Monthly Archives: March 2015

Din computers indbyggede BIOS er selve hjertet i maskinen, der blandt andet er ansvarlig for at starte dit operativsystem og kontrollere, at alle hardware-komponenterne er tilkoblet.

BIOS-hacking kan derfor gøre væsentlig skade på din maskine, men denne type angreb har traditionelt været omgærdet med opfattelse af, at disciplinen har krævet et solidt og avanceret it-kendskab. Et hacker-angreb på NSA-niveau.

Læs mere her: NSA kan have plantet avanceret spion-kode på din harddisk – næsten umulig at opdage og fjerne

Men nu viser to forskere, at det måske slet ikke er så svært endda.

Det skriver blandt andre Wired.

Under den netop afholdte sikkerhedskonference CanSecWest, der løb af stablen i Canada, viste to sikkerhedsforskere nemlig et nyt ‘proof of concept’, der beskriver, hvor enkelt det er at komme i kontakt med din BIOS.

Hele præsentationen hedder “How Many Million BIOSes Would You Like to Infect?”, og den kan hentes her (PDF).

Også for begyndere
Det forskerne viste frem var et egenudviklet værktøj, kaldet Lighteater, som kan bruges til at infiltrere en række helt almindelige BIOS’er, der anvendes på millioner af computere og altså potentielt kan give hackere privilegier på din maskine.

Lighteater udnytter en masse sårbarheder, som er fundet i BIOS. Præcis hvilke sårbarheder, der er tale om, vil de to herrer ikke fortælle af sikkerhedsmæssige årsager, men oplysningerne er givet videre til producenterne så de kan udvikle opdateringer.

Det drejer sig dog om BIOS på bundkort fra store producenter som Gigabyte, Acer, MSI, HP og Asus.

Demonstrationen viste, at hackere med selv moderat teknisk vide kunne finde disse sårbarheder og sprede ondsindet software via eksempelvis phishing, hvor programmet tilknyttes til mails.

Når der er opnået adgang til en computer, vil det være muligt at inficere BIOS på ganske få minutter, fortæller forskerne.

Eftersom BIOS opererer under radaren i forhold til antivirus- og sikkerhedsprogrammer, vil det være muligt at sprede ondsindet kode, som ikke vil blive opdaget af maskinens sikkerhedsprogrammer eller af styresystemet.

Ved at tilgå det højt privilegerede system management mode (SMM) kan hackeren omskrive indholdet i BIOS og derved opnå permanent fodfæste på maskinen, der giver adgang til at stjæle eksempelvis password.

Noget af det nye i denne demonstration er, hvor let det er at finde BIOS-sårbarhederne.

På ganske få timer havde forskerne fundet masser af sårbarheder blandt andet ved at benytte et script, der automatiserer processen.

Rolig nu
Peter Kruse, der er sikkerhedsekspert i firmaet CSIS kan godt genkende problemet, men han mener ikke, at der er grund til panik.

“Det er stadig en ret avanceret metode, og der er langt lettere veje til at få adgang til de samme data,” siger han, og fortsætter:

“Derfor er denne angrebsmetode stadig benyttet af de avancerede angribere og altså ikke til masse-angreb.”

Han fortæller dog samtidig, at eksempelvis bundkortproducenter arbejder hårdt på at forbedre BIOS-typerne for at undgå problemer på den front i fremtiden.

En tungtvejende årsag til, at der er så mange BIOS-sårbarheder, er, at mange ikke opdaterer BIOS’en, selv om der er udviklet sikkerhedslapper af producenterne.

Løsningen ligger altså også i – som det altid gælder for software på din computer – at få opdateret med de nyeste opdateringer.

Læs også:

NSA kan have plantet avanceret spion-kode på din harddisk – næsten umulig at opdage og fjerne

Hackerne kommer – og du kan (næsten) intet gøre

Her er den største sikkerhedstrussel mod danske virksomheder lige nu: Har du hørt om APT?

Advarsel til danske CIO’er: Her er de vigtigste sikkerheds-issues i 2015

Sådan vil NSA inficere millioner af computere med avanceret implantat-system

Så sårbar er du: It-angreb lurer i horisonten

Producenter af næste teknologi-bølge blæser på sikkerhed – kan blive en alvorlig trussel mod dig

Nuværende og tidligere ansatte hos den russiske sikkerhedsproducent Kaspersky Lab beskylder ifølge Bloomberg selskabet for at have meget tætte forbindelse til russiske sikkerheds- og efterretningstjenester.

Siden 2012 er store dele af selskabets ledelse angiveligt blevet erstattet med personer, der er nært knyttet til sikkerhedstjenesten FSB, som normalt betragtes som efterfølgeren til Sovjet-tidens KGB.

Og ledige job i Kaspersky Labs topledelse tilbydes nu kun russere, siger kilderne til Bloomberg.

Stifteren af Kaspersky Lab, Eugene Kaspersky, er i sin tid uddannet i blandt andet kryptografi på en skole, der var finansieret af KGB og det russiske forsvarsministerium, og han har ifølge Bloombergs kilder fortsat tætte forbindelser til folk fra efterretningstjenesterne.

Bloombergs kilder hævder blandt andet, at Eugene Kaspersky afholder ugentlige sauna-fester for en udvalgt kreds af fem til ti personer.

Den centrale kontakt mellem Kaspersky Labs og den russiske regering er selskabets juridiske chef, Igor Chekunov.

Skæv balance
Påstandene om samarbejde med de russiske myndigheder underbygges ifølge Bloomberg af, at Kaspersky Lab jævnlig afslører forskellige former for it-spionage, som vestlige myndigheder angiveligt står bag. Til gengæld har Kaspersky kun i meget begrænset omfang afsløret spionage fra russisk side.

Den skæve balance er ifølge Bloomberg ikke enestående. Et selskab som amerikanske FireEye har på samme måde tætte forbindelser til CIA, som også har investeret i selskabet.

Fireeye har gjort et stort nummer ud af at afsløre kinesiske og russiske cyber-angreb, men har til gengæld været tavse om amerikansk spionage.

Talsmænd for Kaspersky Lab afviser over for The Register, at selskabet er tilknyttet FSB. I en udtalelse siger selskabet, at man samarbejder med justitsmyndigheder over hele verden, så længe man overholder national og international lovgivning.

Oplysningerne om jævnlige sauna-møder med repræsentanter for efterretningstjenesterne er ifølge Kaspersky Lab falske.

Eugene Kaspersky selv har reageret kraftigt på Bloombergs artikel i et blogindlæg. Han fastholder, at Kaspersky Lab offentliggør oplysninger om cyberangreb og -kriminalitet uden at skele til, hvem der står bag.

Han peger blandt andet på, at de belastende oplysninger om forbindelse til russisk spionage kommer efter, at Kaspersky Lab er kommet med en række afsløringer om hacker-fællesskabet Equation Group, som mange mener, at amerikanske NSA står bak.

Eugene Kaspersky har desuden udsendt en række beskeder om sagen på Twitter, hvor han blandt andet ironiserer over påstandene om særlige sauna-fester med russisk spioner. Han lover blandt andet, at selskabets årlige konference vil inkludere saunabesøg, svedekasser og at man vil aflsutte konferencen med en ridetur til stranden på ryggen af bjørne.

Læs også:

Mystiske navne fundet i skjult spionkode på millioner af harddiske: Står NSA bag?

Kaspersky satser stort på salg til virksomheder

Direktør Brian Busk, Silkeborg Data, har skilt sig af med hver tiende medarbejder.

Det østjyske it-firma Silkeborg skiller sig af med hver 10. medarbejder i en stor fyringsrunde, som koster 21 ansatte jobbet.

Fyringerne rammer bredt i virksomheden og går ud over udviklere, konsulenter, supportere og projektledere.

“Det er korrekt, at vi i går desværre har opsagt 21 medarbejdere. Baggrunden er, at vi igennem en årrække er vokset en hel del. Så er det også naturligt, at vi på et tidspunkt skal ind og trimme organisationen, så vi kommer til at stå stærkere forretningsmæssigt,” siger direktør Brian Busk til Computerworld.

Silkeborg Data, der indtil i går havde 210 ansatte, har i en længere årrække levet godt af at levere lønsystemer til en række kommuner – ofte i skarp konkurrence med KMD – og firmaet har flere år i træk leveret tocifrede vækstrater.

Men de kommunale kunders stigende pres for lavere priser gør det ifølge direktør Brian Busk nødvendigt at effektivisere forretningen, hvis man stadig skal gøre sig håb om stå forrest, når kommunerne udbyder deres kontrakter.

“Vi er presset på, at den offentlige sektor er underlagt sparekrav, så de skal købe mere ind for færre penge. Det kan man tydeligt mærkes, når man er leverandør. Vi skal lave mere produktudvikling for færre penge, og vi skal sælge det billigere,” siger Brian Busk

Skal bevare konkurrenceevnen
Silkeborg Data havde i 2014 et rekordoverskud før skat på 58 millioner kroner ud af en omsætning på 274 millioner kroner. Brian Busk vil ikke sige noget konkret om udsigterne for de økonomiske resultater i indeværende år. Men det bliver under ingen omstændigheder noget, der tåler sammenligning med 2014.

“Vi foretager massive investeringer i produktudvikling, og derfor kommer vores regnskab for 2015 ikke til at se ud på samme måde som i 2014. Men det her handler ikke om, hvordan vores regnskab skal se ud, men derimod at bevare vores konkurrencevene, så vi fortsat kan være førende på det her område,” siger han.

Silkeborg Data blev i slutningen af 2013 overtaget af kapitalfonden Axcel, som købte selskabet af Jyske Bank for omkring 300 millioner kroner. De nye ejere har efterfølgende indsat it-veteranen Mogens Elsberg som bestyrelsesformand.

Læs også:

Opkøbt jysk succesfirma vil satse på to it-kæmper

KMD-direktør vinker farvel til væksten: Vi er presset på priserne

Målrettet mail på dansk. Kilde: CSIS.

Danske kiropraktorer er under angreb.

Så er du kiropraktor, og modtager du en mail med ordene “Ny patient” i emnefeltet, skal du ikke åbne den.

Det er sikkerhedsfirmaet CSIS, der har rapporteret om en række målrettede spear phishing-angreb rettet mod danske kiropraktorer.

Angrebet er blevet udført ved at sende en særligt udformet e-mail på fejlfrit dansk til nøje udvalgte mål.

“Mailen er designet med en høj grad af social engineering, som skal lokke netop denne målgruppe til at klikke på det medfølgende link. Samtidig bærer indholdet tydeligt præg af, at dette kan være skrevet af en dansker,” fortæller Peter Kruse fra sikkerhedsvirksomheden.

Jeg vil gerne være kunde hos dig
Og indholdet ser ved første øjekast helt troværdigt ud. 

En patient ønsker at blive ny kunde og sender lige sine røntgenbilleder som kiropraktoren kan downloade fra dropbox.

Det er dog ikke lige dem, man får, hvis man klikker på det medfølgende link. Det er i stedet en ny ransomware-variant, som forfatteren til koden har døbt ransomware-Pacman.

Koden er udviklet i .NET, og den kræver således en fortolker for at kunne køre, men det har langt de fleste Microsoft Windows installationer i dag.

Denne besked har du ikke lyst til at møde. Kilde: CSIS.

Pacman.exe droppes til Windows-mappen samtidig med, at kryptering af filer på den lokale harddisk igangsættes.

“Koden gennemsøger i den sammenhæng disken for datafiler og krypterer disse. I direkte forlængelse af denne proces ændres skrivebordet på den inficerede maskine og erstattes med instruktioner omkring, hvordan man opnår adgang til data igen. Betaling af løsesummen skal foretages ved brug af Bitcoins,” siger Peter Kruse.

Udover at indeholde ransomware indeholder koden også en keylogger.

Mail-liste
Hvor mange er blevet ram af mailen?

“Det ved vi endnu ikke med sikkerhed, men vi har fået flere henvendelser fra danske kiropraktorer i dag. Det kan tyde på, at it-kriminelle har fundet en database med mail-adresser til denne branche, men det ved vi ikke med sikkerhed endnu.”

Anbefalingen, for at undgå en uønsket kryptering af disken, går på, at man ikke åbner et link i en mail fra en ukendt afsender.

For ganske kort tid siden blev en anden meget målrettet mail sendt ud til danske brugere. Den indeholdt korrekte navne og kreditkortnumre.

Det kan du læse mere om her: Advarsel: NemID-phishere kender dit rigtige navn og kortnummer

Læs også:
Voldsomt fokus på it-sikkerhed kan være en guldgrube – men langt fra alle hiver gevinsten hjem

Dårlig it-sikkerhed skal kunne udløse store bøder til danske selskaber

Uanset om du er godt tilfreds med den arbejdsplads, du har i dag eller er aktivt jobsøgende, så har du formentlig en drømme-arbejdsplads eller to rumsterende i baghovedet.

En ny undersøgelse fra amerikanske Poachable, der hjælper it-virksomheder med at finde nye medarbejdere, giver et indblik i, hvilke virksomheder, der typisk er mest populære blandt lønmodtagerne.

Gamle kendinge som Microsoft, IBM og Cisco er fortsat populære, men virksomheder som Google, Apple og Amazon er alligevel en tand mere attraktive, skriver vores kolleger fra CIO.com om Poachables undersøgelse.

Læs også: Stor efterspørgsel på dygtige udviklere i Danmark: Her er 8 spændende job

Poachable hævder at have 25.000 it-jobkandidater i sin database – og det er folk, der ikke aktivt søger et job – og 200 it-virksomheder, der så betaler for at få adgang til viden om potentielle kandidater, når de har svært ved at skaffe de helt rigtige it-profiler via almindelige jobopslag. 

Her vil vi helst arbejde
CIO har bedt Poachable lave et udtræk over de mest eftertragtede it-virksomheder, der henvender sig til enterprise-segmentet, og resultatet lyder:

1. Microsoft
2. IBM
3. Salesforce.com
4. Oracle
5. Cisco
6. HP
7. Dell
8. VMware
9. SAP
10. EMC
11. Siemens
12. Citrix
13. Symantec

Samtidig laver har Poachable også hver måned en generel liste over, hvilke virksomheder de passivt jobsøgende helst vil arbejde for, hvis de skulle skifte job.

Den liste indeholder ikke overraskende også en række kendte it-virksomheder.

Læs også:

Stor efterspørgsel på dygtige udviklere i Danmark: Her er 8 spændende job

Det er Google selv, der har opdaget, at en kinesisk CA’er (certificate authority), MCS Holdings, udstedte uautoriserede sikkerhedscertifikater.

Det skriver Adam Langley, der er sikkerhedsansvarlig hos Google, i et blogindlæg.

Han forklarer, at Google med det samme gjorde China Internet Network Information Center (CNNIC) og alle de store browser-producenter opmærksomme på problemet og blokerede for MCS Holdings certifikater i Chrome-browseren.

Google skriver dog samtidig, at sagen er et alvorligt brud på hele CA-systemet, og at CNNIC har uddelegeret sin autorisation til en organisation, der ikke var egnet til det.

“Denne begivenhed understreger også endnu engang, at indsatsen for ‘certificate transparency’ er kritisk for at beskytte certifikaterne i fremtiden,” lyder det fra Google.

Sikkerhedscertifikaterne bruges til at kryptere webforbindelser og til at sikre, at de besøgende kan være sikre på, at det er den ægte hjemmeside, de besøger. Det ser brugerne konkret ved, at siden er markeret som en HTTPS-side. 

Google vurderer ikke, at der har fundet misbrug sted i forbindelse med de falske sikkerhedscertifikater, men sagen er med til at prikke til et i forvejen ømtåleligt diskussion om en grundlæggende sikkerhedsforanstaltning på nettet, nemlig sikkerhedscertifikaterne.  

Derfor kan der opstå problemer med sikkerheden
Sikkerhedsforskere fra universitetet i Amsterdam og i Delft har tidligere kritiseret markedsmodellen bag certifikaterne og HTTPS, der bruges når du eksempelvis går ind på netbanken, indberetter nye oplysninger til Skat, handler i en online-butik eller tilgår din webmail.

HTTPS har udviklet sig til en standard for sikker webbrowsing i forening med SSL/TLS, men sikkerhedsforskerne peger på, at selve HTTPS-autentificerings-modellen, hvor bestemte virksomheder udsteder certifikater, de såkaldte CA’er (certificate authority), halter.

Ivan Bjerre Damgård, der er professor ved Institut for Datalogi på Aarhus Universitet og forsker i kryptologi, har tidligere [url=forklaret til Computerworld, at hele CA-modellen står og falder med, om man kan have tillid til de virksomheder, der udsteder certifikaterne. 

“Man skal huske, at de her certificate authorities lever af at sælge tillid. De certificerer jo en nøgle som værende en, der hører til et bestemt firma eller en bestemt person. Den sikkerhed, du har for, at du taler med den rigtige på nettet, er kun så god, som den tillid du har til den pågældende CA.”

Ivan Bjerre Damgård forklarede, at HTTPS-systemet har visse udfordringer – blandt andet, at der mangler et fælles internationalt regelsæt for, hvordan man bliver CA.

“Alt det her har udviklet sig meget vildtvoksende forstået på den måde, at der jo aldrig rigtig har været nogle generelle regler på det her område, som man kunne referere til. Hvad skal en CA’er i virkeligheden gøre for at være god nok?”

“Systemet er udviklet ved knobskydning, og uden at nogen har tænkt over, hvad normerne egentlig skal være for, at en CA er god nok. Det burde vi blive enige om internationalt,” lød det fra kryptologi-forskeren fra Aarhus Universitet.

Læs også:

Vakler HTTPS-modellen så vi ikke kan stole på de “sikre” websider?

Sikkerhedsfolk i hårdt angreb mod HTTPS: Derfor er HTTPS alt for usikkert

For nyligt fik det amerikanske forbundspoliti FBI udvidet sine juridiske beføjelser til at kunne bryde ind i og sågar plante overvågnings-malware på computere stort set over alt på kloden.

Det sker som følge af, at det amerikanske justitsministerium har presset på for, at amerikanske dommere kan udstede dommerkendelser på computere, hvis placering er uden for deres jurisdiktion eller er ukendt, skriver National Journal.

Nu påstår anti-overvågningssitet Privacy International så i forbindelse med en retssag, at den britiske efterretningstjeneste GCHQ har samme beføjelser til at bryde ind i og aflytte enhver computer, telefon eller anden form for digital kommunikationsenhed på Jorden.

“Den britiske regering har indrømmet, at dens efterretningstjeneste har ret til at hacke ind i enhver personlig telefon, computer og kommunikationsnetværk og samtidig hævde, at de har juridisk bemyndigelse til at hacke alle i verden. Også selvom målet ikke er en trussel mod den nationale sikkerhed eller er mistænkt for kriminalitet,” hedder det på Privacy Internationals site.

Regering svarer igen
I den verbale slåskamp mellem den britiske regering og anti-overvågningsorganisationen har den britiske regering fremlagt et åbent svar på, hvad der egentlig gælder på spionfronten.

I dette svar fremgår det, at briterne kan komme til at indsamle indhold fra personer, som er helt uden for mistanke for at begå terror eller anden kriminalitet.

“Når det kommer til at gennemføre udstyrsovervågning rettet mod folk, der ikke er efterretningsmål i sig selv, bør det ikke anses som sikkerhedsindtræning, men snarere som ‘intenderet indtrængning’,” lyder det blandt andet i regeringens åbne svar.

“Enhver udstyrsovervågning af denne type bør overvejes omhyggeligt i forhold til nødvendigheden og proportionalitetskriterier,” fortsætter svaret.

Med disse udsagn in mente beskylder Privacy International efterretningstjenesten GCHQ for at underminere hele sikkerheden på internettet med sine indbrud mod SIM-kortselskabet Gemalto og platningen af Regin-malware hos det belgiske teleselskab Gemalto.

Ydmygende indrømmelser
Slåskampen mellem efterretningstjenester, regeringer og anti-overvågningsorganisationer som Privacy International er kommet i kølvandet på NSA-whistlebloweren Edward Snowdens afsløringer af især de amerikanske og britiske efterretningstjenesters arbejdsmetoder.

Den britiske regering har da også måtte sluge nogle ydmygelser, når den eksempelvis har måttet indrømme over for den britiske avis The Guardian, at der er foretaget aflytninger af advokater og deres libyske klienter i en periode på fem år.

“På baggrund af de seneste domsafsigelser anerkender vi at de politikker, der er vedtaget siden januar 2010, ikke har mødt kravene i den europæiske menneskerettigheds-kommission, hvilket navnlig gælder artikel 8 (retten til privatlivets fred, red.),” sagde en regeringstalsmand til The Guardian for nyligt.

Regeringstalsmanden tilføjede samtidig, at aflytningen ikke var en bevidst forseelse, da den britiske efterretningstjeneste altid har beskyttet sit kildemateriale med største omhu, og at overvågningen ikke fik juridiske konsekvenser i sagerne for advokater og klienter.

Snowden-afsløringerne har blandt andet også vist, at GCHQ har indsamlet tusindvis af webcam-billeder fra intetanende borgere, hvoraf flere af billederne var af ‘erotisk natur’, som du kan læse mere om her. 

Læs også:

Politichef: Hjælp os ved at installere overvågningskameraer i dit hjem

Google fortalte sidste år på virksomhedens I/O-konference, at Android skulle gøres klar til at blive benyttet i biler med et koncept kaldet Android Auto.

Nu er Google så klar med systemet.

I første omgang er Androud Auto kun kompatibelt med infotainmentsystemer fra det japanske selskab Pioneer, men der er masser af aftaler på vej med andre selskaber.

Læs også: Et hæsblæsende ræs: Her er it-kampen om fremtidens biler

På den officielle Androis Auto-side kan du finde en liste over de bilmærker, der er på vej til at understøtte Android-systemet.

Android Auto er et system, der bringer forskellige Google-applikationer som eksempelvis Google Now, Google Maps og Google Play Music ind i bilen via din smartphone.

Applikationerne bliver gjort tilgængelige gennem bilens trykfølsomme skærm.

Ved at koble telefonen til bilens infotainmentsystem kan de forskellige applikationer anvendes via systemets berøringsfølsomme skærm eller via Google Voice, der kan genkende kommandoer eller læse beskeder op.

Tanken er, at bilisten på den måde kan benytte funktionerne uden at flytte hænderne fra rattet eller øjnene fra vejbanen.

Systemet er designet til at holde chaufføren opdateret med information under kørslen.

Android Auto-applikationerne hentes til telefonen via Androids onlinebutik, og brugergrænsefladen er så tilpasset til bilens skærmsystem.

Når telefonen er koblet til bilen, sætter mobilen sig i Auto-mode og forsyner bilen med data og grafik.

Google samarbejder med en stribe bilproducenter om lanceringen af Android Auto, og systemet vil dukke op i nye bilmodeller fra eksempelvis Volkswagen, Audi, Ford, Honda, Mazda, Nissan og Volvo.

I videoen herunder kan du se, hvordan systemet fungerer i praksis.

Trods øget fokus på it-sikkerhed er der markant forskel på, hvor god en forretning det er at pakke virksomheders it-systemer ind i sikkerhedsløsninger

Computerworld har udvalgt en stribe it-leverandører fra vores Brancheguide, som har sikkerhed som en større eller mindre del af deres forretning. Den helt uvidenskabelige udvælgelse tegner et billede af, at it-firmaer, der leverer sikkerhed som en del af en mere eller mindre bred pakke af hardware, software og services, også er de firmaer, der leverer de pæneste regnskaber.

Mere specialiserede sikkerhedshuse ser omvendt ud til at have svært ved at forvandle kundernes stigende ønske om at sikre data og infrastruktur mod uvedkommende gæst til mere end beskedne plusser på bundlinien – hvis de da ikke ligefrem kører med underskud. (se oversigten nedenfor)

Blandt sikkerhedsleverandørerne er der enighed om, at de seneste par års mange eksempler på hackeres tyveri af kundedata, angreb med ransomware og ikke mindst Edward Snowdens afsløringer af massiv aflytning og overvågning, der har gjort it-sikkerhed til et af de hotteste emner hos virksomhedernes it-chefer.

Data, der kommer i de forkerte hænder, eller angreb, der lukker for adgangen til virksomhedernes data, kan koste dyrt – både i kolde kontanter og anseelse – og kan potentielt være dødbringende for en virksomhed.

Desuden er EU på vej med regler, som kan udløse store bøder, hvis der ikke er styr på it-sikkerheden.

Alt i alt har det givet hele markedet for sikkerhedsprodukter og -løsninger et voldsomt boost.

Ifølge analysefirmaet IDC nåede det samlede danske sikkerhedsmarked i 2014 op 3,17 milliarder kroner, og i år regner IDC med en vækst på op mod otte procent svarende til 3,41 milliarder kroner.

Men for en del leverandører kniber det altså med at omsætte den stigende bevidsthed om sikkerhed Og mange sikkerhedsfirmaer oplever, at der er masser af forretning og dermed penge at hente i sikkerhedsmarkedet.

“Over det sidste års tid er der sket et voldsomt skred i virksomhedernes bevidsthed om, at sikkerhed er vigtigt, og hvilken risiko de løber ved ikke at have styr på sikkerheden.”

“Derfor er der også en stor villighed til at investere især blandt store og mellemstore virksomheder,” lyder det fra Peter Colsted, direktør hos den danske sikkerhedsproducent Secunia, der over de sidste år har omlagt hele sin salgsmodel med det klare formål at forvandle kundernes interesse for it-sikkerhed til kolde kontanter.

Peter Colsted nævner server-sårbarheden Heartbleed, som er det første eksempel på, at en specifik sårbarhed har fået sit eget navn – en ære, som ellers har været forbeholdt tropiske orkaner eller andre naturkatastrofer.

Peter Colsted, CEO, Secunia.

Gør sikkerheden usynlig
To af successerne på sikkerhedsområdet er firmaer som Conscia og Axcess, som begge leverer sikkerhed som en vigtig del af de netværksløsninger, som ellers er deres kerneforretning.

Direktør i Conscia, Mogens Bransholm, siger, at udfordringen ofte er at finde den rigtige balance mellem brugervenlighed og sikkerhed i de færdige løsninger. Derfor står man stærkere over for kunden, hvis man kan levere løsninger, der så at sige er født med indbygget sikkerhed.

“Kunderne vil hellere købe en løsning, hvor sikkerhed er en integreret del af løsningen. Kunderne har et stort behov for et højt sikkerhedsniveau, men det, der virkelig rykker, er, hvis man kan gøre sikkerhed nemt eller stort set usynlig for brugerne,” siger Mogens Bransholm.

Mogens Bransholm, CEO, Conscia

Den analyse deles af senioranalytiker i IDC, Anders Elbak,

“For kunderne er sikkerhed et nødvendigt onde, om det så drejer sig om en netværksløsning, nogle bestemte aplikationer eller mobility-løsninger. Det er meget få kunder, der siger: “Nu skal vi søreme ud og købe noget rigtig god sikkerhed!” lyder det fra Anders Elbak.

“Det er noget andet, der driver investeringen, og så vil man som kunden gerne have, at den leverandør, der leverer ens netværk, også står for sikkerhedsløsningen. Hvis der både er en sikkerhedsleverandør og en netværksleverandør, hvem skal man så komme efter, hvis der er et hul i sikkerheden,” siger han.

Markedet er modnet
I landets største sikkerhedshus Dubex satser man på dybe og specialiserede kompetencer på sikkerhedsområdet. Selskabet har i nogle år kæmpet med røde tal på bundlinien. For at ændre på det har ejerne af Dubex hentet en ny direktør ind i form af Dennis Hindsberg, der kommer fra et job som nordisk chef hos amerikanske Verizon

Ligesom sine to direktørkolleger er han er han enig i, at markedet for it-sikkerhed er modnet betydeligt de senere år.

“Markedsudviklingen er måske ikke gået så stærkt, som mange havde ventet, men i Dubex har vi en klar forventning om, at vi i 2015 får en stærk vækst og et forbedret afkast,” siger Dennis Hindsberg.

Men han er ikke enig i, at specialisering i sig selv står i vejen for evnen til at tjene penge på it-sikkerhed.
Så han har en noget anden holdning til den rolle man som sikkerhedsleverandør skal spille i samarbejdet med kunderne.

Dennis Hindsberg, CEO, Dubex.

“Som rådgiver ser jeg sådan på det, at det ikke er godt for kunden, at de, der skal have fokus på sikkerhed, er de samme folk, som står for at levere netværk eller andre ydelser. Vejen frem er at bruge en leverandør, der har et fokus på sikkerhed og kan rådgive hele vejen fra forretningslaget, over sikkerhedsprocesser og teknologilaget,” siger Dennis Hindsberg.

Dubex har de seneste par år investeret i stærkere kompetencer, ligesom man har omlagt forretningen fra at fokusere på produktsalg til salg af services og konsulentydelser. Det giver længerevarende aftaler med kunderne, hvor indtjeningen fordeles over en længere periode.

Producenter opruster på sikkerhed
It-kundernes øgede fokus på sikkerhed har også sat sig spor hos de globale it-producenter.

Både Peter Colsted fra Secunia og Conscias Mogens Bransholm peger på, at mange sikkerhedsfunktioner i stigende omfang bliver bygget ind i de produkter og løsninger, som producenterne har liggende klar på butikshylderne.

De store globale it-producenter køber sig til teknologi, som kan gøre deres løsninger indenfor infrastruktur, cloud og databaser mere sikre.

“Der er ingen tvivl om, at alle de store producenter tager sikkerhed enormt seriøst. Jeg tror ikke, du kan finde mange it-infrastruktur-producenter, som ikke har købt et sikkerhedsfirma indenfor det seneste halvandet år.”

“Så mange producenter har en masse sikkerhedsfeatures bygget ind i deres produkter, som kunderne på den måde får som en del af den løsning, de køber,” siger Mogens Bransholm og peger som eksempel på sin egen hovedproducent Cisco, som i 2013 købte sikkerhedsfirmaet Sourcefire for 15 milliarder kroner.”

Peter Colsted peger på den samme tendens.

“På producentsiden ser vi en tendens til, at man opbygger sine sikkerhedsprodukter som softwaresuiter med et mere eller mindre komplet udvalg af funktionaliteter. Vi står for det modsatte med vores eget nicheorienterede stand alone-produkt hvor vi pt. ser en markant vækst i omsætningen.”

“Men det er en tendens, vi også kigger på. Indtil videre står vi på et fundament af specialisering, hvor vi også kan levere ind til de suiteløsninger, som andre bringer til markedet, og det oplever vi en stigende interesse for,” lyder det fra Peter Colsted.

Læs også:

Her er de 46 største (og værste) sikkerhedshistorier i 2014

Dårlig it-sikkerhed skal kunne udløse store bøder til danske selskaber

Sikkerhedsbombe: Bærbar teknologi kan smadre virksomhedens sikkerhed