle størrelser,” understreger
Michael Albek.
Foruden analyser og rådgivning
tilbyder SecureDevice en række sikkerhedsløsninger
og er eksempelvis som
det eneste Nordiske firma som er IBM
Security Value Plus Partner. www.securedevice.dk
virksomheder er det vigtigt at vide, på hvilket niveau
de befinder sig i forhold til branchen, og det kan
være svært at se for selv en dygtig ledelse.
”Vi arbejder med hundredvis af virksomheder
i mange brancher, og vi har derfor både et solidt
netværk og et godt billede af, hvordan det generelle
sikkerhedsniveau ser ud. Der er altid risici for en
virksomhed, og det gælder om at finde et sikkerhedsniveau,
der passer til den enkelte virksomhed.
Er niveauet for højt eller skævt, lægger det unødige
bånd på forretningen,” siger Morten Klitgaard Friis.
Hvordan skal der sættes ind
Der er mange grunde til at tilpasse sit sikkerhedsniveau
til et branche- eller markedsniveau. Eksterne
krav i form af lovgivning og indgåede kontrakter
giver naturligvis en begrænsning i manøvremulighederne,
men er niveauet inden for egne rammer ikke
rigtigt, bliver det enten for tungt eller for risikofyldt
for virksomheden. Det samme gælder i øvrigt, uanset
om man er leverandør eller kunde i outsourcing,
Certifikat til sikker
e-handel og kommunikation
Med et certifikat fra Secorio kan virksomhedens
kunder føle sig trygge ved at handle på hjemmesiden.
Vi er stadig usikre, når vi handler på nettet. Selv om
tre millioner danskere i 2011 i alt handlede 76 millioner
gange på nettet, så er der stadig en del, der aflyser købet,
inden de når til betalingen, og omkring 70.000 af os
har været udsat for økonomiske tab i forbindelse med
netkøb – eksempelvis misbrug af kreditkortoplysninger.
Men flere og flere bliver også opmærksomme på, at
den lille hængelås og/eller den grønne adresselinje i
browseren betyder, at her er sikkerheden i orden.
”Faktisk har 26 procent af alle på et tidspunkt af-
ANNONCE
holdt sig fra at købe på grund af bekymringer for sikkerheden. Det behøver man
ikke, hvis man vælger et netsted, der er sikret med et SSL certifikat. Og det er
netop disse certifikater, vi kan udstede,” understreger direktør Flemming Jakobsen
fra Secorio, der er certificeringssted og strategisk partner med Comodo –
en af verdens største certifikatudstedere.
Kryptering sikrer følsomme oplysninger
Ikke kun e-handel, men også udveksling af oplysninger virksomheder og kunder
imellem kan være udsat for sikkerhedsbrist. Både e-mails og andre kommunikationsformer
kan imidlertid sikres med kryptering, så kan de fortrolige oplysninger
udveksles uden at andre kan kigge med. Ud over kryptering er identificering en
væsentlig faktor når man kommunikerer pr. email. Med email certifikater kan man
være sikker på identiteten på den person, man kommunikerer med.
”Vi har produkter, der kan tilpasses den enkelte virksomheds behov – både til den
interne og eksterne kommunikation og til e-handel. Og med et SSL certifikat fra os
kan kunder og partnere være sikre på at sikkerheden er i top – certifikatet er en blåstempling
af, at virksomheden tager sikkerheden alvorligt,” siger Flemming Jakobsen.
Secorio har stor erfaring og viden om internetsikkerhed og kan yde rådgivning
om alle aspekter af identificering og sikker og fortrolig forsendelse af informationer
over internettet.
www.secorio.com
Morten Klitgaard Friis, partner fra KPMG.
ANNONCE
men her er der ofte mulighed for at forhandle sig til
frem til det rette niveau – et redskab som i øvrigt alt
for sjældent benyttes i en kontraktforhandling.
”Vi kan gå ind som ledelsens sparringspartner,
når risikobilledet skal afdækkes, for vi har et solidt
kendskab både til håndtering af eksterne krav, og til
de it-tekniske forhold i eksisterende løsninger. Som
uvildige rådgivere, der ikke er bundet op på leverandøralliancer,
kan vi se tingene lidt fra oven og desuden
rådgive ledelsen om projektstyring og risikostyring
med udgangspunkt i kundens egen forretning,”
understreger Morten Klitgaard Friis fra KPMG.
www.kpmg.dk
Flemming Jakobsen,
direktør, Secorio.

KEY NOTES
Peter Suhr
SR. Managing
Partner in Gartner
Consulting
Security & Risk Management Summit
den 30. oktober 2012
Dubex er Danmarks førende, forretningsorienterede it-sikkerhedsspecialist. Vi leverer og supporterer sikkerhedsløsninger til over 500 lokationer globalt og har siden 1997 hjulpet private og offentlige
virksomheder med at håndtere risici, imødekomme forandringer og understøtte en fleksibel væ kst. Vores dybdegående tekniske ekspertise og brancheerfaring samt en omfattende produktportefølje
og dokumenterede resultater gør Dubex til den ideelle samarbejdspartner for it-afdelinger, der ønsker at bidrage til virksomhedens succes.
MANAGING RISK, ENABLING GROWTH.
Davi Ottenheimer
President of
flyingpenguin and
co-author af
“Securing the
Virtual Environment:
How to Defend the
Enterprise Against
Attack”
KØBENHAVN Gyngemose Parkvej 50, DK-2860 Søborg
AARHUS Åbogade 15, DK-8200 Aarhus N
KONTAKT Tlf. +45 32 83 04 30
Info@dubex.dk, www.dubex.dk
Peter Kruse
Head of CSIS
eCrime Unit and
CTO, CSIS Security
Group
KOM OG HØR OM FORRETNINGS-
UNDERSTØTTENDE IT-SIKKERHED
DEN 30. OKTOBER 2012
Det voksende behov for at tæ nke sikkerhed ind i alle it-relaterede forretningsprocesser,
er en stor udfordring for it-afdelinger. På Security & Risk
Management Summit får du indblik i, hvordan du etablerer et sikkerhedsøkosystem,
der understøtter forretningen og kan håndtere de risici som netop
din virksomhed står over for.
Læ s mere og tilmeld dig på www.dubex.dk/summit2012
TEMAER
· Enterprise Risk Management and Compliance
· Ledelsesorienteret it-sikkerhed
· Identity & Access Management
· Mobile enheder og sikkerhed
· Advanced Persistent Threats (APT)
· Virtualisering & sikkerhed
· It-sikkerhedsarkitektur
· Sikkerhedstrusler og sårbarheder
ISO27001 Certifi ceret
inden for informationssikkerhed
SKI udvalgt leverandør
Adam Lebech
Digitaliseringschef,
Økonomi- og
Indenrigsministeriet
Jørgen Kristensen Rasch
It-chef i Egedal Kommune
og formand for
Foreningen af kommunale
it-chefer (KITA)
FIRE SPOR
· Ledelsesorienteret it-sikkerhed
· Enterprise Risk Management & Compliance
· Teknisk it-sikkerhed
· Public it-sikkerhed & Risk Management