Der er ikke meget i den anonyme lavloftede gang, som afslører, at kontorerne lige til venstre er hjemsted for KMD’s it-sikkerhedscenter.
Ifølge KMD er sikkerhedscenteret Danmarks mest moderne og avancerede.
KMD kalder det for Security Analytics Center eller bare SAC´en.
Godt nok har jeg, med KMDs årvågne pressechef et par skridt foran, lige passeret en sikkerhedssluse, hvor mit gæstekort skal godkendes af maskinen.
Men med glasdøre, der slutter i hoftehøjde, er det sandsynligvis kun uvedkommende med hofte- eller rygproblemer, der for alvor ville blive udfordret af slusen.
Men det handler jo altså da også om it-sikkerhed, som koncernsikkerhedschef Rasmus Theede for et par år siden blev hyret til at levere.
Ingen ridser i lakken
For i modsætningen til Nets, CSC og flere andre store virksomheder, som opbevarer eller behandler personfølsomme oplysninger for det offentlige – og dermed dig og mig – sÃ¥ er KMD tilsyneladende sluppet igennem uden ridser i lakken eller huller i sikkerheden.
Og det er ikke et resultat, som er kommet af sig selv, understreger Rasmus Theede, da vi sætter os ned omkring mødebordet i hans lille kontor i hjertet af KMD’s it-sikkerhedscenter
“Jeg blev spurgt af KMD, hvad det ville koste at bygge en løsning op, som byggede pÃ¥ mine erfaringer fra Forsvaret, A.P. Møller-Maersk og NNIT og som var ‘second-to-none’. Det endte pÃ¥ et to-cifret millionbeløb. SÃ¥ jeg har været et dyrt bekendtskab for KMD, men jeg tænker ogsÃ¥, at selskabet har fÃ¥et en del ud af det.”
Et hurtigt kig rundt i de lavloftede og lidt anonyme lokaler bekræfter, at pengene helt sikkert ikke er brugt på designermøbler.
I stedet sidder Rasmus Theede på et forholdsvist ydmygt kontor midt mellem de to sektioner, som udgør af KMDs sikkerhedscenter.
I den ene sektion sidder en række travle medarbejdere med headset og sikrer, at kun folk, som er godkendt, fÃ¥r adgang til følsomme informationer.Â
Samtidig holder medarbejderne øje med indikationer, som kan vise, at der er et hul i sikkerheden.Â
Det kan være hvis en bruger, som normalt ikke rejser, pludselig logger ind fra et andet land. Eller at en bruger logger ind fra København og 10 minutter senere fra Århus.
Det lyder måske basalt, men det er ifølge Rasmus Theede også pointen:
Annonce:
“Der er ingen grund til at købe en masse teknologi, hvis ikke du sørger for at skifte dine passwords. Min erfaring er desuden, at langt de fleste angreb vi ser, ikke har noget med avanceret teknologi at gøre. Det er fordi, folk glemmer at patche. Vi ser stadig angreb som SQL Slammer fra 2001. Det er en 13-14 Ã¥r gammel patch, som stadig ikke er lagt pÃ¥ noglemaskiner et sted derude.”
Samtidig understreger sikkerhedschefen, at folk i it-branchen sjældent i sig selv udgør at sikkerhedsproblem:
“PÃ¥ trods af tys-tys sagen [om de lækkede Dankort-oplysninger fra Nets til Se & hør, red.] ser vi ekstremt fÃ¥ datatab, som er forÃ¥rsaget af folk i it-branchen. Det er under en procent af tab af data. Men i det offentlige er datatab forÃ¥rsaget af menneskelige fejl i mÃ¥ske 25-30 procent af tilfældene – og fejlene sker nok primært grundet manglende kendskab til procedurer, systemunderstøttelse og lignende.”
Udover at beskytte KMD mod angreb stÃ¥r sikkerhedscenteret ogsÃ¥ for KMD’s interne revision af sikkerheden og uddannelsen i sikkerhed i hele koncernen.
“Selv vores direktion er blevet undervist i sikkerhed og skulle bestÃ¥ en prøve. Og det virker. For nylig havde vi et mÃ¥lrettet angreb mod ni personer med en falsk pakke-mail. Ingen klikkede pÃ¥ den.
Netop balancen mellem sikkerhed og en agil forretning er vigtig at have sig for øje, understreger Rasmus Theede, som refererer til KMD’s administrerende direktør, Eva Berneke.
“I stedet for at blokere, sÃ¥ uddanner vi og løfter folk. Vi siger her, at forretning er guld – og sikkerhed følger efter. ForstÃ¥et pÃ¥ den mÃ¥de at sikkerhed er til for at beskytte forretningen, for ellers tjener vi ingen penge. Og bliver det hele for rigidt, opstÃ¥r der skygge-it som modsvar.”
Adskilt fra drift og salg
Selve KMD’s sikkerhedscenter er fuldstændigt adskilt fra driften af KMD’s øvrige systemer.
Det samme er salget af centerets ydelser og de mere drift-orienterede sikkerhedsopgaver som for eksempel vedligeholdelsen af antivirus.
MÃ¥lrettede og sofistikerede angreb kommer derimod ind til den anden del af KMD’s sikkerhedscenter – der, hvor sikkerhedsfolkene for alvor kommer under motorhjelmen pÃ¥ angrebene.
Rent sikkerhedsmæssigt har KMD over 20 forskellige lag til at beskytte koncernens mange løsninger. Tommelfingerreglen er, at hver løsning skal beskyttes af minimum tre aktive og virkende lag, før Rasmus Theede er helt tilfreds.
Annonce:
Der er ogsÃ¥ derfor at afdelingen pÃ¥ faste ugentlige møder – og nÃ¥r nye trusler opstÃ¥r akut – mødes for at sikre, at der altid er tre lag af beskyttelse. Og at lagene virker.
Den viden kommer bÃ¥de fra erfaringen fra de – dyre – eksperter, som KMD har ansat i afdelingen og fra den viden, som sikkerhedsfolkene hele tiden fÃ¥r fra de aktive angreb.
“Vi fanger 20-30 angreb om dagen, som vi inspicerer i en sandbox”, svarer Rasmus Theede pÃ¥ spørgsmÃ¥let om, hvor travlt centeret egentligt har.
Han understreger, at netop fraværet af drift gør, at der kan fokuseres på sikkerhed og læring.
“Historisk set bruger man 80 procent af sin tid pÃ¥ forsvar. Vi bruger nok en tredjedel pÃ¥ forsvar, en tredjedel pÃ¥ at kigge i log og en tredjedel pÃ¥ at forbedre vores kontroller – der hvor vi lærer af hvad der sker. “
Og opgaverne – og truslerne – er meget varierende og gÃ¥r fra at afvise angreb fra hvad Rasmus Theede lidt hÃ¥nligt kalder script kiddies og wannabees til at ændre den mÃ¥de, som KMD tilgÃ¥r selskabets mainframes pÃ¥.
Det er noget, som KMD endte med at mÃ¥tte etablere uden IBM. og som har kostet hvad Rasmus Theede blot kalder “et millionbeløb.”Â
Men det er samtidig penge, som i lyset af CSC-sagen, hvor netop en ældre mainframe blev tappet for personfølsomme oplysninger, nok er givet godt ud.
Annonce:
Har Rasmus Theede et motto, så må det være, at sikkerhed koster.
Det er også sandsynligvis derfor, at der ifølge Rasmus Theede ikke findes et tilsvarende sikkerhedscenter i Danmark.
Og det faktum er en del af appellen, når KMD skal sælge sikkerhedscenterets ydelse til nye og eksisterende KMD-kunder.
Samtidig understreger koncernsikkerhedschefen, at lønniveauet på sikkerhedsområdet typisk er i et sådan leje, at kommuner og mange mindre virksomhed ikke altid kan følge med.
Ud over at have penge i banken, hvad skal man som virksomhed eller organisation så egentlig se efter, når man ansætter interne folk eller leder efter en leverandør?
“Erfaring tæller inden for det her omrÃ¥de”, understreger Rasmus Theede.
“Det er svært at finde kompetencerne til det her. Vi har heller ikke kunne finde et produkt, som kan alt det, som vi gerne vil. Der er man nødt til at stykke noget sammen af flere. Der er ingen one size fits alle. Vi siger heller ikke, at vi er helt sikre. Og hvis der er en leverandør som siger, at han er 100 procent sikker, sÃ¥ mener jeg, at man skal finde en anden,” siger Rasmus Theede.
Læs ogsÃ¥: Fem rÃ¥d – Det skal du vide som it- og sikkerhedsansvarlig i virksomheden