Produkter, services, forretningsmodeller og aktiver gøres i stigende grad digitale. I takt med denne digitalisering flyttes kriminalitet, eks. tyveri, bedrageri, spionage og sabotage, i stigende grad fra den fysiske verden til den digitale verden. I praksis halter vi dog efter med at implementere værdiskabende it-sikkerhed og sikre virksomheder og offentlige myndigheder mod denne form for kriminalitet.

For nylig blev en række institutioner og virksomheder rundt om i verden – primært Europa – ramt af det seneste blandt mange hackerangreb. Dette skete i et såkaldt (muligt fingeret) ransomware attack, hvor svagheder i it-sikkerheden udnyttes til at kryptere harddiske, således at disse ikke længere kan tilgås af den pågældende virksomhed. Systemet lagde bl.a. hele Mærsks gennemdigitaliserede containerterminal i Rotterdam ned for en længere periode.

Også offentlige myndigheder i Danmark har i stigende grad været udsat for lignende angreb de seneste år.

Når vi registrerer en sikkerhedshændelse, reagerer vi typisk ud fra to spørgsmål:

“Hvem er ansvarlig og hvordan kunne det ske?”

Først lang tid efter at sikkerhedshændelsen er indtruffet begynder vi langsomt at reflektere over konsekvenserne i form af produktionstab, tab af aktiver og renommé mv. Med andre ord ’kører vi med bind for øjnene’ indtil uheldet er ude, hvorefter vi gør skadernes omfang op.

Om under et år træder EU’s Databeskyttelsesforordning i kraft. Dette burde give anledning til en anden tilgang til it-sikkerhed. Men lidt polemisk spår jeg, at vi blot vil opleve mere af det samme. Persondataforordningen ændrer ikke i sig selv på, hvorledes vi forstår it-sikkerhed, på trods af at det netop er den erkendelse, som er nødvendig før it-sikkerhed slipper for sin stedmoderlige behandling.

Hovedfokus for værdiskabende it-sikkerhed bør være at beskytte din virksomhed og din forretning. Med de øgede krav i EU’s Databeskyttelsesforordning, er der en reel risiko for, at hovedfokus for virksomheder og myndigheder bliver at efterleve disse institutionaliserede sikkerhedskrav fremfor at gøre it-sikkerhed til en værdiskabende og integreret del af forretningen. It-sikkerhed bliver således decimeret til de dumme regler for reglernes skyld, de ekstra omkostninger til it-systemet samt de irriterende ledelsestilsyn uden reel værdi.

Værdiskabende it-sikkerhed skal sikre virksomhedens evne til at videreføre forretningen under alle tænkelige forhold. Det er en pragmatisk disciplin som kort fortalt handler om at etablere effektive sikkerhedskontroller, der giver forretningen værdi. Dette skifte i fokus, fra efterlevelse af institutionaliserede krav til understøttelse af forretningens behov, er helt essentielt for, at it-sikkerhed bliver en integreret del af forretningen.

Lad mig give et eksempel baseret på en offentlig kendt hændelse, jf. Version2.

I februar 2016 sendte Statens Serum Institut med post to CD/DVD’er til Danmarks Statistik. Disse to medier indeholdt til sammen over 5 millioner danskeres cpr-numre og sundhedsdata; alt sammen i ukrypteret format og uden nogen anden form for sikkerhed som f.eks. password-beskyttelse el.lign. Postbuddet afleverede ved en fejl de to medier til den kinesiske ambassade i København, som nu kunne se sundhedsdata på over 5 millioner danskere… Ups…

Statens Serum Institut var heldige. EU’s databeskyttelsesforordning var ikke trådt i kraft. Samtidig indtog Datatilsynet en tilbagelænet attitude og udtalte således til Version2: ”Vi anbefaler kryptering, og sager som denne viser, at det i visse situationer kan være en nødvendig sikkerhedsforanstaltning”. Efterfølgende har Statens Seruminstitut så etableret en politik, som kræver, at medier til transport af data fremadrettet krypteres.

Var Statens Serum Institut bevidst om risikoen ved at sende et sæt ukrypterede medier med PostNord?

Næppe. En effektiv og billig sikkerhedsforanstaltning i form af kryptering lå lige for, men blev ikke anvendt.

En simpel risikovurdering kunne have afdækket problemstillingen og identificeret løsningsmuligheder. Følgende simplificerede eksempel illustrerer fremgangsmåden:

Spørgsmål: Er der særligt følsomme oplysninger i datasættet?
Svar: Ja

Spørgsmål: Indgår der personoplysninger?
Svar: Ja

Spørgsmål: Hvordan transporteres datasættet?
Svar: Tredje part transporterer datasættet via fysisk medie

Spørgsmål: Er der risiko for, at datasættet lækkes eller tabes under transport?
Svar: Ja

Spørgsmål: Hvor stor er risikoen?
Svar: Mellem

Spørgsmål: Hvad er konsekvensen i værste fald ved et læk?
Svar: Mulighed for søgsmål fra personer, hvis data blev lækket
Øget beredskab til håndtering af anmodninger vedr. aktindsigt.

Spørgsmål: Hvad er de forventede omkostninger ved et læk for virksomheden?
Svar: Samlede økonomiske omkostninger forventes at udgøre i størrelsesordenen 130.000 kr baseret på følgende:

Bøde af Datatilsynet, max 25.000 kr. (referencesag fra 2001)
Formentlig ingen udgifter til erstatning, da borgerne næppe kan sandsynliggøre et tab i forbindelse med lækket.
Omkostninger til øget presseberedskab i ca. 1 måned svarende til i størrelsesordenen 45.000 kr.
Omkostninger til øget beredskab til håndtering af anmodninger vedr. aktindsigt er i størrelsesordenen 60.000 kr svarende til 1,5 mandemåneder.

Spørgsmål: Kan vi implementere en sikkerhedskontrol som minimerer risikoen?
Svar: Vi kan kryptere mediet, enten med softwarekryptering i styresystemet eller ved brug af medier med hardwarekryptering og fysisk adgangskontrol.

Spørgsmål: Hvad koster det at implementere den pågældende sikkerhedskontrol?
Svar: Ingen egentlige merudgifter ved brug af softwarekryptering i styresystemet.

Ved at forholde sig aktivt til sikkerhedsrisiciene og vurdere sandsynlighed og konsekvenser, kan en virksomhed træffe beslutninger om behovet for at etablere sikkerhedskontroller. Risikovurderingen bør bl.a. sammenholde konsekvenserne ved den potentielle sikkerhedshændelse med indsatsen ved at etablere relevante sikkerhedskontroller, herunder økonomiske omkostninger.

Databeskyttelsesforordningen tilskynder en risikobaseret tilgang til it-sikkerhed. Implementer det for din virksomheds skyld fremfor udelukkende af compliance årsager. Dermed sikrer du bedst muligt din virksomhed.

Kunne Mærsk have forudset og beskyttet sig mod it-sikkerhedsbristen på containerterminalen i Rotterdam? I princippet, ja. Hændelsen skyldtes formentlig bl.a. utilstrækkelig patchning af servere. Dette risikoelement kunne have været forudset og indsatsbehovet sammenholdt med konsekvenserne ved hændelsen. Mon ikke en sådan risikovurdering havde resulteret i et proaktivt valg om at patche serverne.

Mærsk står dog næppe alene om at være utilstrækkelig forberedt overfor denne type angreb. Eksempelvis anvendes der i sundhedssektoren i Danmark stadig en stor mængde Windows XP maskiner, som i udgangspunktet kan blive ramt af samme sikkerhedsbrist som hos Mærsk. Hvad er omkostningerne her?