"Digisikker 2012" som PDF - RFSITS

Recommendations

Info

Hele dette tillæg er udgivet af Rådet For Større IT-Sikkerhed SYSTEMER HAR INGEN SAMVITTIGHED udrydde alle farer. Intet forbud, intet påbud, ingen overvågning kan udrydde alle livets farer. Men friheden ofres hver gang. De bilder os ind, at jorden bliver et bedre sted og mindre farligt sted at være, blot vi indskrænker friheden?” Det kunne være mine ord, men er det ikke. Det er Birthe Rønn Hornbechs ord for år tilbage. Frygten for ”Big Brother is watching you” er afløst af forventningerne om at ”Big Mother takes care of you”, kraftigt understøttet af holdningen ”hvis du ikke har noget at skjule, har du intet at frygte”. DETTE SKER SAMTIDIGT MED, at flere og flere data registreres og behandles centralt, og samtidigt med, at der mangler bevillinger og muligheder til de myndigheder, der skal indtræde i ”Big Mother”-rollen og vurdere rimeligheden og lovligheden af behandlingen af disse data. Datatilsynet foretager i gennemsnit 70 inspektioner om året. I dag er der cirka 4000 dataansvarlige og databehandlere. Det betyder, at Datatilsynet kan foretage inspektioner hos disse sådan cirka hver 51. år. Dette sker samtidig med, at vi har en for så vidt positiv grundlæggende, men måske naiv tro på, at de mennesker, der håndterer vore personfølsomme oplysninger, altid er gode og retsindige mennesker. Det kan vi håbe på, men det kan så sandelig også være kriminelle, måske endog embedsmisbrugere. MAN BØR ALTID TÆNKE PÅ, at selv om der måske ligger de bedste intentioner bag, for eksempel at modvirke og forhindre kriminalitet og terror, så kan der være næsten uimodståelige fristelser for berigelse. Man bør altid tænke på, at der i krisesituationer kan blive lagt pres på politi og efterretningstjenesten, der kan resultere i grove krænkelser af retssikkerheden og privatlivets fred. It-sikkerhedsfirmaet Secu A/S har mange års erfaring i infrastrukturelle services, og hjælper danske virksomheder med rådgivning og tekniske løsninger, som sikrer deres data ved outsourcing. I dag er cloud den store udfordring, som mange virksomheder gerne vil tage op. ”Der er store fordele ved cloud, men mange tøver, fordi de er i tvivl om, hvordan de kan bevare kontrollen over deres data og bevare den fleksibilitet, der ligger i selv at have data liggende. Men det kan sagtens lade sig gøre at flytte sin egen it-sikkerhedspolitik med ud i skyen, vælge hvilke data, der skal med, og hvordan de skal klassificeres. Vi har masser af erfaring med at sikre data i cloud, og eksempelvis kryptere data og separere krypteringsnøgler, så det ikke er muligt at bruge de krypterede data for uautoriserede,” understreger partner og CTO Tommy Abrahamsson fra Secu A/S. Udnyt fordelene – undgå faldgruber Hele øvelsen går ud på at udnytte alle fordelene i cloud og undgå faldgruber. Det gælder i stort set alle brancher, at virksomheder vil have fordele i at lægge data ud i stedet for selv at have et datalager, der skal passes, sikres og opgraderes. Især virksomheder, der alligevel står foran en opgradering af datalageret bør tænke i cloud, mener Tommy Abrahamsson. ”Vi har eksempelvis hjulpet et stort rederi med at bygge deres globale netværk ind i et cloudmiljø. Man skal huske, at cloud-leverandører som Amazon bruger kolossale summer på sikkerhed – ofte mere end et stort dansk firmas årsomsætning. Og det er mere, end den enkelte virksomhed vil bruge på sikkerhed. Så hvis man bruger sin omtanke og fornuft – og får god rådgivning – så kan man som dansk virksomhed få mange fordele af cloud,” påpeger Tommy Abrahamsson fra Secu, som også tilbyder services, der kan overvåge ressourceforbruget i cloudmiljøet og kryptere data, ligesom Secu også har en række løsninger inden for mere traditionel netværkssikkerhed. ”Man bør altid som politiker tænke på, om man er villig til at overlade sin egen lovgivning til ens værste fjender. Uanset hvor umulig tanken er, så kan der ske et politisk systemskift.” Systemer har ingen samvittighed, det har kun mennesker. Man bør altid som politiker tænke på, om man er villig til at overlade sin egen lovgivning til ens værste fjender. Uanset hvor umulig tanken er, så kan der ske et politisk systemskift. Det var ved årtusindeskiftet helt utænkeligt, at PET nu – i kraft af en af de gennemførte terrorpakker – har fået bemyndigelse og fri adgang til oplysninger, herunder personfølsomme oplysninger, som ligger hos de offentlige forvaltningsmyndigheder. Det vil i princippet sige, at PET kan gå til sygehusene, socialforvaltninger og told- og skattemyndighederne og få oplysninger, eller de kan gå til ethvert bibliotek i dette land og få udleveret lister over samtlige borgere, der inden for den sidste måned, har lånt ”Den lille Kemiker”. Bibliotekaren har ikke mulighed for at kræve en domstolsvurdering af substansen i begæringen. Associationen til et ”tankepoliti” er nærliggende, og her er det værd at bemærke, at tanken er den eneste absolutte frihed, vi ejer. DET STOPPER IKKE HER. Justitsministeriet haft en arbejdsgruppe siddende, der skal se på brugerregistrering ANNONCE ANNONCE Kom bare i gang med cloud Danske virksomheder vil gerne outsource deres data til cloud computing, men mange tøver stadig. Det er der ingen grund til, mener man hos Secu A/S. Stay Secure er Nordens største virksomhed inden for ekstern mailscanning. Virksomheden scanner mails og webtrafik for spam og virus for 430.000 brugere i Norden – i alt bliver det til 750 mio. mails hver måned. ”99 procent af de mange mails er spam eller mails fra it-kriminelle, der prøver at lokke oplysninger fra brugerne, og det giver os det bedste datagrundlag for at finde ud af, hvad der netop nu florerer af trusler. Vi har mere end 30 års erfaring med dette arbejde, og i af internetadgang på bibliotekerne, der ellers indtil dato har været et fristed, også i forhold til den efterhånden mere og mere åbenbart meningsløse logningsbestemmelse, som er helt ude af proportioner i forhold til PETs og politiets anvendelse af den. Logningsbestemmelser som i Tyskland er erklæret for forfatningsstridige. Rapporten om de nye indgreb i forhold til bibliotekerne skulle være færdiggjort inden udgangen af 2010. Hen over sommeren 2011 blev initiativet omtalt i de danske medier, og heldigvis var der forskellige aktører, som protesterede. Hvis dette tiltag realiseres, er det endnu et eksempel på den stadigt stigende overvågning af almindelige borgere, som terrorbekæmpelsen har sat i system. DER ER FORMENTLIG INGEN TVIVL OM, at en række af de indgreb, vi har set gennem de seneste år, er skabt ud af frygt. Frygten for terror, frygten for den personfarlige kriminalitet. Frygten er en meget smitsom følelse, der kan invalidere vor livskvalitet og underminere vor fornuft og dømmekraft. Vi må ikke glemme, at den som kontrollerer frygten i et samfund, kontrollerer magten i et samfund. Frygt er et effektivt redskab til at holde orden i et samfund. Er det sådan et samfund, vi ønsker? Hans Jørgen Bonnichsen var operativ chef for Politiets Efterretningstjeneste frem til 2006, hvor han gik på pension. Siden har han blandt andet skrevet bogen ”Frygt & fornuft – I terrorens tidsalder”. Unikt samarbejde mod it-kriminelle Med et datagrundlag på 750 mio. mails om måneden kan virksomhederne Sec4IT og Stay Secure i samarbejde hjælpe med at sikre nordiske virksomheder mod it-kriminelle. Tommy Abrahamsson. Kaj Møller Holmquist, Sec4IT, og Esben Arnøy Jørgensen, Stay Secure. samarbejde med Sec4IT kan vi advare eksempelvis banker og virksomheder mod trusler,” siger Esben Arnøy Jørgensen fra Stay Secure. Sec4IT benytter den store database af mails til at danne et overblik over trusler, og advare de virksomheder, der abonnerer på Sec4IT’s service. Tilsammen kan de to virksomheder stoppe spam og it-kriminelle, der forsøger at tilegne sig data som kontonumre, brugernavne & password, samt identitets tyveri. ”Det er et helt unikt samarbejde, og jeg tror ikke andre har et så stort datamateriale at arbejde ud fra. Det giver os mulighed for at være med til at blokere for hjemmesider ved hjælp af Stay Secures WebFilter og lukke for phising sites, der er konstrueret af it-kriminelle, og betyder at vi hurtigt kan gribe ind, når de kriminelle finder nye veje. Det er jo et ”våbenkapløb” hvor de kriminelle hele tiden er lidt foran, men ved at samarbejde kan vi næsten holde trit og forhindre megen kriminalitet,” siger Kaj Møller Holmquist fra Sec4IT. I dag forsøger mange it-kriminelle via falske mails at få ofrene til at indbetale mindre beløb, som en virksomhed måske ikke bemærker, mens andre forsøger via falske mails og hjemmesider at lokke kreditkortoplysninger og andre personlige oplysninger fra brugerne. Den slags kriminalitet forsøger Sec4IT og Stay Secure i fællesskab at bekæmpe. www.secu.dk www.sec4it.dk www.staysecure.dk +45 7022 9969 +45 3131 4849
God sikkerhed kræver ledelsens engagement Sikkerhedstrusler kan ikke altid løses med teknik, og derfor er det vigtigt, at også topledelsen er opmærksom på problematikken, viser en global undersøgelse. En af verdens største rådgivere, Ernst & Young, gennemfører hvert år en global undersøgelse af tendenserne inden for informationssikkerhed. Og den viser, at virksomhederne dels er bekymret for informationssikkerheden, dels ofte bruger ressourcerne forkert, når de skal dække sig ind. ”Langt den største trussel er internt i virksomheden, hvor bekymringen går på bla. brugen af nye teknologier som Ipads og smartphones på virksomhedens netværk. De bruger mange penge på teknisk sikkerhedsudstyr, men har ikke altid gjort sig klart, hvad behovet egentligt er,” siger executive director Martin H. Nielsen fra Ernst & Young. Han peger på at virksomhederne skal gøre sig klart, hvor deres kritiske informationer ligger, og hvilke aspekter, der skal beskyttes, i stedet for at sætte ind over en bred kam. Og så skal medarbejderne kunne se fornuften i at sikre de vigtige informationer – ellers virker sikkerhedspolitikken ikke. ”Vi så eksempelvis en stor virksomhed som mente at de havde et godt sikkerhedsniveau, og var ISO PwC har mange store virksomheder blandt kunderne og oplever, at risikostyring relateret til informationssikkerhed bliver en stadig vigtigere forretningsparameter. I en kompliceret virksomhedsstruktur kan det være svært for ledelsen at overskue, hvor truslerne kommer fra, og hvilke dele af virksomheden der er sårbare. ”Uanset om det er en privat eller offentlig virksomhed, er det vigtigt at vurdere risikoen. De fleste vil sige, at økonomisystemet er vigtigt at beskytte, men hvor længe kan virksomheden klare sig uden it-dækning i eksempelvis Supply Chain (produktion og logistik) – kan man servicere borgere eller kunder uden it – og hvor længe?” spørger partner Jesper Parsberg fra PwC. Printer var nøgleleddet Som et eksempel nævner han en virksomhed, hvor en printer, der udskrev ordresedler, var et vigtigt led i produktionen. Måske banalt, men ingen tænker måske over, at her er et nøgleled, der kan standse 27001-certificeret. Problemet er, at en certificering kun er effektiv, hvis den bliver fulgt op hele tiden, og i det konkrete tilfælde var certifikatet nok mest en falsk tryghed. Derfor skal ledelsen gå aktivt ind i processen,” understreger executive director Thomas Kühn. Sikkerhed skal forankres i organisationen It-sikkerhed skal forankres i organisation og direktion, ellers bliver det let et paradenummer med flotte politikker, men uden virkning. Da de færreste virksomheder har erfaring med tilrettelæggelse af informationssikkerhed, kan det ofte være en god hjælp, at konsulenter udefra strukturerer processen og analyserer det aktuelle sikkerhedsniveau, men grundlæggende handler det om, at virksomheden og ledelsen selv kigger sine arbejdsgange efter i sømmene. ”Det er uhyggeligt svært at få forankret en sikkerhedskultur i virksomhederne, viser vores globale undersøgelse. Selv om det kan koste millioner i mistede data og tabt produktionstid, gør virksomhederne ofte først noget effektivt ved problemet, når det er gået galt. De bruger mange penge på teknik, men det er ikke nok at give it-afdelingen en pose penge. Man skal se den forretningsmæssige ide i at sikre sig, og der kan vi som rådgivere ofte se tingene ovenfra og være et bindeled mellem forretningsdelen og teknikken. Men det er virksomheden selv, der skal gøre indsatsen,” påpeger Martin H. Nielsen fra Ernst & Young. Sikkerhed styrker kerneforretningen Det er vigtigt for kerneforretningen at afklare alle væsentlige risici i virksomheden. Det gælder i høj grad også risici i it-anvendelsen. produktionen i timer eller dage og koste virksomheden mange penge. For mange virksomheder er sikkerheden en teknisk it-øvelse mere end et ledelsesfokus, og det skaber problemer. ”Det er selve kerneforretningen, det drejer sig om, og derfor skal ledelsen have fokus på det. Mange har ikke en beredskabsplan for, hvad der sker, hvis de mister adgangen til systemer eller data. Her bør der være planer både for reetablering af it, for hvordan og hvor længe forretningen kan drives videre uden it og for hvordan håndtering af kunder og leverandører kan fortsætte,” understreger Jesper Parsberg. Erfaringer fra et globalt marked PwC har som rådgiver i et globalt marked erfaringer fra mange forskellige virksomheder i forskellige brancher. Dermed kan PwC hjælpe kunderne med at kortlægge det aktuelle risikobillede og de behov for beredskabsforanstaltninger og kontroller, der værner mod ubehagelige overraskelser. ”Vi kan hjælpe med at starte processen eller facilitere et projekt internt hos kunden. It- og informationssikkerhed er helt sikkert en ledelsesopgave, og vi kan være med til at støtte op om ledelsens arbejde og hjælpe dem med en køreplan. Det kræver fortrolighed, tillid og Thomas Kühn, executive director. integritet, men i dag er mange virksomheder blevet opmærksomme på problemstillingerne, og vil heldigvis gerne gøre noget ved det,” siger Jesper Parsberg. Jesper Parsberg, partner fra PwC. www.ey.com • PwC har 1555 medarbejdere fordelt på 17 kontorer over hele landet. • PwC har 45 medarbejdere, der arbejder med it- og informationssikkerhed. • Få opdateret viden tilpasset dig – ilmeld dig nyhedsbrevet Dialog på www.pwc.dk/tilmeld www.pwc.dk Martin H. Nielsen, executive director. ANNONCE ANNONCE
Page 1 and 2: DigiSikker 2012 EU-STRAMMER GREBET
Page 3 and 4: ANNONCE Peter Madsen, it-manager i
Page 5 and 6: Sikker digital tovejskommunikation
Page 7 and 8: Ingen dato for NemID på mobilen Da
Page 9 and 10: ds.dk/informationssikkerhed Sikkerh
Page 11 and 12: siger Niels Chr. Juul, som dog ikke
Page 13 and 14: FAKTA SÅDAN ANGRIBES INDUSTRI COMP
Page 15 and 16: DET ER IKKE ALT, DER KAN SIKRES BAG
Page 17: Kronik SYSTEMER HAR INGEN SAMVITTIG
Page 21 and 22: It-sikkerhed skal tænkes ind aller
Page 23 and 24: Krisen sætter fokus på sikkerhed

"Digisikker 2012" som PDF - RFSITS

Create successful ePaper yourself

Delete template?

Save as template?