Daily Archives: August 25, 2014

Find den bedste e-bogslæser – til toget, ferien, tablet’en og den bærbare

Posted in computer.

‘Windows 9 Beta’ kommer med ét-kliks opdatering

I næste måned kommer den første reelle smagsprøve på den næste version af Windows, der har fået arbejdstitlen Threshold, men forventes at komme på markedet som Windows 9. I slutningen af september eller måske først starten af oktober frigiver Microsoft det såkaldte technical preview, som efter alt at dømme kommer med et nyt og forbedret opdateringssystem. Det skriver Neowin.

I fremtiden skal ét klik være nok til at opdatere til den seneste udgave – eller build – af styresystemet. Funktionen er fuldt implementeret i betaversionen, som det ser ud nu, men Neowin understeger dog, at det ikke er umuligt, at funktionen bliver fjernet inden frigivelsen i slutningen af september.

Ifølge mediet vil den nye opdateringsfunktion betyde, at man kan skifte til en nyere version af Windows uden at skulle igennem en traditionel, fuld installation. Funktonen skal gøre opdateringen mere problemfri og gøre det lettere at implementere hurtige ændringer uden at forstyrre brugerne.

Posted in computer.

Kommune efter målinger: Teleselskabers dækningstal holder ikke i virkeligheden

Med tre telefoner og to måneders kørsel har Ringkøbing-Skjern Kommune målt den udendørs mobildækning i alle afkroge af kommunen. Og den er væsentligt ringere, end hvad teleselskaberne bryster sig af, når de oplyser deres dækningsgrad. Det skriver Kit-Magasinet, som bliver udgivet af foreningen for kommunale it-chefer, Kita.

De indsamlede målinger af dækningen vil kommunen bruge som ammunition, når der skal diskuteres dækning med teleselskaberne.

»Teleselskaberne har kun teoretiske beregninger af mobildækningen. Vi vil gerne have en mere virkelighedsnær måling af den udendørs dækning, hvor der også tages hensyn til, hvad der er af træer og bygninger ved vejene,« forklarer Niels Sønderskov, der er teamleder for Koncern-IT i Ringkøbing-Skjern Kommune, til Kit-Magasinet.

Læs også: Nyt mobildækningskort møder kritik: Hvorfor kun udendørs?

Kommunen har målt mobildækning fra de tre mobilselskaber Telenor, TDC og 3 med app’en RF Signal Tracker, der måler signalet hvert andet sekund. Sammen med telefonens GPS-data har kommunen kunnet lave sit eget dækningskort.

Statens ansvar at lukke huller

Niels Sønderskov vil ikke diskutere, om kommunens dækningskort, der er målt med tre HTC One mini-telefoner med eksterne antenner, er bedre end teleselskabernes. Hovedsagen er at de tre selskabers dækning kan sammenlignes. Samtidig har kommunen nu slået fast, at borgerne har ret, når de klager over dårlig dækning.

»Der er mange steder i kommunen, hvor dækningen ligger omkring 100 dB. Det er ikke godt nok,« siger Niels Sønderskov.

Det er statens ansvar at sørge for, at dækningshullerne bliver lukket. Det siger KL’s formand, Martin Damm.

»Staten har tjent mange penge på at udbyde de licenser uden at kræve ordentlig dækning. Det har til gengæld givet staten indtægter til at lukke huller med. Hvis staten havde stillet store krav til dækningen, så ville man ikke have fået så mange penge ind for licensen. Til gengæld var infrastrukturen bredt ud,« siger Martin Damm til Kit-Magasinet.

Posted in computer.

DDoS-angreb og bombetrussel mod Sony: Playstation Network lagt ned

En gruppe, der kalder sig Lizard Squad, har taget æren for flere DDoS-angreb, der har været rettet mod blandt andet Sonys online-tjeneste til Playstation Network. Det skriver flere medier.

Også flere andre web-rettede tjenester, herunder Riot Games’ onlinespil Legague of Legends og Blizzards Battlenet, samt flere andre tjenester har ifølge det amerikanske finansmedie Forbes været udsat for DDoS-angreb, som Lizard Squad skulle stå bag.

Lizard Squads skrev på Twitter cirka klokken 17 i går eftermiddags, søndag, dansk tid:

Forbes skriver, at det er en henvisning til terrorgruppen Islamisk Stat, der opererer i blandt andet Irak og står bag mord på hundredvis af civile.

Udover DDoS-angrebet, så har Lizard Squad, ligeledes via Twitter, omkring klokken 19 i går aftens posted en bombetrussel mod chefen for Sony Online Entertainment John Smedley, der var på et fly fra Dallas til Sandiego.

Efter truslen valgte flyselskabet American Airlines få flyet til at sikkerhedslande i Phoenix. FBI er nu også involveret i sagen.

For en times tid siden fremgik det af Twitter-profilen for Playstation, at både PSN og Sony Entertainment Network skulle fungere igen.

Lizard Squad fortsætter dog med DDoS-angreb, ser det ud til. 06:43 i morges har gruppen skrevet på Twitter, at Vatikanstatens hjemmeside skulle være nedlagt. Version2 kunne tidligere ikke komme ind på siden, men den lader nu til at være tilgængelig igen.

Posted in computer.

Blog: Hvordan implementeres autentificering korrekt?

Gennem tiden har jeg flere gange implementeret forskellige former for
autentificering. Nogle gange har jeg været bundet af forskellige
protokol-beslutninger og andre gange har jeg været mere frit stillet.

Derfor har jeg også haft mulighed for at samle mig en række ideer om hvordan
autentificering bør gøres rigtigt. De falder i 3 dele: 1) Forarbejdet på
klienten, 2) selve autentificerings-protokollen og 3) implementationen på
serveren.

Forarbejdet på klienten

Forarbejdet på klienten består i at tage brugerens input og omforme det til en
sekvens af bytes der kan bruges som det egentlige kodeord.

Tidligere viste man bare brugeren et password-felt og brugte hvadend brugeren
nu tastede. Hvis man i dag vil bruge kodeord skal man blandt andet forholde
sig til at i Unicode er et ‘Å’ ikke bare byte-sekvensen 0xC5, men kan skrives
på (mindst) to forskellige måder i Unicode og dernæst kan kodes i både UTF-8, UCS-2
og et par flere måder. Et godt udgangspunkt er
RFC 4013 (SASLprep).

Hvis man er mere eventyrlig kan man erstatte password-feltet med noget mere
visuelt. Eksempelvis man man lade brugeren tegne streger på et 16×16 grid af
ikoner og så omforme dette til en byte-sekvens. Jeg har set en del forslag til
hvodan dette skulle se ud, men ingen der rigtig har overbevist mig. Nogen der
har et rigtig godt eksempel på mere visuelle kodeord brugt i praksis?

Som det sidste skridt bør man vælge at obfuskere brugerens kodeord. Formålet
er første og frememst at beskytte brugere der vælger samme kodeord til
forskellige systemer; men det yder også en vis beskyttelse mod kodeord der kan
gættes via en ordbog. Forskellige muligheder er
PBKDFv2 eller
scrypt. I begge
tilfælde skal man vælge et salt som er specifikt for ens system.

Det er resultatet af det sidste skridt serveren skal kunne sikre sig at
brugeren kender (herefter kaldt kodeordet). Det vil sige at hvis man kender dette resultat, så kan man udgive sig for at være brugeren.

Selve autentificerings-protokollen

Den helt simple protokol er bare at sende hele kodordet til serveren, der så
kan slå op i brugerdatabasen for at tjekke om kodeordet er korrekt. Det
betyder at en angriber der kan lytte med kan opsnappe kodeordet og bruge det
senere. Det kan enten ske fordi man har glemt at bruge SSL, fordi SSL er noget
juks eller fordi brugeren forbinder sig til et forkert eller kompromiteret
server.

Det vi gerne vil opnå er at selvom det skulle lykkes en angriber at lytte med
på selve autentificeringen, så skal angriberen ikke senere kunne udgive sig
for brugeren. Det vil sige at man ikke må kunne gætte selve kodeordet ud fra
kommunikationen mellem klienten og serveren.

For at opnå dette kan man hashe kodeordet sammen med en vilkårlig streng som
serveren vælger og en streng som klienten vælger. Et godt udgangspunkt er at
se på RFC 5802 (SCRAM), men ideen er den
samme som HTTP Digest mode hvis man
anvender MD5-session metoden.

Denne slags challenge/response protokoller kræver dog at serveren har adgang
til brugerens kodeord og ikke bare en hash af kodeordet. Det stiller nogle
højere krav til opbevaringen af kodeord på serveren.

Implementationen på serveren

Oftest vil angreb være rettet mod at kompromitere selve serveren. Det mest
indlysende er at angriberen simpelthen kanhente en liste af brugernavne med
tilhørende kodeord i en eller anden form. Selv hvis kodeordene er salted og
hashet efter bedste evne giver det angriberen mulighed for kunne gætte kodeord
i ro og mag.

Et godt design vil derfor minimere mængden af kode der har adgang til hele
listen af kodeord. Derfor mener jeg man bør implementere autentificering som
en selvstændig service, der kan beskyttes uafhængigt af resten af
applikationen. Helt enkelt kan det gøres med en database hvor applikationen
ikke kan lave en ‘SELECT * FROM passwords’ men kun kan validere enkelte
passwords med en stored procedure ‘SELECT authentificate(username,salt,hash)’.

På denne måde vil et sikkerhedshul i et tilfældigt plugin til ens CMS ikke
længere kunne kompromitere hele listen af kodeord. Forsøg på at gætte kodeord
vil i hvert enkelt tilfælde kunne ses på autentificerings-servicen.

Med ovenstående seperation mellem adgang til kodord og resten af systemet
mener jeg at man får et mere sikkert system ved at have adgang til kodeord i
klartekst og bruge en challenge/response protokol end med et system hvor man
gemmer brugernes kodord i hashet form, men sender denne form over netværket.

Posted in computer.

Bonnerup: Konsulenter burde have sagt fra i Proask-sagen

Arbejdsskadestyrelsen gjorde flittigt brug af konsulenter gennem hele projektet med at indkøbe og udvikle det nu skrottede sagsbehandlingssystem Proask. Og de konsulenter bærer et medansvar for, at projektet fik lov til at fortsætte så længe i stedet for at blive stoppet i tide, mener Erik Bonnerup, som stod i spidsen for det udvalg, der i 2001 skrev en rapport om problemerne i de store offentlige it-projekter.

»Konsulenterne, der åbenbart har været med i hele forløbet, har også et stort ansvar for, at det er gået så galt,« siger Erik Bonnerup til Version2.

Konsulentfirmaet PA Consulting blev i 2007 hyret til at lave forundersøgelse og efterfølgende skrive kravspecifikationen. Firmaet stod også for at vælge leverandøren og den efterfølgende systemafklaring og for at kontrollere kvaliteten af leverandørens delleverancer.

Læs også: Konsulentfirma tjente 35,4 millioner på fejlslagent it-system

Sammenlagt udskrev PA Consulting fakturaer for 35,4 millioner kroner inklusive moms til Arbejdsskadestyrelsen for arbejdet med Proask. Men så langt burde man altså ikke været kommet ifølge Erik Bonnerup.

»De største fejl er efter min opfattelse sket, inden man overhovedet kom i gang med udviklingen af projektet. Eksempelvis i form af et meget ambitiøst projekt med en altomfattende kravspecifikation uden at tænke på, at så stort et projekt er et udviklingsprojekt, hvor man bliver klogere under arbejdet. Både de konsulenter, der har deltaget i det meste af forløbet, og de senere konsulentfirmaer burde have sagt fra på et langt tidligere tidspunkt,« siger Erik Bonnerup.

Læs også: Overblik: Skandaleramt it-system til en kvart milliard kan blive 100 millioner dyrere

Arbejdsskadestyrelsen har ellers taget visse af rådene fra rapporten fra 2001 til sig. PA Consulting brugte således de samme konsulenter gennem det meste af forløbet, og ifølge kontrakterne var det også Arbejdsskadestyrelsen, der havde det overordnede ansvar for kvalificeret styring af projektet. Begge dele er blandt rådene i rapporten.

Proask mislykkedes imidlertid, og det tyder på, at Arbejdsskadestyrelsen alligevel ikke har haft tilstrækkeligt indblik i projektet til at se faresignalerne. Styrelsen pressede således på for at få forhøjet budgettet, efter at projektet var blevet forsinket og stod til at blive 28 millioner kroner dyrere.

Læs også: Skrottet it-system til 283 mio. duede slet ikke til formålet

På daværende tidspunkt havde styrelsen mulighed for at trække sig ud af projektet, hvilket ville have medført et samlet tab på mellem 25 og 30 millioner kroner.

»Det er naturligvis i sidste ende ledelsen af Arbejdsskadestyrelsen, der har ansvaret for fadæsen, men da man flere gange har søgt ekstrabevillinger og fået dem, mener jeg også, at departementet eller ministeriet har betydeligt ansvar for, at man fortsat er med til at ‘smide gode penge efter dårlige’,« siger Erik Bonnerup.

I rapporten fra 2001 påpeges det blandt andet, at køberen i de undersøgte projekter ofte skød eksterne konsulenter ind mellem sig selv og leverandøren. Det betød, at den ansvarlige ledelse reelt afholdt sig fra selv at følge og vurdere projektets udvikling.

LÆS OGSÅ: Derfor bliver dårlige it-projekter ikke stoppet i tide

LÆS OGSÅ: For få it-projekter i staten

Posted in computer.

Kina lancerer selvudviklet styresystem i oktober

Kina forventer at kunne lancere et hjemmelavet operativsystem i oktober. Kinesiske regeringsorganer skal nemlig finde en erstatning til Windows XP, og Windows 8 er forbudt, skriver Computerworld.com.

Der findes ikke mange detaljer om det nye operativsystem. Kun en foreløbig tidsplan.

Det kinesiske operativsystem vil i første omgang blive lanceret til desktop-pc’er, hvor man forventer, at operativsystemet er i stand til at erstatte amerikanske styresystemer inden for et til to år. Efter tre til fem år skal det nye operativsystem være udrullet til mobile platforme.

Når Kina er så opsat på at udvikle sit eget operativsystem skyldes det i høj grad en stigende mistillid til amerikanske teknologivirksomheder. I kølvandet på Edward Snowdens afsløringer om NSA’s overvågning i hele verden er den kinesiske regering nemlig blevet temmelig utilfreds med især Google, Micrsoft og Apples indflydelse i landet.

Posted in computer.

Snævert teknisk fokus på it-uddannelser holder kvinder væk

Kvinder udgør kun 18 procent af datalogistuderende i USA. Meget tyder på, at det skyldes, at mænd og kvinder ser forskelligt på formålet med computeregenskaber, skriver it-mediet Communications of the ACM.

Drenge bliver nemlig forelsket i computere som maskiner, mens piger i højere grad ser computere som et redskab til at opnå noget andet. Sådan lyder vurderingen fra Barbara Ericson. Hun er seniorforsker ved Georgia Institute of Technology, og hun analyserer eksamensresultater fra universitetet.

Den teori kan seniorforsker Christianne Corbett fra American Association of University Women godt tilslutte sig.

»Piger, der er gode til matematik, har ofte også bedre sproglige egenskaber sammenlignet med drenge, der er gode til matematik. Det giver bedre muligheder i samfundsvidenskab,« siger Christianne Corbett og fortsætter:

»På rene it-uddannelser er det sociale element ikke altid åbenlys. Pigerne spørger sig selv, ‘hvordan de kan gøre en forskel i verden med datalogi?’«

American Association of University Women forsøger at gøre rene teknologiuddannelser attraktive blandt kvinder ved at oplyse piger allerede i folkeskolen om karrieremulighederne i teknologibranchen.

Valerie Bar, der sidder i rådet for ACM’s Council on Women in Computing og er professor i datalogi på Union College, mener det handler om at sætte datalogi i en kontekst.

På Union College har universitet nemlig haft stor succes med introduktionskurser i datalogi, hvor faget bliver sat i en større kontekst. På den måde kan de studerende bedre se, hvordan faget er samfundsrelevant. Det betyder at kvinder nu udgør 39 procent af de studerende på introduktionskurset mod 14 procent for bare ti år siden.

I Danmark var der i år 27 procent kvinder blandt de nye studerende på alle uddannelser med it-indhold, herunder for eksempel Medialogy og Digital Design, viser årets statistik. Ser man isoleret på de mest tekniske it-uddannelser, som for eksempel datalogi, er tallet dog meget lavere, men bliver ikke opgjort fra centralt hold.

Posted in computer.

Samsung og LG er sløvest med Android-opdateringer til din telefon

De to sydkoreanske mobilgiganter Samsung og LG er blandt de sløveste fabrikanter til at opdatere deres Android-telefoner.

Det viser en oversigt, som it-mediet Ars Technica har udarbejdet for udbredelsen af Googles Android 4.4 Kitkat-styresystem, der blev lanceret den 31. oktober i 2013 sammen med Googles egen Nexus 5-telefon.

Ars Technica har undersøgt, hvor lang tid det tog for forskellige Android-producenter at opgradere deres amerikanske kunders ulåste smartphones for at rense tallene for eventuelle fejlkilder hos de individuelle teleoperatører.

Googles egen flagskibtelefon, Nexus 5, blev født med Android 4.4 KitKat, mens det tog en halv måned for forgængeren Nexus 4 at blive opgraderet.

Helt i bund i oversigten ligger Samsung S4 og LG G2, hvor det tog henholdsvis 3,7 måneder og 4,6 måneder at få sendt Kitkat-lækkerierne ud til kunderne.

Samsung er ellers klart den største Android-producent med 41 Android-telefoner på markedet i 2013.

Det angives, at årsagen til Samsungs sløve opdateringshastighed dels ligger i selskabets skins til opdateringerne, dels den store mængde telefoner, der skal opdateres.

Måtte vente til 2014
Opdateringer til en smartphone har grundlæggende to formål: At gøre telefonen mere sikker og tilbyde brugerne flere funktioner.

Når et helt styresystem bliver opgraderet, er der altså stor forskel for brugere af forskellige smartphones på, hvor længe de skal vente.

Mens Nexus 5-brugerne kunne installere opdateringen midt i efteråret, måtte LG-kunderne altså vente til et par måneder ind i 2014, indtil de kunne få øget sikkerhed og flere funktioner på deres smartphones.

I midten af de testede modeller finder vi det Google-ejede Moto X, HTC One M7 og Samsung Note 3, hvor brugerne måtte vente henholdsvis 0,6, 1,0 og 2,4 måneder på opdateringen til KitKat.

Få overblikket her
Du kan her se Ars Technicas oversigt over ventetiden på opdatering til Android 4.4 kitKat hos topproducenternes Android-flagskibsmodeller:

Nexus 5 – udkom med Android 4.4 den 31. oktober 2013

Nexus 4 – 0,5 måneders ventetid

Moto X – 0,6 måneders ventetid

HTC One M7 – 1,0 måneders ventetid

Samsung Note 3 – 2,4 måneders ventetid

Samsung S4 – 3,7 måneders ventetid

LG G2 – 4,6 måneders ventetid

Kilde: Ars Technica
.

Læs også:
Historien om Windows Phone og den barske kamp mod Android og iOS

Microsoft får tørre tæsk på smartphone-markedet mens rivalerne vokser

Posted in computer.

Chat-apps buldrer frem – derfor kan du ikke forhindre det


Tilgiv mig it-chef, for jeg har syndet.

Jeg anvender slet ikke den chat-applikation, du har stillet til rådighed til kommunikation med kollegerne. Den er lidt for tung, lidt for bøvlet, lidt for gammeldags.

I stedet står den på Skype, og det sker fra samme private konto, som jeg også bruger, når jeg skal i kontakt med venner og familie.

Og nå ja, så skriver jeg også lidt via Facebook Messenger, LinkedIn og Twitter, når jeg skal i kontakt med folk uden for huset.

Og så er der selvfølgelig iMessage på iPhonen. Det er også helt vildt smart, fordi kommunikationen synkroniseres via Apples iCloud.

WhatsApp kan jeg også godt lide at bruge, når jeg er i udlandet, og det der Snapchat og KakaoTalk er der også mange, der taler om, så måske man også skulle prøve de apps? 

Men måske du kan tilgive mig, for de andre medarbejdere her i huset gør trods alt det samme. Fordi det er nemmest, og fordi tjenesterne bare er der hele tiden og altid fungerer.


Nye kanaler vinder frem
Nogenlunde sådan er dit forbrug af diverse chat-applikationer og sociale medier måske også. Det voksende antal alternative kommunikationskanaler hitter nemlig hos danskerne og betyder blandt andet, at brugen af SMS er drastisk faldende.

For it-afdelingen og de sikkerhedsansvarlige i virksomhederne kan de nye kommunikationskanaler formentlig godt afstedkomme en vis hovedpine.

For hvad er det helt præcis, medarbejderne kommunikerer om, og hvor risikerer man, at forretningskritiske data havner?

Men selv om det kan være fristende simpelthen at spærre for eksempelvis Facebook Messenger eller forbyde medarbejderne at bruge det på arbejds-telefonen, er det ikke nogen holdbar løsning.

Det forklarer Jørgen Sørensen, der står i spidsen for Deloittes Cyber Security Services i Danmark og rådgiver om informationssikkerhed.

“Bekymringen er, at der er fortrolig virksomhedsinformation, som vi ikke har styr på, men at begynde at sætte begrænsninger på devices vil være som at prøve at bygge en halv dæmning,” siger han til Computerworld.

“Det at spærre noget er sjældent den rigtige løsning.”

For uanset om det drejer sig om de førnævnte tjenester eller kommende hits i diverse app stores, er det nemlig ikke kun teknologierne, man bør fokusere på – men også de mennesker, der anvender dem.

“Informationen kan komme ud på andre måder, og det, der i virkeligheden er kilden til læk af informationer, er medarbejderne.”

Vi tænker os ikke godt nok om
“Man har ofte en tendens til at fokusere på de teknologiske aspekter af en problemstilling og ikke det, som i virkeligheden er den største udfordring: Medarbejdernes forståelse af, hvad der er virkelig kritisk for virksomheden, hvis det kommer ud – selv om det måske kun er brudstykker.”

Jørgen Sørensen fra Deloitte mener, at denne manglende viden og forståelse kommer til udtryk på mange måder. Et eksempel:

“Folk, der for eksempel står i kø i lufthavnen og lige skal have den sidste status før et forretningsmøde. De står højlydt og fortæller om en forhandling eller et kontrakt-beløb. De ved da ikke, om jeg er på vej til samme møde og også skal forhandle.”

“Der hjælper spærring af noget så konkret som en chat ikke meget. Men det gør en awareness eller holdningsbearbejdning omkring, at vores informationer i dag flyder så mange steder, at vi har brug for, at folk tænker sig om,” lyder det fra sikkerhedsrådgiveren.

Annonce:


Ikke alle data er lige vigtige
Jørgen Sørensen peger på, at man bør starte med at få klassificeret virksomhedens data, så medarbejderne kan forstå, hvilke data de skal være ekstra opmærksomme på ikke at komme til at kommunikere om de forkerte steder.

Det arbejde finder desværre stadig sted i alt for få virksomheder.

“Det er et centralt problem, som vi altid har fejlet på som sikkerhedseksperter: Vi har ikke evnet at få solgt ideen til virksomhedslederne om, at de bliver nødt til at klassificere deres information på en brugbar måde.”

“Det har sådan set altid været nødvendigt, men i dag er det bydende nødvendigt, at vi får klassificeret, hvad det er for en type information, vi ikke vil have kommer ud,” siger han og tilføjer:

“Vi kan lave alle mulige tekniske begrænsninger, men vi ved også godt, at folk omgår dem. På den måde bliver det sådan et internt kapløb om, hvem der kan snyde hvem. Det er den forkerte sikkerhedsholdning.”

“Man bliver nødt til at samle de ressourcer, der er til at sikre virksomhedens data. Hvis ikke vi begynder at arbejde sammen som ansatte og it- og sikkerhedsfolk om at få det her gjort på den rigtige måde, lykkes det aldrig.”

Chefen er måske det største problem
En af de udfordringer, man står med i mange virksomheder, er, at det faktisk er i virksomhedens øverste ledelse, at risikoen for uhensigtsmæssig håndtering af kritiske data er størst.

“Det bliver sagt igen og igen, at vi har brug for awareness. Men vi må også erkende, at mange af dem, der er rigtig dårlige til at tænke over, hvad der bliver sagt i offentlige rum, på chat eller kommunikeret på mail, er virksomhedens øverste ledelse.”

“Det er dem, der har den kritiske information – det er ikke receptionisten, den almindelige kontormedarbejder eller fabriksarbejderen.”

Hvordan håndterer man så ledelsen som sikkerhedsansvarlig?

“Det, der har vist sig med den seneste tids mange cyber-hændelser, er, at der er skabt en forståelse for, at tingene har ændret sig. Ledelsen ønsker rent faktisk i dag at få noget viden omkring, hvordan de bedst sikrer kritiske data.”

Det er her, at man som it-/sikkerhedsansvarlig skal være i stand til at anskue sikkerhedsudfordringerne på en lidt anden måde, end vi har gjort traditionelt.

“Vi har en tendens til at gøre det til et teknologi-problem, og det er det ikke. Vi skal snakke med dem om forretningen og om betydningen for deres måde at drive forretning på og om kommunikation – det har intet med teknologi at gøre. Vi skal se på, hvordan vi håndterer problemet hele vejen rundt, ikke på enkeltstående løsninger.”


Der er en grund til populariteten
Men måske det er vigtigt lige at træde et skridt tilbage og spørge sig selv, hvorfor det nu lige er, at medarbejderne – og altså i høj grad også ledelsen – anvender eksempelvis chat-apps og sociale medier til at kommunikere.

Et oplagt bud er, at det er, fordi tjenesterne er lette at anvende, altid er lige ved hånden, og fordi de er udviklet på brugernes præmisser, ikke it-afdelingens. Den virkelighed skal man kunne forholde sig til som it-afdeling.

Jørgen Sørensen fra Deloitte har denne anbefaling til, hvordan man kan gribe det an:

“Jeg ville forsøge at gøre opmærksom på, hvilke former for trusler der kan være, og hvilke aktører, der kan have en interesse i at få fat i de data.”

“Hvis den øverste ledelse så mener, at det godt kan være, at truslen er der, men at det er vigtigere for forretningen med den fordel og den lethed, der er i at arbejde på denne her måde, så er det sådan set ok med mig. Det er ledelsens ansvar at træffe beslutningerne omkring sikkerhedsniveauet – bare de gør det på et oplyst grundlag.”

Jørgen Sørensen mener, at man som sikkerhedsansvarlig i det tilfælde har to andre muligheder.

Man kan snakke med ledelsen om, hvorvidt man så skal gøre noget for at finde ud af, om den holdning, man ønsker medarbejdere på forskellige niveauer har om håndteringen af data, rent faktisk efterleves.

“Vi skal opdage det, hvis vi bruger vores data forkert,” siger han og fremhæver eksempelvis overvågning og logs som værktøjer til at kunne opnå det.

Hvis ledelsen heller ikke mener, at det er nødvendigt, bør man forberede ledelsen på, at der på et tidspunkt vil komme et læk og dermed en situation, hvor ledelsen skal forklare pressen om den beslutning, der ledte frem til det.

“Det bliver man nødt til at forberede, ligesom man bliver nødt til at forberede, at man skal lave damage control.”

“Virksomhederne kan vælge at lægge sine ressourcer i en af de kurve: De kan forebygge, de kan etablere noget overvågning, og de kan lave et beredskab. Så kan man vægte imellem dem, for det er i virkeligheden de tre parametre, vi kan skrue på,” forklarer Jørgensen Sørensen.

“Vi kan ikke være rigide og forbyde alt. Det er vi kommet over.”

For langt hen ad vejen ligger virksomhederne også, som de selv har redt: 

“Jeg mener ikke, at man kan forbyde forretningsmæssig kommunikation på sociale medier. Virksomhederne er i dag på sociale medier som LinkedIn og Facebook. Den beslutning er taget forretningsmæssigt. Ergo er der kun tilbage at forsøge at forhindre, at folk kommer til at skrive de forkerte ting.”



Flere anvender chat-apps – selv om de bekymrer os
Det bringer os tilbage til de konkrete chat-apps og sociale medier, der er så populære i disse år. Danskerne anvender dem i en sådan grad, så det betyder et markant fald i brugen af den ellers så populære SMS.

Og vi gør det, selv om der samtidig er en del privacy-bekymringer relateret til de nye kommunikationskanaler.

Senest har der været en del debat i kølvandet på Facebooks forsøg på at tvinge brugerne til at anvende den særlige chat-app Facebook Messenger på smartphonen.

Eksempelvis er der på denne side en digital underskriftsindsamling, hvor der i skrivende stund er 441.773 personer, der ønsker at stoppe Facebook Messenger-tvangen – blandt andet fordi de ikke bryder sig om, at Facebook skal have adgang til telefonens kamera og kontakt-informationer og kunne anvende data i marketing-øjemed.

Selv om der tilsyneladende er en del forvirring om, hvad det rent faktisk er, at Facebook skal have adgang til og hvorfor, er det næppe et kommunikationsværktøj, som ret mange virksomheder jubler over, at medarbejderne installerer på telefonerne.

Vi skal fokusere på de kritiske data
Jørgen Sørensen fra Deloitte anbefaler dog stadig, at man skal lade være med at fokusere for meget på den konkrete teknologi, der er hot blandt brugerne.

“Problemstillingen er der, og så har man en tendens til i it-afdelingen at være teknik-fikseret og så løse det. Så har vi fikset lige denne her teknologi-dims. Men du får ikke noget ud af det – jo, sure medarbejdere, som så omgår det og gør det på en anden måde.”

“Vi lever i et informationssamfund, hvor det gælder om at dele information mere og mere.”

Han mener derfor, at udgangspunktet i dag må være, at man beskytter de centrale og mest kritiske data i virksomheden, mens man må acceptere, at resten kan være offentligt tilgængeligt på den ene eller den anden måde.

“Det betyder, at vi bliver nødt til at finde ud af, hvad det er, vi absolut skal beskytte. Det er den eneste reelle mulighed, vi har for at beskytte noget, for vi kan ikke beskytte alle de kilder, de devices og de access points, vi har i virksomheden. Det er umuligt,” forklarer Jørgen Sørensen, der står i spidsen for Deloittes Cyber Security Services i Danmark.

Posted in computer.