Daily Archives: September 27, 2014

Flere politikere på Christiansborg fremhæver, at danske virksomheder fremover skal tvinges til at indberette når og hvis, de har været udsat for hackerangreb.

Det viser en rundringning, som Computerworld har foretaget på baggrund af et forslag, som blandt andre Venstres it-ordfører Michael Aastrup Jensen har luftet i forskellige dagblade.

Michael Aastrup Jensens forslag går kort fortalt ud på, at virksomhederne skal indrapportere til staten – i praksis formentlig Center for Cybersikkerhed – hvis der har været hackere på besøg.

På den baggrund kan staten kortlægge, hvordan og hvilken type danske virksomheder, der bliver ramt af hackerangreb og ikke mindst opklare, om der er tale om koordinerede angreb og industrispionage fra en eller flere navngivne stater eller selskaber.

Vi skal have debatten
Udover Michael Aastrup Jensens eget parti Venstre, møder forslaget opbakning fra Det Konservative Folkeparti og Dansk Folkeparti.

“Hvis ikke dansk erhvervsliv selv kan sørge for indrapporteringerne om hackerangreb, så er vi åbne for, at vi skal lovgive omkring det,” fortæller Dansk Folkepartis it-ordfører, Dennis Flydtkjær. 

Enhedslisten, SF, Radikale Venstre og løsgængeren Uffe Elbæk melder, at de er nysgerrige omkring udspillet.

“Forslaget skal have en effekt for Danmark og danske virksomheder, før jeg kan gå ind for det. Men der er ingen tvivl om, at vi skal have en diskussion om, hvad vi skal stille op med hackerangreb, for det er et område, som vi helt ærligt ikke ved så meget om,” siger Enhedslistens it-ordfører, Stine Brix, til Computerworld.

Liberal Alliance og Socialdemokraterne er ikke umiddelbart interesserede i udspillet. 

“Der er brug for, at Center for Cybersikkerhed sammen med virksomhedsorganisationer som Dansk Industri og Dansk Erhverv og andre relevante parter sætter sig sammen og får skabt det forum og de vilkår, der gør, at virksomheder af sig selv søger og får tilbudt hjælp og vejledning,” lyder det fra Socialdemokraternes it-ordfører Karin Gaardsted.

Liberal Alliance vurderer, at tvang og trusler om bøder fra statens side vil få mange virksomheder til at ‘flyve under radaren’.

Det skal foregå anonymt
I dag flyver de fleste firmaer over, under og ved siden af radaren, hvilket ærgrer De Konservatives it-ordfører og tidligere justitsminister Brian Mikkelsen.

“Mange virksomheder vil ikke ud med viden om hackerangreb ud fra tesen om, at den, der lever stille, lever godt. Efterfølgende er det så bare meget vanskeligt at sige noget om, hvorvidt der var tale om et koordineret angreb fra en bestemt nation,” forklarer Brian Mikkelsen.

Han har i sin tid som justitsminister i perioden 2008 til 2010 selv været vidende om spredte indberetninger fra danske virksomheder om cyberangreb, men det var enkeltstående tilfælde, så det var umuligt at tegne et retvisende oversigtsbillede.

“Vi skal have samlet op og akkumuleret viden. Derudover skal indberetningerne naturligvis ikke være offentlige, men virksomhederne skal derimod melde om hackerangrebene anonymt til Forsvarets Efterretningstjeneste eller andre myndigheder,” siger Brian Mikkelsen.

Den tidligere justitsminister mener ligefrem, at meldepligten med et politisk flertal i ryggen skal nedskrives i den danske lovgivning.

Hvis det bliver tilfældet, og der politisk flertal for en løsning igennem lovgivning, så vurderer Brian Mikkelsen, at der kan komme et beslutningsforslag i starten af oktober.

Det forslag kan så vedtages i november, hvorefter tvangsmeldingen om hackerangreb kan blive gældende lovgivning for danske virksomheder fra starten af 2015.

DI frygter hovsa-løsning
Dansk Industri står som en af de tunge organisationer for dansk erhvervsliv, og i foreningens it-branchefælleskab ITEK ser man helst, at en meldepligt om hackerangreb er frivillig.

“Der er stadig mange uklarheder omkring en meldepligt. Hvad nu, hvis en virksomhed ikke ved, at den er blevet angrebet?,” spørger ITEK-direktør Adam Lebech retorisk.

Han fortæller, at EU arbejder på et direktiv, der sandsynligvis vil gøre det obligatorisk for leverandører af kritisk infrastruktur, som for eksempel el- og teleselskaber, at melde om hackerindbrud.

Hvorvidt denne ordning også bør gælde almindelige virksomheder, er Adam Lebech mere tøvende over for.

“Vi vil i Dansk Industri naturligvis gerne indgå i en dialog med politikerne om, hvordan sådan en meldepligt kan etableres, så vi undgå hovsa-løsninger, der ikke tager højde for hverken EU-arbejdet eller virksomheder, som ikke har kendskab til angreb,” forklarer han til Computerworld.

Han indskyder samtidig, at meldepligten skal holdes væk fra offentlighedens øjne, og den ikke må være alt for bøvlet for virksomheder at rapportere til.

“Det ville jo være paradoksalt, at man i forsøget på at hjælpe dansk erhvervsliv gjorde livet mere besværligt for de danske virksomheder,” siger han.

Læs også:
Topadvokat om mere it-sikkerhed: Slap nu af – det er jo også farligt at gå en tur på havnen

Danske virksomheder kan være hacket uden at vide af det

Det begyndte med en floppy-virus og blev til regeringsovervågning

Novozymes erkender: Vi er blevet hacket og udsat for digital spionage

Computerworld kan for anden gang kåre den danske CMS-leverandør Sitecore som Danmarks bedste it-virksomhed.

Men hvordan bliver man egentlig nummer et i Computerworlds top 100-konkurrence?

Det spørgsmål giver vi dig svar på i denne historie.

Ved første øjekast ser det faktisk ikke ud til at gå så godt. På websiden CMScrawler støvsuger man nettet for at se hvilke CMS’er, websider er bygget op omkring.

Her topper programmer som WordPress, Joomla og Drupal, og man skal faktisk helt ned til nummer 263 for at finde Sitecore.
Sitecore ligger altså langt fra at være det mest benyttede CMS, og set fra denne vinkel er der langt til toppen af CMS-pyramiden.

Men der er flere sider af denne sag, og der begynder at tegne sig et billede, hvis man ser på Gartners vurdering af det danske software.

Analysefirmaet er kendt for sine ‘magiske firkanter’, hvor Gartner præsenterer virksomheder i et udvalgt segment i forhold til hinanden og sætter navn på markedslederne og markedsudfordrerne. Her ligger Sitecore blandt de mest innovative og markedsførende produkter.

CMS-eksperten: Der er udfordringer
Selv om open source-folket står på den ene side, og virksomheder som Adobe og Oracle står på den anden side i konkurrencen om kunderne, så formår Sitecore i overbevisende grad at finde sit eget marked.

CMS-eksperten Janus Boye analyserer Sitecores succes og udfordringer på denne måde:

“Sitecore kan sælge. Det er det langtfra alle, der kan og da slet ikke til de kæmpe millionbeløb,” siger Janus Boye, som er direktør i CMS-virksomheden af samme navn.

Han peger på, at Sitecore har formået at få nogle store ordrer ind i bogen og at opretholde en opadgående spiral.

“Især i Nordamerika og i England viser Sitecore sin styrke. De kan virkelig noget med forretning, salg og opfølgning.”

Det salgsmæssige håndværk er ifølge Janus Boye den ene del af Sitecores hemmelighed. På den anden side står produktet.

“Der skal naturligvis også være noget at sælge, og Sitecore har et godt produkt. Der findes andre løsninger, som kan være bedre på specifikke områder, men Sitecore har efterhånden formået af få en rigtig konkurrencedygtig platform på plads,” siger han og fortsætter:

“Det er efterhånden forkert at kalde Sitecore for et CMS, for det er blevet rigtig meget andet.”

Sitecore har trukket CMS’et sammen med den digitale forretning, og det er mange af kunderne faldet for.

“En del af forklaringen på, at de kan trække overskud hjem hvert eneste år, er, at de gået efter forretningen og ikke bare indholdsstyring. Sitecore har været blandt de første til at se det skifte i markedet, og de har været hurtige til at lægge retningen ud fra det,” vurderer Janus Boye.

Andre store CMS-løsninger som Drupal eller WordPress har i stedet haft fokus på at skabe et bedre værktøj for dem, der opretter indhold. Drupal har eksempelvis også fokuseret meget på community-delen.

Evnen til at fastholde et fokus og være stædig nok til at tro på ideen, har været det langsigtede fundament for Sitecores position.

“Selv i perioder, hvor det ikke er gået så godt, har virksomheden valgt at bruge pengene på udvikling og er blevet ved med at ansætte nye programmører. I dag har de rigtig mange dygtige udviklere til at bygge produktet,” siger Janus Boye.

Også udfordringer og svagheder

Men Sitecore har også udfordringer og svagheder, påpeger han.

“Hvis virksomheden vil fastholde sin position, kræver det, at de bliver ved med at satse på innovation. Der er eksempelvis sket meget på den mobile platform med telefoner og tablets. Kunderne bliver klogere og stiller højere krav.”

Også på partnersiden skal der holdes øje.

“Der er en stor afhængighed af partnernetværket, og det er vigtigt at holde det økosystem i gang. Det er her, kunderne kommer fra. Efterhånden som virksomheden vokser, bliver der mere konkurrence mellem disse partnere, som ikke alle kan finde guldet. Kvaliteten af partnere skal holdes højt,” siger Janus Boye.

Når kunderne bliver klogere, vil de så blive ved med at være villige til at betale, når de kan få gode og gratis open source-produkter?

“Der er mange gode alternativer, men jeg må bare erkende, at Sitecore har bevist, at der er et meget stort marked for deres produkt. Det er de på ingen måde i mål med, der er stadig masser af forretningsmuligheder.”

2014 har også budt på en kæmpe guldåre for Sitecore-folkene. En stor konkurrent ser nemlig ud til at trække følehornene lidt tilbage fra CMS.

“Den helt store ting på CMS-markedet er, at det ser ud til, at Microsoft opgiver den eksterne del af SharePoint til websider, der ellers har fyldt meget i SharePoint 2007 og 2010. På partnerkonferencen i sommer blev det ret tydeligt meldt ud, at til eksterne sider kan man bruge alle mulige tredjepartsløsninger,” siger han.

“Microsoft har valgt ikke at købe Sitecore, som Sitecore måske håbede på engang, men de har valgt at sige, at andre er bedre til de eksterne løsninger. Microsoft satser i stedet på internet og samarbejde i SharePoint.”

Partner i 10 år: Mere internationale
Partnernetværket er det anker, som Sitecore-skuden er fortøjet til, og som bygger fundamentet for softwareforretningen.

Vi har spurgt webfirmaet 1508 om, hvorfor de har valgt Sitecore som partner. Udviklingshuset 1508 har faktisk to forskellige partnere, der ligger til grund for virksomhedens CMS-løsninger.

Begge er danske systemer, der har udmærket sig på forretningsområdet. 1508 bygger således løsninger til kunderne på fundamenterne Umbraco og Sitecore.

“Vi har været partner med Sitecore siden 2004, så det er et langt forretningsforløb, vi har haft sammen,” fortæller Jan Buchholt Hebnes, udviklingschef og partner i 1508.

For 10 år siden blev valget taget som en strategisk beslutning ud fra parametrene om, at Sitecore havde et godt produkt, og at virksomheden var i ‘lokalområdet’.

“Fra starten var der geografisk sammenhæng med valget. Sidenhen har det vist sig at være et godt valg, fordi Sitecore virkelig har udviklet sig godt, både som produkt og som virksomhed.”

Satser på digital marketing og e-handel
Han peger blandt andet på firmaets position i forhold til digital marketing og e-handel som en kæmpe styrke.

“Jeg kan ikke komme i tanke om andre firmaer, der satser så aggressivt på disse områder,” siger Jan Buchholt Hebnes.

En udvikling, der ikke er kommet som en stor overraskelse for partnerhuset.

“Vi har været i løbende dialog med firmaet og været tæt på de strategiske overvejelser.”

Har det betydet noget for samarbejdet, at Sitecore er en dansk virksomhed?

“Ja, absolut. De er meget tilgængelige, specielt før de gik ind på det amerikanske marked. I dag skal Sitecore tage rigtig, rigtig mange hensyn, og derfor har vi ikke helt den samme tætte kontakt til virksomheden, som vi havde i begyndelsen.”

Så det har ikke været til jeres fordel, at Sitecore er startet i USA?

“Jo. Der er kommet betydelig mere økonomi i platformen. På den måde er der kommet mange gode ting ud af det. Ligeledes er der blevet stillet en masse krav til produktet, hvilket har gavnet os. Firmaet er blevet betydelig mere professionelt.”

Men Sitecore er ikke så lokale mere?

“Vi har en lang historie sammen, og vi snakker naturligvis sammen, men der er blevet lidt længere ind til kernen.”

Jan Buchholt Hebnes peger på, at nogle af styrkerne ved Sitecore er firmaets produkter, der har rigtig mange tilpasningsmuligheder, som går godt i spænd med den valgte målgruppe. Et andet plus er, at Sitecore har valgt at satse på store virksomheder, hvilket har betydet, at der er store budgetter i spil.

“Den samme software-brik kan både bruges mange forskellige steder. Når man først forstår den grundtanke, har man meget frie tøjler som udvikler. Det er en fed oplevelse, at man kan skabe en sammenhængende platform, hvor alt er tilgængeligt og homogent i Sitecore. Motoren er meget stærk, og brugeroplevelsen er god,” siger Jan Buchholt Hebnes.

“Der kan være andre CMS-løsninger, der passer bedre til specielle opgaver, men til de brede løsninger er Sitecore uhyre velegnet.”

Sitecores spring op i hierarkiet er dog også en udfordring for partnerlaget, fordi kundesegmentet naturligvis også er rykket op. Det betyder, at partnerhuse som 1508 også skal flytte med.

“Det betyder, at vi er blevet tvunget til at indgå nye samarbejder med andre firmaer, når der skal bygges store projekter. Til gengæld er kunderne også blevet større.”

CMS-producenten har også opbygget et community omkring udviklingen, som 1508-udviklingschefen er meget begejstret for.

“Der er blevet satset meget på shared source, som eksempelvis Umbraco har stor succes med. Ved at satse på community-delen har Sitecore sikret sig et økosystem af udviklere, hvilket har været en god og sikker beslutning, selv om man nok aldrig når open source-miljøets udvikler-begejstring,” siger Jan Buchholt Hebnes.

Det passede til resten af vores it
Et af de firmaer, der har valgt en webløsning bygget på Sitecore, er advokatvirksomheden Kromann Reumert.

For et år siden stod Kromann Reumert over for at skulle vælge et nyt CMS, og så sig derfor om efter potentielle kandidater.

“Vi stod i et valg mellem et open source-produkt eller en Sitecore-løsning. Vores intranet-løsning er baseret på SharePoint 2010, og i den forbindelse er der rigtig mange af vores virksomhedsdata, der kunne genbruges i Sitecore, som har komponenter out-of-the-box, der gjorde den proces nem,” fortæller it-chef Anders Wiedemann i Kromann Reumert.

Valget var således baseret på integration med eksisterende systemer i virksomheden.

“Målet var, at vores CMS skulle passe sammen med det, som vi allerede havde.”

Seriøsiteten omkring Sitecores tilgang til markedet og produktets udbredelse var også elementer i beslutningsfasen hos Kromann Reumert.

“Der er også et andet perspektiv i det for os som advokatvirksomhed. Vi ønsker en partner, der er solidt funderet i både den danske it-branche og internationalt,” siger fortæller han, og fortsætter:

“Selv om prisen var højere for licensen, så var det endelige regnestykke ikke så meget større, når der også skulle tages hensyn til integrationen med de eksisterende systemer. Ligeledes er der mulighed for at bygge videre med nye webmoduler i fremtiden.”

Spurgte i netværket

Men det gode gamle netværksprincip kom også i brug.

“Man spørger selvfølgelig altid i sit netværk, og her havde vi hørt en del godt og interessant om Sitecore. Ligeledes var der også en del omtale af firmaet, og det har da haft en positiv indvirkning på vores beslutning.”

Var det nemt at få bygget jeres nye CMS?

“Der er altid udfordringer, når man skal integrere med andre systemer, som ikke er bygget til det, men det var ikke et stort problem. Vi havde nok haft de samme udfordringer, hvis vi havde valgt et andet system. Det har absolut været håndterbart,” siger Anders Wiedemann.

CMS er et cowboy-land

Markedet for CMS-løsninger betegner it-analytiker fra IDC, Anders Elbak, som et cowboy-land, der er præget af mange forskellige løsninger og platforme.

“Sitecore er måske rykket ud af CMS-kategorien på grund af de mange funktioner, som produktet har fået tilføjet i udviklingsfasen. Der er tale om et program, der også kan bruges til eksempelvis markedsføring og kundehåndtering.”

På den baggrund mener han, at Sitecore har rykket ved de faste begreber og trebogstavsforkortelser.

“CMS er stadig et umodent marked med rigtig mange spillere, der har baggrund i mange forskellige grundideer og tanker. Men en af Sitecores styrker har været et stærkt fokus i dette ‘kaos’,” siger han.

For virksomhederne handler denne del af digitaliseringen om at automatisere processerne mod en webflade og derved udnytte og styre processerne i forhold til kunder.

Samtidig hiver den udvikling nye spillere ind i manegen i form af eksempelvis marketingfirmaer, der ikke typisk har bevæget sig i denne del af web-forretningen.

“Det er en masse services relateret til disse løsninger, der ikke længere er ren it. Det har Sitecore forstået både at udnytte og skubbe på udviklingen ved at produktudvikle.”

Vil du vurdere, at Sitecore bare har surfet med på en stor økonomisk bølge inden for CMS, eller har det krævet solidt benarbejde at nå den nuværende position?

“Det er absolut ikke et tilfælde, at man kan tjene penge på dette forretningsområde. Det er ikke et specielt gunstigt marked. Der er faktisk mange gratis produkter i form af ganske gode open source-løsninger. Man skal gå rigtigt til markedet og have de rigtige produkter,” lyder Anders Elbaks analyse.

Analytikeren peger også på, at selv om der er gode og gratis open source-løsninger, er der mange firmaer, som ikke vælger disse alternativer til den lukkede kode.

“Mange tør ikke binde sig til den åbne software på grund af en uforudsigelig fremtid, manglende support eller andre usikkerhedsmomenter. Der er således god plads til betalingsløsningerne, der har et forretningsorienteret fokus.”

Læs også: Her er Danmarks bedste it-virksomhed 2014.

Som Computerworld fortalte torsdag, er der fundet en kritisk sårbarhed det Bash-shell kommandoværktøj, der findes i både Linux og Unix og i Apples Mac OS X.

Det viser sig dog, at en række andre systemer også kan være i risikozonen, fordi de netop bygger på de førnævnte systemer – heriblandt finder vi Android, routere og enheder, der indgår i Internet of Things.

Bash har eksisteret siden 1989 og er et meget udbredt værktøj i mange Linux/Unix-baserede systemer.

Sådan kan det misbruges
Shellshock, som sårbarheden er blevet døbt, betyder, at kriminelle kan foretage et fjernangreb med ondsindet kode via den Bash-shell, der findes i systemerne.

Flere eksperter sammenligner Shellshock med den meget omtalte Heartbleed-sårbarhed, og nogle mener sågar, at risikoen for at blive ramt af Shellshock kan vise sig at være et langt mere alvorligt problem.

Heartbleed-sårbarheden betød blandt andet, at adgangskoder og brugernavne og andre private oplysninger kunne havne i de forkerte hænder via den sårbarhed, der var i OpenSSL.

Med Shockshell er truslen snarere, at de kriminelle kan tage kontrollen over de sårbare systemer, fordi de får mulighed for at afvikle kode via Bash-kommandoværktøjet.

“Vi ser angreb nu”
Sikkerhedsselskabet Trend Micro gennemgår i et længere blogindlæg Bash-problemet og skriver blandt, at andet denne sårbarhed er “udbredt, potentielt kan forårsage betydelig skade og kræver en meget lille teknisk viden at udnytte.”

“Fordi Linux er at finde i halvdelen af serveren på internettet, Android-telefoner og størstedelen de enheder, der er i Internet of Things (IoT), rammer det meget bredt,” skriver Trend Micro.

Sikkerhedsselskabet mener sågar, at Bitcoin også kan blive ramt, fordi Bitcoin Core kontrolleres af Bash.

“Vi ser allerede angreb derude nu,” føjer Trend Micro til.

Heldigvis har flere af Linux-distributionerne allerede fået en opdatering, der kan lukke hullet, og det anbefales ikke overraskende, at man sætter gang i fingrene på tastaturet med det samme og får udrullet patchen.

Mac- og Android-brugere må vente
Der er dog fortsat rigtig mange brugere, der må vente på en løsning:

“Fixes til Android-telefoner og andre enheder skal komme fra producenterne (hvis de overhovedet kommer),” skriver Trend Micro.

Trend Micro har disse fire anbefalinger:

1) Er du almindelig slutbruger, må du vente og holde øje med en opdatering til din Mac, Android-telefon og andre enheder.

2) Kører du med et Linux-system, skal du udrulle en opdatering af Bash med det samme.

3) Har du Linux/Apache-webservere, der køres ved hjælp af Bash-scripts, bør du overveje at bruge noget andet end Bash, indtil der findes en løsning.

4) Er du kunde til en hosted service, skal du tage kontakt til din leverandør og finde ud af, om denne er sårbar – og hvilke planer for beskyttelse, leverandøren har.

For de mere avancerede Mac-brugere, har Apple en vejledning til, hvordan man skifter terminal shell fra eksempelvis bash til en anden – den findes her.

Webservere og industrisystemer 
Selvom Shellshock altså umiddelbart er en trussel mod mange forskellige typer af systemer, vurderes det flere steder, at det primært er webservere og industrisystemer, hvor de it-kriminelle vil kunne gøre størst skade ved at udnytte sårbarheden.

“Der er en masse ting, der kalder Bash, og jeg vil godt vædde med, at der er ting i de fleste miljøer, der kalder Bash, uden at de ved af det,” udtalte en chef fra Red Hat torsdag.

Threatpost har en fin gennemgang af trusler mod de forskellige industrisystemer her og skriver blandt andet, at truslen ikke bliver mindre, når mange af systemerne er forældrede og kun kan patches ved at tillade nedetid, hvilket man typisk ikke gør i tide og utide.

Selvom Shellshock altså fra stort set alle sider betegnes som en kritisk sårbarhed i nogle meget udbredte systemer, så mangler vi endnu at se, hvad de konkrete problemer kan være.

Sådan kan det – måske – ramme dig
En sikkerhedsrådgiver fra virksomheden Veracode udtaler til nyhedsbureauet AP, at Shellshock eksempelvis vil kunne udnyttes til at tage kontrollen over en Mac, der er sluttet til et offentligt Wi-Fi-netværk, ligesom man kan forestille sig, at Bash-hullet kan udnyttes til at sende virus i omløb.

Samtidig understreges det dog, at det fortsat er tale om teoretiske, potentielle trusler – ikke konkrete angreb, der allerede finder sted.

Danske CSIS har vurderet, at “et større antal services og applikationer samt Debian og andre Linux distributioner er sårbare overfor eksterne angreb og er i risiko for komplet systemkompromittering.”

“Sårbarheden har en grad af alvor, som kaster den ud i næsten samme kategori som Heartbleed,” lød det torsdag fra CSIS.

Læs også:

Alvorlig sårbarhed opdaget: Kan ramme Linux, Unix og Mac OS X

Værd at vide om Heartbleed: Fem ting der kan hjælpe dig