Daily Archives: May 8, 2014

Siden 2012 er tre danskere døde af infektioner med den multiresistente stafylokok-bakterie MRSA CC398 – en bakterie, der er udbredt blandt danske slagtesvin. Det kunne professor og overlæge ved Odense Universitetshospital Hans Jørn Kolmos i går afsløre under en vidneafhøring.

Den information kom som noget af en overraskelse for flere af landets resistenseksperter og ikke mindst for svinebranchen selv, der heller ikke var blevet orienteret om, at den hastigt spredende svine-bakterie havde kostet tre danskere livet.

»Det er en bekymrende nyhed for os. Indtil i går var vi kun bekendt med, at bakterien kunne give blodforgiftninger, men ikke at det også har ført til dødsfald i Danmark,« siger dyrlæge og chef for Veterinær Forskning i Videncenter for Svineproduktion Poul Bækbo.

Heller ikke professor og forskningsleder ved DTU’s afdeling for Epidemiologi og Genomisk Mikrobiologi Frank Aarestrup var bekendt med dødsfaldene. Han er blandt andet med til at rådgive Fødevarestyrelsen i spørgsmål om resistensudvikling og risiko for spredning af sundhedsfarlige bakterier.

»Jeg er rystet over, at myndighederne ikke øjeblikkeligt orienterede om det, allerede ved det første dødsfald. At vi skal finde ud af det på denne måde, må betyde, at det bevidst er blevet holdt skjult,« siger Frank Aarestrup.

Da overlæge Hans Jørn Kolmos rapporterede til Statens Serum Institut om et dødsfald som følge af MRSA CC398 fra sit eget hospital, troede han, at det var det første i Danmark. Men da han spurgte, fik han besked om, at der var registreret to andre tilfælde siden 2012.

Indsatsgrupper mod MRSA-spredning blev ikke orienteret

Selv lederen af MRSA Videncenter på Hvidovre Hospital, professor og overlæge Henrik Westh, måtte høre om dødsfaldene gennem kollegaen fra Odense Universitetshospital, da han heller ikke blev orienteret om det fra myndighederne. Han er bekymret for, at dødsfaldene vidner om, at mange flere kan være smittede, end der klinisk registreres, da der ellers er langt imellem de alvorlige infektioner.

»Når vi ikke hører om det, forhindrer det en oplyst debat. For eksempel har vi hørt fra landbruget i flere år, at MRSA fra svin slet ikke er så farligt,« siger professor Henrik Westh.

Poul Bækbo fra Videncenter for Svineproduktion under Landbrug & Fødevarer oplyser også til Ingeniøren, at dødsfaldene betyder, at de nu vil tage problemet endnu mere alvorligt. Videnscentret samarbejder med regeringens særlige arbejdsgruppe om projekter, der skal føre til bedre rådgivning af landmænd om, hvordan man kan hindre spredningen af MRSA fra svin.

Professor Frank Aarestrup er helt uforstående overfor, at medlemmerne af denne arbejdsgruppe ikke er blevet orienteret om, at infektioner med svine-MRSA har fået fatale konsekvenser. Det fik de først at vide, da Hans Jørn Kolmos informerede dem, og da havde gruppen for længst afleveret deres anbefalinger til handling på området.

Gruppen består af en række eksperter, men har også repræsentanter fra Serum Instituttet og Fødevarestyrelsen og fra Sundhedsstyrelsen, som formodentlig er de eneste, som har kendt til dødsfaldene.

»Hvordan skal de, som laver risikovurderinger for regeringen, kunne rådgive i, hvor farligt og betydningsfuldt denne stigende forekomst og spredning af MRSA CC398 er, når man undlader at fortælle så dybt relevante oplysninger,« spørger professor Frank Aarestrup.

Heller ikke det nationale antibiotikaråd, der blev nedsat for at sikre antibiotikabehandling mod infektioner, og som Frank Aarestrup er medlem af, er blevet orienteret. De tre dødsfald er heller ikke registreret i den årlige Danmap-rapport fra Statens Serum Institut, der overvåger omfanget af antibiotikaresistente bakterier i dyr og mennesker.

Mens smartphones næsten er blevet hvermandseje i den rige del af verdens befolkning, har hardwarekravene til at køre for eksempel Android gjort, at en ægte smartphone har været uden for rækkevidde for den mindre velstillede del af klodens indbyggere.

Men udviklingen går hurtigt, og inden længe vil vi se den første reelle smartphone, som kan produceres for 20 dollars, altså cirka 110 kroner. Sådan lyder vurderingen fra chipfirmaet ARM, ifølge Anandtech.com, der har rapporteret fra ARM’s konference Tech Day.

En så billig smartphone vil kunne produceres med en enkeltkernet Cortex A5 processor på 2,5 gigahertz, der i dag bliver brugt i Firefox’ bud på en smartphone, som allerede i sig selv er uhyre billig, med en pris på ned til 25 dollar.

At køre Android på sådan en processor vil ikke være et fartmonster, men kan lade sig gøre, og fordi telefoner i dag produceres i enorme mængder, vil stordriftsfordelene kunne trække priserne ned på sådan en telefon til 20 dollars i løbet af ’få måneder’, ifølge ARM.

Cortex A5-processoren er stadig hurtigere end den ARM11, som de første iPhones blev solgt med i 2007, pointerer Anandtech.

Et kig på ARM’s forventninger til hele markedet for smartphones viste, at salget af dyre smartphones til over 400 dollars vil være ret konstant de næste fire år. Til gengæld vil salget af telefoner i mellemklassen (150-400 dollars) og billige telefoner (under 150 dollars) vokse kraftigt. I 2018 vil der således blive solgt dobbelt så mange billige smartphones som i dag, altså over en milliard billige telefoner i 2018.

ARM står bag grunddesignet af de processorer, der sidder i stort set alle smartphones, men overlader videre udvikling og produktionen til andre. Den forretningsmodel fremhævede ARM selv som en vigtig del af den hurtige innovation, som har fået prisen på processorer til smartphones til at falde.

66 borgere og organisationer har indsendt kommentarer til Frederikshavn Kommunes VVM-redegørelse i forbindelse med olieselskabet Totals og Nordsøfondens planer om en efterforskningsboring efter skifergas i kommunen. Høringsfristen udløb mandag.

Landinspektør Lene Morthensen fra Frederikshavn Kommune betegner 66 indsigelser som mange – ikke mindst fordi VVM-redegørelsen kun omfatter Totals tilladelse til at bore et fire kilometer dybt hul og udtage en kerneprøve.

Kun hvis boringen viser, at der er de rette skiferlag i dybet, vil Total gå videre med at teste indholdet af gas ved hjælp af hydraulisk frakturering. Men så skal der en ny VVM-rapport og godkendelse til, forklarer hun:

»Vores oplevelse fra borgermøder er, at folk er bekymrede for miljøpåvirkningen fra fraktureringsprocessen. Men det er altså ikke det, der er på tale nu,« siger hun.

Hun tilføjer, at også en del af indsigelserne mod VVM-redegørelsen og lokalplanen ser ud til at omhandle modstand mod hydraulisk frakturering i stedet for konsekvenserne af en efterforskningsboring.

Flere miljøorganisationer, som nu har offentliggjort deres indsigelser, angriber netop kommunen for at se for isoleret på sagen, når VVM’en kun beskæftiger sig med konsekvenserne af en efterforskningsboring.

De opfordrer i stedet kommunen til at lade sagen gå om og inddrage hele indvindingsprocessen, inklusive den omdiskuterede fracking-metode, hvor skiferlagene sprækkes op ved hjælp af vand med forskellige kemikalier i.

Danmarks Naturfredningsforening (DN) kalder for eksempel faseopdelingen for ’kunstig’:

’Det vil ikke give nogen mening at udføre prøveboringen, hvis der ikke kan gives tilladelse til hydraulisk frakturering efterfølgende, og derfor betragter DN kun fase 1 som et ‘halvt projekt’,’ skriver organisationen i sit høringssvar.

DN har netop skrevet et brev (pdf) til Folketingets Miljøudvalg, hvor de opfordrer politikerne til at tage stilling til, hvorvidt skifergas skal være en del af Danmarks energiforsyning, inden man starter en efterforskningsboring i Nordjylland.

VVM-redegørelsen kan læses her (pdf).

Afsløringerne af systematisk overvågning af kendte og kongelige via en medarbejder hos IBM, der havde adgang alle transaktionsdata hos Nets, har fået sat nyt fokus på datasikkerhed.

Sikkerheden og databeskyttelsen af de mange fyldige databaser med oplysninger om Danmarks befolkning har måske ikke været så god, som mange gik og troede – når for eksempel kundeservicemedarbejdere hos Nets kunne slå betalingsdata om alle mulige op, blot ud fra navn. Men er din egen organisation beskyttet godt nok? Version2 har spurgt to eksperter, der til dagligt rådgiver om bedre databeskyttelse.

Første trin er helt klassisk, nemlig at få et overblik over alle data, man gemmer rundt omkring, og dele dem ind efter følsomhed. Dernæst skal man afgøre, hvem der overhovedet må få adgang til følsomme og super-følsomme oplysninger.

»Det gør det muligt at tildele adgangsrettigheder og beføjelser på et tilstrækkeligt sikkerhedsniveau. Men hvis man ikke har stærke procedurer til at vedligeholde de adgangsrettigheder, så er der risiko for, at medarbejdere får adgang, de ikke skulle have, til meget fortrolig information. Det klassiske eksempel er en elev, som bliver sendt på rundtur til mange forskellige afdelinger, og som ikke får slettet sine beføjelser løbende,« siger Jørgen Sørensen, partner og leder af cyber security-afdelingen i Deloitte, til Version2.

Bruger man dette need-to-know-princip, kan man begrænse mest muligt, hvem i firmaet som får adgang til det mest fortrolige. Men er det nødvendigt, at mange får adgang, for eksempel i en kundeservice, kan man også begrænse værdien af de data, der er adgang til.

»I stedet for, at der står fuldt navn og adresse sammen med de personlige oplysninger, kan man udelade noget af det, så der for eksempel kun står kundenummer eller cpr-nummer, men ikke navn. Så kan man ikke umiddelbart identificere en kendt eller andre interessante personer,« siger Brian Christiansen, leder af Risk Assurance-rådgivning hos PwC, til Version2.

Hold de betroede medarbejdere i ørene med log-kontrol

Måske er det nødvendigt at give nogle særligt betroede medarbejdere adgang til hele pakken, og så må man i udgangspunktet stole på deres loyalitet. Men der er også mange muligheder for at holde dem i ørene, så de ikke falder for fristelsen til at lure på og lække de fortrolige data.

»Der er masser af muligheder. Du kan have en 100 procents logning af, hvad folk har været inde at røre ved og se på. Det gør man for eksempel med tradere i banken, som får alle deres telefonsamtaler båndet. Og så kan man holde øje med, om der er noget mistænkeligt,« siger Brian Christiansen.

Man kan for eksempel holde øje med ansatte, der har alt for mange opslag, eller som søger på data, der ligger uden for den normale arbejdsopgave. I en kundeservice kunne det for eksempel ske ved at sammenholde de opkald, der kommer ind, med medarbejdernes opslag i kundedatabaserne.

Har man lavet regler, så for eksempel betalinger på over 10.000 kroner skal godkendes af andre, kan man bruge logning og firmaets bogføring til at holde øje med alle pengetransaktioner, som ligger lige under grænsen, eller hvis det er samme beløb flere gange i træk, der bliver sendt afsted.

»På den måde virker logning præventivt, når man har noget efterfølgende stikprøvekontrol. Og det virker ekstremt godt, hvis det er uforudsigeligt. Så kunne man én måned kigge efter bankkonti, der ikke passer med leverandørkartoteket. Næste måned ser man, hvem der har tanket benzin, men kører i en firmabil på diesel. Og næste måned er det alle leverancer, der ikke er leveret på firmaadressen,« siger Brian Christiansen.

Danmark er bagud i data loss prevention

I forhold til at forhindre følsomme oplysninger i at slippe ud af firmaet, er der også tekniske hjælpemidler, man kan tage i brug. De går under begrebet data loss prevention detection, som ikke er så udbredt i Danmark endnu.

»Skal man være best in class, bliver man nødt til at have skrappere kontrol, som forhindrer at man for eksempel ved en fejl sender fortrolige data ud af huset i en e-mail, eller kan downloade dem på en USB-stik. Der findes i dag løsninger, som søger efter bestemte nøgleord eller CPR-numre. Her er Danmark ikke på niveau med andre lande – mig bekendt er der ikke nogen virksomheder i Danmark, der har etableret et egentligt data loss prevention-system. I England er det almindeligt hos virksomheder med kritiske data,« siger Jørgen Sørensen.

Det store problem med ekstra sikkerhedssystemer og procedurer – for eksempel at der skal to personer til at godkende adgang til særlige følsomme data – er om det påvirker arbejdsgangen og medarbejdernes arbejdsglæde negativt. Disse ulemper skal man veje op mod risikoen for, at der sker alvorlige læk af data.

»Man skal huske, når man taler om øget sikkerhed omkring for eksempel forretningskritiske data, at det normalt har en effekt på eksisterende forretningsgange og brugervenlighed. Og mange har haft svært ved at retfærdiggøre de ekstraomkostninger der er ved øget sikkerhed. Kunsten er at finde den rette balance,« siger Jørgen Sørensen.

For mange regler dræber ansvarsfølelsen

Samme pointe har Brian Christiansen, som peger på, at man nogle steder i udlandet er blevet nødt til at gå den anden vej og fjerne noget kontrol.

»I USA kommer der typisk flere regler og mere kontrol, hver gang noget er gået galt. Men så bliver man aldrig færdig, og så dræber man initiativ og ansvarsfølelse. Mange steder er det blevet for administrativt tungt at gennemføre det daglige arbejde, så man må sige, at det ikke er vejen frem med mere kontrol. Så må man kigge på virksomhedens kultur, så medarbejderne intuitivt gør det rigtige,« siger Brian Christiansen.

Det handler om at få datasikkerhed med i de mål, som medarbejderne evalueres på, og om ikke at sætte for eksempel urealistiske salgsmål.

»Bliver man belønnet godt for et nyt salg, og kulturen er, at man bare vil have det hjem, selvom man så ser igennem fingrene med regler og compliance, så breder den kultur sig. Ingen forretning må være så vigtig, at man går på kompromis med spillereglerne, og den kultur skal man have sikret, især hos medarbejdere, som håndterer store ordrer, der har stor betydning for virksomheden,« siger han.

Det skal også være muligt at gå videre med oplysninger om kolleger eller chefer, der bryder reglerne, for eksempel gennem en whistleblower-ordning. Og allerbedst er det, hvis man har en intern revisionsafdeling, der refererer direkte til bestyrelsen og kan bringe problemer på banen, uden om direktionen, lyder vurderingen.

Generelt har danske virksomheder dog et udmærket sikkerhedsniveau, mener Jørgen Sørensen, men der har i mange år ikke været så stort fokus på eller effekt af misbrug af personfølsomme oplysninger. Det hænger også sammen med, at sanktionerne er begrænsede, med 25.000 kroner i bøde som den mest alvorlige straf.

»Nu kan vi i dag se på diskussionen, at det ikke kun handler om en bøde, men også om mistet tillid og mistede kunder. Så måske er det nemmere nu at komme igennem med de nødvendige sikkerhedstiltag,« siger han.

Det er jo altid rart at kunne pege fingre ad andre, men mon ikke den seneste tids offentlige opmærksomhed omkring de aktuelle alvorlige sikkerhedshændelser i Danmark (CSC, NSA, Nets/IBM, RKI/Experian osv.), bør udmunde i en grundig omgang introspektion rundt omkring i de danske organisationer?

Er du blandt dem, som stille sidder og tænker: »godt det ikke var os, der ufrivilligt fik løftet på dynen«? Du er med garanti ikke alene. Så lad os se, om vi kan vende det hele til noget positivt.

Man har vel lov til at håbe?

Der kunne måske kaldes til en tiltrængt timeout i de danske organisationer, som passende kan anvendes til en indgående analyse af interne politikker, procedurer, risikovurderinger, system- og dataklassificeringer, prioriteringer og kompetencer, samt en vurdering af den reelle effektivitet af de implementerede og planlagte sikkerhedsmekanismer og -systemer?

Betragt det som en anbefaling. Der er en hvis sandsynlighed for, at der er plads til forbedring.

Men kalder den øverste ledelse mon selv til en sådan timeout? Og understøtter de processen omkring et fornyet fokus på IT-sikkerhed i deres organisation? Måske er det allerede på dagsordenen? Det er under alle omstændigheder en absolut nødvendighed – og man har jo lov at håbe, at de nu har lugtet lunten (og set hvor meget det kan koste at blive ramt).

En væsentlig grund til, at Microsofts Trustworthy Computing initiativ var så forholdsvis effektivt, kan tilskrives, at beslutningen og initiativet kom helt fra toppen. Og det var ikke bare varm luft og tomme løfter. Der fulgte penge med – direkte fra Bill Gates kontor. Det var næppe billigt at lægge strategien om og kode centrale komponenter op fra bunden etc., men man må i ny og næ bide i det sure æble og tage konsekvensen af fortidens forsømmelser.

Jeg er overbevist om, at det var en god investering, som for længst har tjent sig hjem.

Kan man bare tørre aben af på IT?

IT-sikkerhed er langt fra blot en opgave for IT-afdelingen. Eftersom kæden ikke er stærkere end det svageste led, så hjælper det heller ikke meget, at en enkelt afdeling kæmper for at implementere et givent sikkerhedsniveau, mens de øvrige afdelinger negligerer og nedprioriterer opgaven. Somme tider ønsker de måske ligefrem at bekæmpe et øget sikkerhedsniveau, idet det kan have betydning for eksempelvis budget og brugervenlighed.

Sikkerhed er et bredt og fælles initiativ – ellers er projektet på forhånd dømt til at fejle bravt. Det er en kultur, der skal opdyrkes og gennemsyre hele organisationen. Sikkerhed skal helst gå hen og blive naturlig praksis; ikke noget man bare forsøger at “hælde på” til sidst.

Man må forvente at de, som i sidste ende sidder med det øverste ansvar, for alvor begynder at tage IT-sikkerhed alvorligt, og give organisationen tid og ressourcer til at se sig selv efter i sømmene – og måske oven i købet få eksterne specialister til at give en uafhængig og objektiv vurdering. Det er, har jeg ladet mig fortælle, ikke altid, at vi er bedst til at se vores egne fejl og mangler.

Sikkerhed kræver i langt de fleste tilfælde ekstra tid og ressourcer samt et højt kompetenceniveau. Prioriteringen af disse elementer er selvsagt en fin balancegang, der også må holdes op imod organisationens øvrige risici og økonomi, men langsomt er IT blevet et uundværligt værktøj i hverdagen og det er som om, at vi undervejs har forsømt at opjustere kravene til sikkerheden i og omkring løsningen – og det tilhørende budget. Desto mere værdi vi hælder ind i et IT-system, desto større krav må vi stille til dets beskyttelse.

Der er løbende stillet nye og uddybende krav til funktionalitet, men sjældent “detaljer” omkring sikkerhed. Jo, »det skal i øvrigt også være sikkert«, indskydes det måske undervejs, men hvad betyder det egentlig for den givne organisation? Det finder man eksempelvis sjældent “detaljer” om i kravspecifikationer og udbud. Og hvordan ser vores outsourcing- og leverandørkontrakter ud i den forbindelse? Og hvad stiller vi af konkrete sikkerhedskrav til diverse hosting- og cloud-tjenester?

Vi er nogen, der ser gevaldigt frem til den dag, hvor det bliver almindelig praksis som minimum at ligestille “funktionalitet” og “sikkerhed”, også helt fra øverste ledelsesniveau.

Det er ledelsens opgave at skabe tid og rum for den nødvendige fordybelse i hverdagen, således at IT-sikkerhed kan få tilstrækkeligt fokus og rodfæste i hele organisationen. Der skal skabes grobund for en sund sikkerhedskultur.

Hvem står for skud?

Mange virksomheder og offentlige institutioner synes fortsat at dyrke en noget uheldig tradition, hvor det er relativt konsekvensfrit for den øverste ledelse, når organisationen ikke har udvist rettidig omhu omkring implementeringen af IT-sikkerhed.

Man har traditionelt prikket en IT-medarbejder, og hvis bølgerne gik højt måske også en IT-chef, på skulderen, når sikkerheden har været kompromitteret, men er det nu også dem, som nødvendigvis bør stå for skud?

I øvrigt sker der oftest kun noget i den dur, hvis en alvorlig sikkerhedsbrist bliver offentligt kendt – og så er en fyring mest af alt et signal udadtil. Jo, vi kan skam være handlekraftige, men følger budgettet så også med til den der tager over og skal sikre en gennemgribende forbedring? Tog man fat om roden eller fjernede man kun et symptom på en mere alvorlig sygdom i organisationen?

En ny tendens er måske ved at se dagens lys. Ser man på udviklingen i Target sagen fra USA, så har også CEO’en nu måttet tage skraldet, efter at CIO’en var røget nogle måneder forinden.

Nu kan vi kun gisne om de faktiske omstændigheder, men spørgsmålet er, om der fra den øverste ledelse har været udvist rettidig omhu omkring fokus på IT-sikkerheden og opfølgning på sikkerhedshændelser. Noget tyder på, at det ikke har været tilfældet. Én ting var den ringe håndtering af sagen i forhold til offentligheden, en anden hvorvidt man har levet op til sit ansvar.

Har man eksempelvis taget det alvorligt, når CIO’en bankede på direktionens dør og bad om penge til et nødvendigt sikkerhedstiltag? Røg whistleblowernes insisterende og pligtopfyldende fløjten bare ind ad det ene øre og ud af det andet? Har man for mange gange afvist forslag til forbedringer af sikkerheden, så medarbejderne var demotiverede og ikke længere gad ulejlige hverken sig selv eller ledelsen med ellers relevante sikkerhedsmæssige problemstillinger? Eller blev der faktisk sat de forventelige tiltag i værk – og i rette tid?

Udvises der rettidig omhu?

Man må nogle gange se tingene udefra og spørge sig selv, om det kan påstås, at virksomhedens generelle praksis vidner om rettidig omhu i forhold til prioriteringen af IT-sikkerhed og udøvelsen af »god IT skik«.

A.P. Møllers berømte motto om »rettidig omhu«, der i sin fulde ordlyd hedder »Intet tab skal os ramme, som ved rettidig omhu kunne afværges«, er særdeles relevant i denne sammenhæng. Indenfor IT-sikkerhed handler det i særdeleshed om at gøre sit ypperste – alt hvad der står i ens magt – for at forebygge tab.

Og hvilke tab er det så, vi kan forvente at blive udsat for, i større eller mindre grad, når det kommer til IT-sikkerhed?

Nedenstående er næppe en komplet liste, men skulle give en idé om, hvad der er på spil.

• Tab af tillid – blandt investorer, kunder, samarbejdspartnere og medarbejdere
• Tab af penge – fald i aktiekurser eller direkte tyveri
• Tab af kritisk viden – kritiske data kan blive kopieret og misbrugt
• Tab af ansigt – dårlig omtale i medier og blandt kunder
• Tab af tilgængelighed – et angreb kan lukke for systemer i lang tid
• Tab af retssager – juridiske konsekvenser i form af sagsanlæg
• Tab af udstyr – udstyr der falder i “fjendens” hænder
• Tab af tid – genetablering af systemer og data
• Tab af medarbejdere – dygtige og pligtopfyldende folk, der ikke bare vil se til

Så hvilke af disse ting kan din organisation tåle at miste – og i hvilken grad?

Tornen i eget øje

Lad os se lidt på os selv. Har vi nu garderet os tilstrækkeligt imod relevante risici, så vi minimerer sandsynligheden for at lide nævnte tab?
Hvordan står det egentlig til i din egen virksomhed eller organisation? Lad os prøve med nogle basale spørgsmål:

• Bliver alle systemer og applikationer opdateret, så snart det er relevant for sikkerheden?
• Har brugerne (herunder dig selv) kun rettigheder til et absolut minimum af systemer og data, herunder personfølsomme oplysninger?
• Logges alle relevante hændelser (herunder administratorernes systemhandlinger) og efterses disse?
• Er der implementeret en stram og velfungerende change management proces?
• Er alle data og systemer korrekt klassificeret og prioriteret?
• Hvordan ser beredskabsplanen ud og har man gennemført øvelser i denne?
• Hvordan er brugernes generelle “awareness-level” i forhold til IT-sikkerhed?
• Er din infrastruktur og dens systemer tilstrækkeligt segmenteret?
• Foretages der jævnlige penetration tests – både eksternt og internt i infrastrukturen?
• Har man implementeret 2-delt administration, når det kommer til essentielle systemer og relaterede administrative opgaver?
• Hvornår sendte man sidst de relevante medarbejdere på et kompetencefremmende kursus eller en konference, der omhandlede IT-sikkerhed?
• Er din virksomheds vigtigste dokumenter og e-mail kommunikation beskyttet af kryptering?

Nu når du ved, at det måske nok halter på visse områder, har du så meddelt det til de rette personer i virksomheden, så de har haft mulighed for at reagere?

Og hvis det nu er dit ansvar, ville du så kunne forsvare dig overfor offentligheden (eller i en eventuel retssag for den sags skyld) og med god samvittighed påstå, at du har udvist rettidig omhu, såfremt det en dag måtte komme for dagens lys, at din organisation har væsentlige huller i sikkerheden?

En afsluttende bemærkning

Nærværende indlæg skal bestemt ikke læses som et forsvar for de firmaer, hvis brister nu er udsat for offentlighedens kritik, eller en underkendelse af det signifikante i disse hændelser, men alene som en opfordring til, at vi alle lærer af det, som andre nu er udsat for og lider under.

Godt det ikke var os!