Ovenpå afsløringer af velkoordinerede og yderst professionelt udførte hackerangreb på store danske virksomheder som Terma og Novozymes, har Folketinget fået øjnene op for hackingtruslen og har allerede nu foreslået tvungen meldepligt ved hackerangreb, som et modtræk, der skal få hackingens omfang frem i lyset.
Men IT-Branchen advarer om, at Folketinget farer for hurtigt frem, når de vil tvinge hackede virksomheder til at stå offentligt frem.
»En gabestok, der udstiller de ramte virksomheder, tjener intet formål. Det vigtigste er at få indblik i angrebsmetoderne, så det kan bruges til at styrke andre virksomheders forsvar. Det kan sagtens gøres anonymt, « siger chefkonsulent i IT-Branchen, Bjørn Borre.
Til det formål mener IT-Branchens chefkonsulent, at der skal oprettes et nationalt videncenter for sikkerhed og cyberspionage. Så kan man som virksomhed anonymt indrapportere hændelser og få hjælp til at udrede angrebet, hvis man er i tvivl om dets omfang og natur (Novozymes opdagede først angrebet, da en ekstern konsulent kom på besøg.)
En obligatorisk meldepligt bør ifølge IT-Branchen kun gælde alvorlige hackerangreb, mens der kan være værdi i at samle viden om også mindre angreb på frivillig basis.
Om et angreb er alvorligt nok til at blive anmeldt, vil man typisk kunne se ud fra den data, der bliver hacket. Og kan man ikke det, kan retningslinjerne hjælpe til med at afgøre, hvad der er alvorligt nok, mener chefkonsulenten.
»Det som vi som sikkerhedsbranche sammen med politiet kan hjælpe med, er at komme med nogle gode råd og anbefalinger; hvilke data hører til i den alvorlige ende, og hvilke data der ikke gør,« siger han og nævner portskanninger som et eksempel på noget, der ikke er værd at indrapportere, og som sker hver dag.
I forhold til anonym indrapportering vil det dog stadig være god forretningsskik, der får en eksempelvis en bank til at orientere sine kunder om et potentielt tab af personlige oplysninger, påpeger chefkonsulenten.
Leave a Reply