It-sikkerhed 01-04-2020

It-sikkerhedsrådgiver: ”Covid-19 er ikke en it-krise, men en prioriteringskrise”

Pressede it-afdelinger arbejder på højtryk for at servicere deres hjemmearbejdende kolleger. Men dermed risikerer den livsvigtige strategiske it-sikkerhed - der skal sikre virksomhedernes overlevelse efter pandemien – at glide i baggrunden.

Konsekvenserne kan være, at it-systemer og enheder ikke bliver tilstrækkeligt sikkerhedsopdateret. At ændringer gennemføres uden risikovurderinger, og adgangsrettigheder for afskedigede medarbejdere ikke bliver justeret.

Listen over de it-sikkerhedsmæssige nedprioriteringer hos danske virksomheder risikerer at vokse. Og med god grund. Virksomheder har for længst indstillet sigtekornet på overlevelse. Midt i en coronakrise betyder det support og service til tusindvis af hjemmearbejdende kolleger og et kortsigtet fokus på at gøre virksomhedens it-udstyr tilgængeligt og operationelt for enhver pris.

It-sikkerhedsrådgiver hos Atea, Claus Stoltenberg, har fuld forståelse for virksomhedernes overlevelsesmekanisme.

”Men ledelserne i de enkelte virksomheder skylder sig selv og medarbejderne, at foretage de her fravalg på et oplyst grundlag,” lyder det fra Claus Stoltenberg.

Fatale konsekvenser

Med sine mange års erfaring inden for sikkerhedsanalyser og risikovurderinger af offentlige og private virksomheders it-sikkerhed frygter Claus Stoltenberg, at mange virksomheder skubber de forretningsmæssige risici foran sig. Det kortsigtede driftsfokus kan nemlig resultere i katastrofale sikkerhedsbrister, både under krisen, men også når bølgerne efter pandemien har lagt sig.

”Konsekvenserne kan blive fatale for forretningen, fordi hensynet til virksomhedens overlevelse her og nu vejer tungere end virksomhedens strategiske it-sikkerhed, som kan sikre dens fortsatte drift – også efter corona-pandemien.”

5 overvejelser it-afdelingen bør fokusere på nu for at komme sikkert gennem krisen:

 

  1. Sørg for at gennemgå, inddrage eller justere adgangsrettigheder
  2. Hold øje med sikkerhedsopdateringer til it-systemer, styresystemer, telefonisystemer, sikkerhedsløsninger mv. og få dem implementeret på en sikker og kontrolleret måde
  3. Sørg for at risikovurdere alle ændringer i it-miljøet
  4. Overvej, om der skal tages hyppigere backup
  5. Sørg for at passe godt på it-medarbejderne – de er pressede, men også uundværlige

Fyringsrunder er en boomerang

Claus Stoltenberg nævner fx, at mange  it-afdelinger har mindre overskud til at håndtere de tusindvis af afskedigede medarbejdere på en it-sikkerhedsmæssig forsvarlig måde.

”Før coronavirussen kom, vidste vi, at mange it-afdelinger allerede var pressede. Når du så smider en massiv arbejdspukkel oveni med at håndtere et meget højt antal medarbejdere, der desværre har mistet deres job, men som stadig kan have adgang til virksomhedens informationer, er det opskriften på et sikkerhedsscenarie, der kan ramme alle organisationer som en boomerang.”

Læs mere om it-sikkerhed i virksomheder her 

Findes pandemi-beredskabet?

For Claus Stoltenberg er covid-19 dermed primært en ledelsesmæssig prioriteringskrise i en tid, hvor it-afdelingernes ressourcer er spændt til bristepunktet. Derfor kan virksomhederne heller ikke bruge deres kriseberedskab ved it-nedbrud til særlig meget i den nuværende situation.

”Vi taler jo ikke om, at serverrummet er brændt ned til grunden. Virksomhedernes it fungerer. Derfor kommer fremtidens pandemi-beredskab mere til at handle om at få beskrevet, hvad virksomheden – rent organisatorisk – gjorde godt, og hvad der kan forbedres til næste gang krisen rammer,” siger Stoltenberg og uddyber:

 ”Som udgangspunkt bør alle virksomheder evaluere på samtlige af de sikkerhedsværn, som er implementeret – dvs. både teknologier, processer og uddannelse af mennesker. Men min erfaring er, at ikke ret mange gør det. Jeg kan blive meget nervøs for, at det samme kommer til at gælde for evalueringen af denne krise. Hvor klar man var til, it-mæssigt, at håndtere krisen vil dermed forblive ubesvaret, og når krisen rammer igen senere på året, som sundhedsmyndighederne spår, vil virksomhederne stå med præcis de samme udfordringer.”

"Ved at evaluere på, hvad der virkede, og hvor der er forbedringspotentialer, kan ledelserne – på et oplyst grundlag – træffe beslutninger om, hvilke tiltag der skal prioriteres næste gang.” 

Kriseberedskab forankres i ledelsen

For it-sikkerhedsrådgiver Claus Stoltenberg vil det bedste udfald af den historisk voldsomme coronakrise være, at virksomhedsledelserne nu involverer sig endnu mere i både sikkerhedsarbejdet og kriseberedskabet over en bred kam. Rystelserne efter den nuværende globale krise vil være så store, at pandemi-beredskabet såvel som it-sikkerheden vil blive forankret i topledelsen, spår han.

”Jeg tror, virksomhedsledelserne nu tydeligere kan se, at beredskabet er nødt til at være en strategisk beslutning, som involverer hele virksomheden - også it-afdelingen.”

Evaluér dit pandemi-beredskab

 

  • Havde vi ressourcer nok?

  • Havde vi processerne på plads?

  • Havde vi tilstrækkelig it-kapacitet ifht. den markante stigning i remote adgang?

  • Havde vi de nødvendige it-sikkerhedsløsninger, og virkede de som forventet?

  • Oplevede vi uønsket trafik, og hvordan håndterede vi det?

  • Oplevede vi single point of failure?

 

Book en risikovurdering hos vores sikkerhedsrådgivere