Weekly News

Tag nu ansvaret for sikkerheden

Virksomhederne er mere optagede af, hvor lang tid det tager at få et produkt på markedet end de er af, hvor lang tid det tager at hacke produktet, men leverandørerne bør tage et ansvar for cybersikkerheden.

Herhjemme glemmer vi sent nytårsaften, hvor dronningens tale gik i sort, fordi en hacker havde været på spil og kastede grus i champagnen for seerne, der havde glædet sig til den traditionsrige tale. I den mere alvorlige ende fik 500.000 hjertepatienter besked fra amerikanske FDA (Food and Drug Administration) om sikkerhedsproblemer med deres pacemakere, som muligvis var sårbare over for hackere.

– Eksemplet med pacemakeren er blot et af mange på, hvor lemfældigt man omgås sikkerheden i produkter, der kan hackes. Det virker fuldstændigt vanvittigt, at det var frivilligt, om patienterne ville have tjekket pacemakeren eller ej, fortæller Jaya Baloo, der er Chief Information Security Officer hos KPN Telecom og en af talerne på SingularityU i Operaen. Jaya Baloo uddyber:

– Vi har brug for, at mange flere tager et ansvar for cybersikkerheden både fra national og international side. Internettet er jo skabt som en åben kilde, men det er en sårbar tilgang, og vi lærer ikke noget af fortiden. De ti største udfordringer, vi havde med sikkerheden, da internettet kom frem, går igen, når man ser på udfordringerne med Internet of Things.

Udfordringerne opstår bl.a. fordi flere og flere ting med opkobling til nettet rykker ind i hjemmene, og flere elektroniske services vinder frem, f.eks. i den finansielle sektor. Danmarks Nationalbank foretog en undersøgelse af IT-sikkerhedsniveauet hos de 15 største danske banker. De tre hovedudfordringer er: Stor forskel på digital parathed blandt danske banker, mangel på forankring af IT-sikkerhed i topledelsen, og at medarbejdere grundlæggende mangler IT-sikkerhedsuddannelse.

Hjemme på køkkenbordet, kan blenderen gå online og fortælle på twitter, hvor tit man kværner en sund rødbedesaft. Men man kan jo spørge sig selv, om det absolut er nødvendigt at indvie hele verden i ens forbrug af rødbeder? En legetøjsdukke blev hacket, så børnene blev overvåget og hackerne kunne bestemme, hvad dukken ytrede i børnehøjde. Det er ikke kun produkter, der giver udfordringer.

– Undskyldningen fra producenter og leverandører om, at produkterne eller servicen aldrig var tænkt til at ende i hænderne på en hacker, holder bare ikke. Vi ender meget hurtigt i en gråzone, hvor der ikke stilles krav til leverandørerne om sikkerheden, men hvor der hele tiden sker brist, siger Jaya Baloo.

Det virker måske ikke umiddelbart som en trussel, at hackere kan overtage brødristeren hjemme på køkkenbordet, men tænker man i det lidt større perspektiv, hvad så med sikkerheden i energiforsyningskæderne, i den finansielle sektor, og hvad med vores nye jagerfly og sikkerheden i førerløse biler?

Jaya Baloo efterlyser mere fokus på cybersikkerhed allerede i uddannelsessystemerne for at dæmme op for udfordringerne:

– I dag er der i Europa generelt alt for lidt om cybersikkerhed på skemaerne i uddannelsessystemerne. Det hjælper jo ikke, at vi får unge uddannede ud, der kun ved en masse om kryptering, men intet om sikkerhed.

Hos det hollandske teleselskab KPN, hvor Jaya Baloo arbejder, er der ansat hackere til både proaktivt og reaktivt at se, om de kan ødelægge systemerne, så teleselskabet hele tiden er på forkant og får feedback i hele loopet.

– Cybersikkerheden skal ikke tænkes ind i en silo, den skal bredes ud og gøres synlig i hele organisationen, fortæller Jaya Baloo, der fremhæver historien om lækket i det svenske transportministerium.

I korte træk handler historien om, hvordan den svenske stat ville udlicitere driften af et IT-system. I den proces blev personfølsomme oplysninger behandlet skødesløst, bestemmelser i den svenske datalov tilsidesat, og de følsomme data om svenske borgere og svensk infrastruktur blev lækket.

– Hvis det bare var et enkelt kontokort, der var blevet lækket, kunne man jo hurtigt spærre det, men her var tale om nationale hemmeligheder og beskyttede identiteter, som nu er tilgængelige og vil forfølge de ramte resten af livet. Bøden for lækket blev på 8.500 euro til en af de ansvarlige, hvilket jo er absurd, når man tænker på alle de vitale informationer, der slap ud, fortæller Jaya Baloo, der opfordrer producenter og leverandører til at tage cybersikkerheden alvorligt og til at tage et ansvar for den.

Med de ord håber vi alle, at dronningen dukker op på skærmen nytårsaften.

Fakta

Det anerkendte forsikringsgigant Lloyd’s of London vurderer i en ny rapport, at et alvorligt, globalt cyberangreb kan udløse omkostninger på op til 120 mia. dollar, 782 mia. kr.

Del

Journalist

Pia Bundgaard Hansen

Andre artikler