It-sikkerhed: Fire tendenser for Danmark i 2017
Søren Debois er lektor på IT-Universitetet og både forsker og underviser i it-sikkerhed. Her er hans bud på fire store trends inden for it-sikkerhed, som kommer til at fylde på dagsordenen i 2017.
Søren DeboisInstitut for DatalogiEfteruddannelseit-sikkerhed
Skrevet 4. januar 2017 08:39 af Ninna Gandrup
Dagsordenen for it-sikkerhed i 2017 kommer ifølge lektor på IT-Universitetet, Søren Debois, til at fokusere på fire områder: flere angreb, fortsat mangel på villighed til at investere i it-sikkerhed, nyt regelsæt fra EU for 2018 og statsaktører, som angriber både virksomheder og stater. Nedenfor kan du læse Søren Debois' kommentarer til de fire områder for it-sikkerhed.
1: Flere angreb i et intensivt våbenkapløb
Et område, der vil få mere opmærksomhed i 2017, er usikre systemer med åbenlyse sårbarheder, som er nemme at angribe. En væsentlig årsag til at antallet af angreb stiger, er, at det bliver stadigt nemmere og billigere at udføre automatiske angreb baseret på kendte sikkerhedshuller. Hvis man fx vil kompromittere 10.000 computere, så går man ikke efter 10.000 bestemte computere, men tilfældige 2.000.000 computere og håber at finde 10.000 med svagheder.
Årsagen til, at angrebene bliver flere og flere, skal derfor også findes i, at vi simpelthen er for dårlige til at skrive software og bygge sikre systemer
Søren Debois, lektor på IT-Universitetet
- En af de store udfordringer for it-sikkerhed er det våbenkapløb, som foregår mellem dem, der bygger systemerne og dem, der angriber dem. Lige nu ser det ikke ud til, at der er en vinder, eller at kapløbet kommer til at slutte. Tværtimod stiger antallet af angreb på verdensplan. Vi mangler den landvinding, der kan gøre en ende på kapløbet, fortæller Søren Debois.
En del af årsagen skal ifølge Søren Debois findes i den tilgang, vi har til blandt andet internettet, som blev opfundet i en tid, hvor man antog, at alle på nettet var ens venner. Det betød, at privacy og sikkerhed ikke blev tænkt ind fra starten.
- Den største udfordring for moderne udviklere er måske at finde det mind-set, hvor man tænker som en, der vil bryde ind i systemerne og forstår, hvad information og data fra virksomheden kan bruges til. Årsagen til, at angrebene bliver flere og flere, skal derfor også findes i, at vi simpelthen er for dårlige til at skrive software og bygge sikre systemer, forklarer Søren Debois.
Men man kan ikke ændre den måde, vi bygger systemer på fra den ene dag til den anden. Derfor må virksomhederne også i første omgang beskytte sig på anden vis. Og her er det ifølge Søren Debois gamle travere som sikkerhedskopiering og opdateringer, der kan sikre virksomhederne mod langt de fleste angreb. Særligt sikkerhedskopiering vil gøre virksomheden langt mindre sårbar overfor angreb som ransomware.
- Mange virksomheder formår ikke at opdatere og sikkerhedskopiere tilstrækkeligt, selvom det er de to initiativer, der nemt og billigt lukker størstedelen af hullerne. Med den udvikling i angrebsrater vi ser, kunne man frygte, at det ikke et spørgsmål om din maskine bliver angrebet, men hvornår din maskine bliver angrebet, forklarer Søren Debois.
2: Villighed i den enkelte organisation
En anden udfordring i 2017 bliver organisationens villighed til at bruge tid og ressourcer på it-sikkerhed. Dette er ikke nogen ny udfordring, men set i lyset af det stigende antal angreb, burde investeringerne i it-sikkerhed også stige tilsvarende.
Organisationen skal være indstillet på at bruge tid og ressourcer på det, også selvom det mange steder bliver betragtet som en forsikring mere end en investering.
Søren Debois, lektor på IT-Universitetet
- Over en bred kam skal it-sikkerhed i højere grad sofistikeres. Dem, der arbejder med det, ved ikke altid nok om det. Men alene det at følge med og holde sig selv opdateret er en stor opgave, fortæller Søren Debois og fortsætter:
- Organisationen skal være indstillet på at bruge tid og ressourcer på det, også selvom det mange steder bliver betragtet som en forsikring mere end en investering. Og det er svært at allokere ressourcer til en forsikring, som man ikke ved, om man får brug for. Jeg vil nu stadig tro, at mange kan vinde meget ved blot at bruge en lille smule mere energi og tid på it-sikkerhed.
Det nye EU-regelsæt, som træder i kraft i 2018, kan måske give særligt virksomhederne et stærkt incitament til at investere i it-sikkerheden.
3: EU’s persondataforordning
- Et tredje område, der kommer til at fylde meget i 2017, er EU’s nye regelsæt, der skal øge privatpersoners kontrol over egne data. Der er store konsekvenser for ikke at overholde regelsættet, som stiller meget præcise og omfattende krav til, hvad man må og ikke må med brugernes data. Man kan håbe, at regelsættet kan sætte skub i nogle af de initiativer, der forbedrer it-sikkerheden, fordi virksomhederne bliver tvunget til at gøre en indsats, siger Søren Debois.
I gamle dage gjorde det ondt, når man mistede data, men med persondataforordningen skal man også betale klækkelige bøder.
Der er store konsekvenser for ikke at overholde regelsættet, som stiller meget præcise og omfattende krav til, hvad man må og ikke må med brugernes data.
Søren Debois, lektor på IT-Universitetet
- Man må næsten ingenting, hvis ikke man har fået lov. Derfor vil det helt sikkert give nogle organisatoriske udfordringer at forberede sig på regelsættet og finde ud af, hvordan man skal forholde sig til det. Men alle skal forholde sig til det, for der er en hammer, og bøderne er på op til 4 procent af en virksomheds globale omsætning, hvis man overtræder reglerne, fortæller Søren Debois.
Som en del af persondataforordningen skal datatab også anmeldes til en myndighed, så det kan registreres.
4: Angreb fra og på stater
Endelig sker der stadig flere angreb, som synes at være forårsaget af stater. Fx går der spekulationer om hvorvidt Rusland har blandet sig i det amerikanske valg. I 2014 blev Novo Nordisk angrebet og samme år trak angrebet på Sony tråde til Nordkorea.
For det første fordi statsaktører må formodes at have langt flere ressourcer til rådighed, for det andet fordi statsaktører ikke nødvendigvis er motiveret af økonomisk gevinst
Søren Debois, lektor på IT-Universitetet
- Det er noget voldsommere, når det er lande, der på den måde bekriger hinanden eller store virksomheder. For det første fordi statsaktører må formodes at have langt flere ressourcer til rådighed, for det andet fordi statsaktører ikke nødvendigvis er motiveret af økonomisk gevinst, men måske gerne vil noget andet, fortæller Søren Debois.
Særligt vores stigende brug af computere gør os udsatte og her er det ikke nok at lukke forbindelsen til internettet længere.
- For 40 år siden skulle man måske fysisk bryde ind i statsministeriet for at stjæle eller ødelægge data. Den sikkerhed er der ikke længere: en statsaktør kan rette angreb mod os fra den anden side af verden. Det er i øvrigt ikke nødvendigvis nok at slukke for internetforbindelsen, der findes også eksempler på, at data er blevet afluret gennem computere, der har fået udskiftet chips og komponenter, siger Søren Debois.
At sikre sig mod denne slags angreb handler derfor også om, hvordan vi bygger sikre systemer og delkomponenter, men den del af it-sikkerhed er ressourcetungt, og det er svært at bygge computere fra bunden. I sidste ende er sikkerhed på det område derfor også et spørgsmål om ressourcer.