Blog: Tid til selvransagelse rundt omkring i de danske virksomheder og offentlige institutioner?

Det er jo altid rart at kunne pege fingre ad andre, men mon ikke den seneste tids offentlige opmærksomhed omkring de aktuelle alvorlige sikkerhedshændelser i Danmark (CSC, NSA, Nets/IBM, RKI/Experian osv.), bør udmunde i en grundig omgang introspektion rundt omkring i de danske organisationer?

Er du blandt dem, som stille sidder og tænker: »godt det ikke var os, der ufrivilligt fik løftet på dynen«? Du er med garanti ikke alene. Så lad os se, om vi kan vende det hele til noget positivt.

Man har vel lov til at håbe?

Der kunne måske kaldes til en tiltrængt timeout i de danske organisationer, som passende kan anvendes til en indgående analyse af interne politikker, procedurer, risikovurderinger, system- og dataklassificeringer, prioriteringer og kompetencer, samt en vurdering af den reelle effektivitet af de implementerede og planlagte sikkerhedsmekanismer og -systemer?

Betragt det som en anbefaling. Der er en hvis sandsynlighed for, at der er plads til forbedring.

Men kalder den øverste ledelse mon selv til en sådan timeout? Og understøtter de processen omkring et fornyet fokus på IT-sikkerhed i deres organisation? Måske er det allerede på dagsordenen? Det er under alle omstændigheder en absolut nødvendighed – og man har jo lov at håbe, at de nu har lugtet lunten (og set hvor meget det kan koste at blive ramt).

En væsentlig grund til, at Microsofts Trustworthy Computing initiativ var så forholdsvis effektivt, kan tilskrives, at beslutningen og initiativet kom helt fra toppen. Og det var ikke bare varm luft og tomme løfter. Der fulgte penge med – direkte fra Bill Gates kontor. Det var næppe billigt at lægge strategien om og kode centrale komponenter op fra bunden etc., men man må i ny og næ bide i det sure æble og tage konsekvensen af fortidens forsømmelser.

Jeg er overbevist om, at det var en god investering, som for længst har tjent sig hjem.

Kan man bare tørre aben af på IT?

IT-sikkerhed er langt fra blot en opgave for IT-afdelingen. Eftersom kæden ikke er stærkere end det svageste led, så hjælper det heller ikke meget, at en enkelt afdeling kæmper for at implementere et givent sikkerhedsniveau, mens de øvrige afdelinger negligerer og nedprioriterer opgaven. Somme tider ønsker de måske ligefrem at bekæmpe et øget sikkerhedsniveau, idet det kan have betydning for eksempelvis budget og brugervenlighed.

Sikkerhed er et bredt og fælles initiativ – ellers er projektet på forhånd dømt til at fejle bravt. Det er en kultur, der skal opdyrkes og gennemsyre hele organisationen. Sikkerhed skal helst gå hen og blive naturlig praksis; ikke noget man bare forsøger at “hælde på” til sidst.

Man må forvente at de, som i sidste ende sidder med det øverste ansvar, for alvor begynder at tage IT-sikkerhed alvorligt, og give organisationen tid og ressourcer til at se sig selv efter i sømmene – og måske oven i købet få eksterne specialister til at give en uafhængig og objektiv vurdering. Det er, har jeg ladet mig fortælle, ikke altid, at vi er bedst til at se vores egne fejl og mangler.

Sikkerhed kræver i langt de fleste tilfælde ekstra tid og ressourcer samt et højt kompetenceniveau. Prioriteringen af disse elementer er selvsagt en fin balancegang, der også må holdes op imod organisationens øvrige risici og økonomi, men langsomt er IT blevet et uundværligt værktøj i hverdagen og det er som om, at vi undervejs har forsømt at opjustere kravene til sikkerheden i og omkring løsningen – og det tilhørende budget. Desto mere værdi vi hælder ind i et IT-system, desto større krav må vi stille til dets beskyttelse.

Der er løbende stillet nye og uddybende krav til funktionalitet, men sjældent “detaljer” omkring sikkerhed. Jo, »det skal i øvrigt også være sikkert«, indskydes det måske undervejs, men hvad betyder det egentlig for den givne organisation? Det finder man eksempelvis sjældent “detaljer” om i kravspecifikationer og udbud. Og hvordan ser vores outsourcing- og leverandørkontrakter ud i den forbindelse? Og hvad stiller vi af konkrete sikkerhedskrav til diverse hosting- og cloud-tjenester?

Vi er nogen, der ser gevaldigt frem til den dag, hvor det bliver almindelig praksis som minimum at ligestille “funktionalitet” og “sikkerhed”, også helt fra øverste ledelsesniveau.

Det er ledelsens opgave at skabe tid og rum for den nødvendige fordybelse i hverdagen, således at IT-sikkerhed kan få tilstrækkeligt fokus og rodfæste i hele organisationen. Der skal skabes grobund for en sund sikkerhedskultur.

Hvem står for skud?

Mange virksomheder og offentlige institutioner synes fortsat at dyrke en noget uheldig tradition, hvor det er relativt konsekvensfrit for den øverste ledelse, når organisationen ikke har udvist rettidig omhu omkring implementeringen af IT-sikkerhed.

Man har traditionelt prikket en IT-medarbejder, og hvis bølgerne gik højt måske også en IT-chef, på skulderen, når sikkerheden har været kompromitteret, men er det nu også dem, som nødvendigvis bør stå for skud?

I øvrigt sker der oftest kun noget i den dur, hvis en alvorlig sikkerhedsbrist bliver offentligt kendt – og så er en fyring mest af alt et signal udadtil. Jo, vi kan skam være handlekraftige, men følger budgettet så også med til den der tager over og skal sikre en gennemgribende forbedring? Tog man fat om roden eller fjernede man kun et symptom på en mere alvorlig sygdom i organisationen?

En ny tendens er måske ved at se dagens lys. Ser man på udviklingen i Target sagen fra USA, så har også CEO’en nu måttet tage skraldet, efter at CIO’en var røget nogle måneder forinden.

Nu kan vi kun gisne om de faktiske omstændigheder, men spørgsmålet er, om der fra den øverste ledelse har været udvist rettidig omhu omkring fokus på IT-sikkerheden og opfølgning på sikkerhedshændelser. Noget tyder på, at det ikke har været tilfældet. Én ting var den ringe håndtering af sagen i forhold til offentligheden, en anden hvorvidt man har levet op til sit ansvar.

Har man eksempelvis taget det alvorligt, når CIO’en bankede på direktionens dør og bad om penge til et nødvendigt sikkerhedstiltag? Røg whistleblowernes insisterende og pligtopfyldende fløjten bare ind ad det ene øre og ud af det andet? Har man for mange gange afvist forslag til forbedringer af sikkerheden, så medarbejderne var demotiverede og ikke længere gad ulejlige hverken sig selv eller ledelsen med ellers relevante sikkerhedsmæssige problemstillinger? Eller blev der faktisk sat de forventelige tiltag i værk – og i rette tid?

Udvises der rettidig omhu?

Man må nogle gange se tingene udefra og spørge sig selv, om det kan påstås, at virksomhedens generelle praksis vidner om rettidig omhu i forhold til prioriteringen af IT-sikkerhed og udøvelsen af »god IT skik«.

A.P. Møllers berømte motto om »rettidig omhu«, der i sin fulde ordlyd hedder »Intet tab skal os ramme, som ved rettidig omhu kunne afværges«, er særdeles relevant i denne sammenhæng. Indenfor IT-sikkerhed handler det i særdeleshed om at gøre sit ypperste – alt hvad der står i ens magt – for at forebygge tab.

Og hvilke tab er det så, vi kan forvente at blive udsat for, i større eller mindre grad, når det kommer til IT-sikkerhed?

Nedenstående er næppe en komplet liste, men skulle give en idé om, hvad der er på spil.

• Tab af tillid – blandt investorer, kunder, samarbejdspartnere og medarbejdere
• Tab af penge – fald i aktiekurser eller direkte tyveri
• Tab af kritisk viden – kritiske data kan blive kopieret og misbrugt
• Tab af ansigt – dårlig omtale i medier og blandt kunder
• Tab af tilgængelighed – et angreb kan lukke for systemer i lang tid
• Tab af retssager – juridiske konsekvenser i form af sagsanlæg
• Tab af udstyr – udstyr der falder i “fjendens” hænder
• Tab af tid – genetablering af systemer og data
• Tab af medarbejdere – dygtige og pligtopfyldende folk, der ikke bare vil se til

Så hvilke af disse ting kan din organisation tåle at miste – og i hvilken grad?

Tornen i eget øje

Lad os se lidt på os selv. Har vi nu garderet os tilstrækkeligt imod relevante risici, så vi minimerer sandsynligheden for at lide nævnte tab?
Hvordan står det egentlig til i din egen virksomhed eller organisation? Lad os prøve med nogle basale spørgsmål:

• Bliver alle systemer og applikationer opdateret, så snart det er relevant for sikkerheden?
• Har brugerne (herunder dig selv) kun rettigheder til et absolut minimum af systemer og data, herunder personfølsomme oplysninger?
• Logges alle relevante hændelser (herunder administratorernes systemhandlinger) og efterses disse?
• Er der implementeret en stram og velfungerende change management proces?
• Er alle data og systemer korrekt klassificeret og prioriteret?
• Hvordan ser beredskabsplanen ud og har man gennemført øvelser i denne?
• Hvordan er brugernes generelle “awareness-level” i forhold til IT-sikkerhed?
• Er din infrastruktur og dens systemer tilstrækkeligt segmenteret?
• Foretages der jævnlige penetration tests – både eksternt og internt i infrastrukturen?
• Har man implementeret 2-delt administration, når det kommer til essentielle systemer og relaterede administrative opgaver?
• Hvornår sendte man sidst de relevante medarbejdere på et kompetencefremmende kursus eller en konference, der omhandlede IT-sikkerhed?
• Er din virksomheds vigtigste dokumenter og e-mail kommunikation beskyttet af kryptering?

Nu når du ved, at det måske nok halter på visse områder, har du så meddelt det til de rette personer i virksomheden, så de har haft mulighed for at reagere?

Og hvis det nu er dit ansvar, ville du så kunne forsvare dig overfor offentligheden (eller i en eventuel retssag for den sags skyld) og med god samvittighed påstå, at du har udvist rettidig omhu, såfremt det en dag måtte komme for dagens lys, at din organisation har væsentlige huller i sikkerheden?

En afsluttende bemærkning

Nærværende indlæg skal bestemt ikke læses som et forsvar for de firmaer, hvis brister nu er udsat for offentlighedens kritik, eller en underkendelse af det signifikante i disse hændelser, men alene som en opfordring til, at vi alle lærer af det, som andre nu er udsat for og lider under.

Godt det ikke var os!