It-sikkerhed i tre årtier: Fra diskettelåse til efterretnings­arbejde

For 30 år siden afholdte DANSK IT sin første konference om it-sikkerhed. Siden da er konferencen blevet en årlig tilbagevendende begivenhed. To it-sikkerhedschefer, der var med fra start, fortæller her om udviklingen på it-sikkerhedsområdet i tre årtier.

Hvad gør man, hvis man har sat diskettelåse på firmaets computere og finder ud af, at it-sikkerhedsafdelingen har glemt at mærke nøglerne, når knagerækken med nøgler fald ned?

Skal man tage stakken med de 100 nøgler og prøve sig frem for at finde den computer, som hver nøgle passer til, og herefter mærke nøglerne? Eller skal man lade årene gå, indtil firmaet beslutter, at man skal have nye pc’er ud for den betragtning, at der nok alligevel ikke er nogen, der får behov for at bruge diskettedrevet?

Sådanne situationer kunne man som it-sikkerhedsansvarlig sidde med i slut 80erne og start 90erne, da computere begyndte at blive udbredt på de danske arbejdspladser, og hvor virus var noget man kun fik, hvis en medarbejder stak en inficeret diskette ind i drevet på arbejdscomputeren. 

Det fortæller to af Danmarks mest garvede it-sikkerhedschefer: Carsten Stenstrøm, informationssikkerhedschef, BaneDanmark og Niels O. R. Rasmussen, områdedirektør, it-sikkerhed, Nykredit. Begge er på programmet, når DANSK IT's den 18. og 19. januar 2017 for 30. år i træk slår dørene op for sin store it-sikkerhedskonference. 

Største frygt var om programmerne regnede rigtigt

Med sammenlagt mere end 60 års erfaring på it-sikkerhedsområdet har de to været med hele vejen fra dengang ingen havde hørt om hackere og virusangreb til nu, hvor borgere og virksomheder på daglig basis bombarderes med vira og hackerangreb. 

- Først i slutningen af 90erne begyndte de it-sikkerhedsproblemer, vi ser i dag. Før da var den største frygt, om it-programmerne regnede rigtigt, og om man fik udsendt alle opkrævninger etc. Men med introduktionen af netværk og internettet gjorde vi det potentielt muligt for alle at hacke sig ind i virksomhederne og med de bærbare computere og siden smartphonen opstod endnu flere trusler. Sårbarheden er ganske enkelt større på grund af øget kompleksitet og nye digitale muligheder, fortæller Niels O. R. Rasmussen. 

-  Tilbage i 90erne blev virusværnet opdateret hvert halve år. I dag bliver de opdateret hver dag og nogen gange hurtigere, tilføjer Carsten Stenstrøm. 

År-2000-problematikken sætter it-sikkerhed på agendaen

Det var dog først i forbindelse med år 2000-problematikken, at it-sikkerhed for alvor kom højt op på agendaen. 

Ifølge de to it-sikkerhedschefer blev der brugt rigtigt mange penge på at finde ud af, om it-systemerne kunne håndtere årtusindeskiftet. Nogle vil nok sige for mange. For problemerne viste sig at være mindre end beskrevet i medierne. Ikke desto mindre kom der det ud af dommerdagssnakken, at der kom spot på i hvor høj grad virksomheder og borgerne er afhængige af, at it-systemerne fungerer. Et fokus som viste sig hårdt tiltrængt, da internettet fra omkring år 2000 kom i de kriminelles søgelys.

- Omkring år 2000 kommer de første deciderede netbanker, og de tiltrak sig hurtigt de kriminelles opmærksomhed. Og da de første indbrudsforsøg i netbankerne finder sted, begynder også det internationale samfund at erkende, at man er nødt til at samarbejde, hvis man skal gardere sig mod grænseoverskridende kriminalitet på nettet, siger Niels O. R. Rasmussen. 

Ifølge Finansrådet fandt første netbankindbrud i Danmark sted i 3. kvartal 2006. 

Men i Danmark har der endnu ikke fundet et egentlig indbrud i en netbank sted. Alle såkaldte netbank-indbrud er sket som følge af, at it-sikkerheden på brugerens computer ikke har været tilstrækkelig og som så er blevet misbrugt. 

Med udviklingen af NemID i 2010 begynder antallet af netbankindbrud at falde. I stedet begynder de kriminelle at anvende andre metoder og senest metoder som phishing, snyde-sms (smishing) og falske telefonopkald (vhishing) og da stiger kriminaliteten i relation til netbanker og lignende igen. 

De kriminelle finder samtidig andre muligheder for cyberkriminalitet såsom DDOS, hvor de tæppebomber virksomhedernes infrastruktur med trafik så den bryder sammen - ofte først efter at have sendt en trusselsmail med et ”tilbud” om at lade være mod en løsesum.  Senest er der sket en vækst i Ransomware, hvor de kriminelle gør filer og andet ulæselige ved hjælp af kryptering som de så tilbyder at låse op mod en løsesum, beretter Carsten Stenstrøm og Niels O. R. Rasmussen.

It-sikkerhed bliver et efterretningsanliggende

I 2010 sker endnu en stor begivenhed på it-sikkerhedsområdet, da den avancerede computerorm Stuxnet rammer det iranske atomprogram og siden spreder sig til resten af internettet, hvor den kan anvendes af hackere til at kompromittere sikkerheden i nationers og virksomheders kritiske infrastruktur. 

- Stuxnet var en øjenåbner for, at vores SCADA-systemer, vores infrastruktur er sårbare for angreb, og at også stater kan være en trussel mod it-sikkerhed, lyder det fra Carsten Stenstrøm.

Dette var da også en af årsagerne til, at Center for Cybersikkerhed blev stiftet i 2012. Men også væksten i industrispionage var årsag til, at virus og hackerangreb begyndte at blive et anliggende for efterretningstjenesten. 

Ifølge Carsten Stenstrøm og Niels O. R. Rasmussen bevæger kampen for bedre it-sikkerhed sig i dag derfor i retning af, at man også som virksomhed indhenter deciderede efterretninger om, hvilke angreb kriminelle planlægger, men endnu ikke er kommet i gang med. Efterretninger som nye typer af it-sikkerhedsfirmaer, er leveringsdygtige i, som fx den danske efterretnings-, analyse- og sikkerhedsvirksomhed CERTA Intelligence & Security, hvor den tidligere PET chef Jakob Scharf er direktør. 

- Industrispionage bliver en stadigt større trussel. Ikke kun mod virksomheder, der har en unik idé eller produkt at beskytte, men også mod fx virksomheder med store kundedatabaser, som en konkurrent har en stor interesse i at få fat i. Det vil ikke overraske mig, hvis også enkelte danske virksomheder kunne finde på, at bedrive industrispionage fx i en form, hvor de forsøger at skaffe sig adgang til information om konkurrentens kunder, siger Niels O. R. Rasmussen. 

It-sikkerhed handler om kalkuleret afvejning af risici 

De tider er hermed forbi, hvor virksomheder kan bygge mure omkring virksomheden for at beskytte sig mod virus og hackere. I dag handler det om have gode beredskaber og processer, så man som virksomhed kan køre videre, når man bliver ramt, lyder det fra de to it-sikkerhedschefer.

- En øjenåbner var 9/11-katastrofen i New York, hvor flere store virksomheder heriblandt banker fik store problemer på grund af manglende beredskab – blandt andet i form af manglende backup af forretningsdata. Nu i dag har alle backup og to-centerdrift er normen. Fx har de store cloud-leverandører alle flercenterdrift, fortæller Niels O. R. Rasmussen.

I takt med, at den forretningsmæssige afhængighed af it stiger, bliver it-beredskabet mere og mere vigtig.

- Vi er i dag nået dertil, hvor man beskytter sig ud for en risikovurdering, ellers koster det for meget. Til gengæld skal man kunne reagere hurtigt og konsekvent, når angrebet rammer. Og angrebet rammer før eller siden. I it-sikkerkredse taler man om, at der findes to typer virksomheder, dem der er blevet ramt og dem, der ikke ved, at de er blevet ramt, siger Niels O. R. Rasmussen. 

Ledelsen har åbnet øjnene

En markant forbedring er der dog sket på it-sikkerhedsfronten, og det er, at området har fået ledelsens bevågenhed i mange virksomheder.

- Inden for de sidste 3-4 år er datasikkerhed kommet på direktionens bord. Og det skyldes ikke mindst, at dårlig sikkerhed i virksomheden risikerer at ramme den almindelige kunde. Hermed bliver sikkerhed lige pludselig meget forretningskritisk, siger Carsten Stenstrøm, og tilføjer, at truslerne mod sikkerheden også kan komme internt i virksomheden.

- Et eksempel er Se og Hør sagen, der satte it-sikkerheden - nærmere bestemt adgangssikkerheden i fokus. Det var noget der fængede både i pressen, i det politiske liv og hos borgerne. Efterfølgende har denne sag fået mange virksomheder til at stramme op på området, så kundernes data er meget bedre beskyttet.

- Krigen mod it-kriminelle, hackere og vira vil forsætte og hvem, der har overtaget i krigen, vil hele tiden svinge. Men et er sikkert rent ledelsesmæssigt, er vi meget bedre rustet end i 90erne, da it-sikkerhedsproblemerne begyndte at opstå, og hvor mange ledelser var mere eller mindre bange for den nye teknologi, slutter Niels O. R. Rasmussen. Om Niels O. R. Rasmussen og Carsten Stenstrøm
Niels O. R. Rasmussen, områdedirektør, it-sikkerhed, Nykredit. Har arbejdet med it-sikkerhed i Nykredit siden 1987. Tidligere har han arbejdet med it- og system-revision i Handelsbanken, SDC og Toldvæsenet. 

Carsten Stenstrøm, informationssikkerhedschef, BaneDanmark. Tidligere teknologisikkerhedschef Danmarks Radio, koncern-it-sikkerhedschef, Dansk Bank, EDB-sikkerhedschef, Codan Forsikring, kontorchef, SDC Unibank. 

Begge kan opleves på DANSK IT's konference It-sikkerhed 2017, hvor de holder oplæg om, hvad vi kan lære af de sidste 30 års udvikling på it-sikkerhedsområdet. Læs konferenceprogrammet her