2019-02-05

Sikkerhedsarkitekt til virksomheder: ”Vi er ikke sat i verden for at være jeres venner”

Presset fra hackere og GDPR-krav får i stigende grad dansk erhvervsliv til at efterspørge grundige sikkerhedstjek hos professionelle sikkerhedsrådgivere. Men virksomhederne skal være forberedte på en brat opvågning, siger sikkerhedsarkitekt, Claus Jensen-Fangel.

It-sikkerhed i virksomheder

 

Når kundemødets indledende høflighedsfraser er fordøjet sammen med kaffen og småkagerne, ryger fløjlshandskerne af. I hvert fald hvis mødet står mellem sikkerhedsarkitekt hos Atea, Claus Jensen-Fangel, og den virksomhed, der lige har fået scannet infrastrukturen for sikkerhedsmæssige faldgruber.

Ikke nice guys

”Udgangspunktet er, at vi ikke er venner. Vi er ikke ’nice guys’, der pakker tingene ind, fordi vi gerne vil have en større kundeportefølje. Derfor får de virksomheder, vi samarbejder med, meget kontant at vide, hvad der ikke er godt nok,” siger Claus Jensen-Fangel.

Han tilføjer, at anmærkningerne eksempelvis handler om, at virksomhederne ikke beskytter deres administrative passwords godt nok, eller når harddiske og/eller følsomme data ikke er krypterede.

Ingen kan vide sig sikre

Baggrunden for den hudløst ærlige feedback er, ifølge Claus Jensen-Fangel, at Danmark er et af de lande, som er hårdest angrebet af hackere. Derfor kan selv virksomheder med godkendte sikkerhedsrevisioner ikke vide sig sikre, fortæller han.

”En virksomhed kan være rigtig godt beskyttet, men det kræver kun én medarbejder, der klikker på et inficeret link, før end hele virksomhedens forretningsgrundlag er smadret.”

Og i realiteten ved de fleste organisationer slet ikke, om deres it-sikkerhed allerede er blevet kompromitteret. Netop derfor er det farligt kun at have fokus på eksterne trusler, fortæller han.

For hvis hackerne først er trængt ind i virksomhedernes servermiljø, kan de høste værdifulde data i flere måneder uden at blive opdaget. Derfor kan den traditionelle perimeter-beskyttende firewall ikke stå alene i dag.

”Den gode nyhed er, at man med mikrosegmentering fra en software defined platform i datacentret i langt højere grad kan beskytte virksomheden indefra og ud. Det betyder, at den enkelte, kompromitterede server kan isoleres, hvilket begrænser skaderne ganske betragteligt. Og ved at tilføje Next Generation Security-teknologi kan vi yderligere hæve sikkerhedsniveauet for applikationerne i datacentret.”

Sårbarhed er ikke tabu

Cyber-truslernes omfang er for længst gået op for de fleste danske virksomheder. Derfor oplever Claus Jensen-Fangel og hans kolleger i Atea Security, at der i dag er en helt anden åbenhed omkring egne sårbarheder end for bare 10 år siden, hvor det i højere grad var forbundet med skam, hvis en virksomhed blev kompromitteret. I dag er der heldigvis en bedre erkendelse af, at samarbejde og åbenhed på tværs af brancher er helt nødvendigt, fordi cyber-angrebene kan ramme alle.

 

Se vores løsninger inden for it-sikkerhed

 

Virksomhederne er desuden kommet til den erkendelse, at selv de bedste sikkerhedssystemer er sårbare uden hjælp fra erfarne sikkerhedseksperter.

”Jeg oplever en voldsomt stigende interesse fra virksomheder, der efterspørger eksperter, som kan overvåge og korrelere trafikmønstre. Efterspørgslen er et udtryk for, at virksomhederne kæmper med at få det rette niveau af intelligens ud af deres egne sikkerhedssystemer,” siger han og fortsætter:

”En firewall installeret på en endpoint-konsol kan ikke af sig selv gennemskue alle hackernes afledningsmanøvre. Der skal både avanceret sikkerhedsteknologi plus det højt trænede menneskelige øje til, før vi kan finde den nål i høstakken, der gør, at vi kan forhindre et hacker-angreb.”

Gå rådgiverne på klingen

Derfor er Claus Jensen-Fangels råd til virksomheder, der er i markedet efter nye sikkerhedspartnere, at de sikrer sig, at de rigtige kompetencer og erfaringer er til stede hos rådgiverne. Det er nemlig ikke kun sikkerhedsarkitekterne, der skal være kompromisløse i deres tilgang til it-sikkerhed.

”I takt med at cyber-truslen er vokset, er virksomhedernes viden om it-sikkerhed tilsvarende steget. Derfor stiller de også højere og højere krav til, at vi som sikkerhedspartner dirigerer deres blik i de retninger, hvor både udfordringerne og løsningerne ligger.”

Han er ikke i tvivl om, at en af hovedkomponenterne bag fremtidens sikkerhed ligger i den måde it-afdelingerne automatiserer og kontrollerer den interne trafik mellem serverne i datacentrene.

”De fleste CIO’er bliver overraskede, når jeg fortæller dem, at det oftest kun er godt 5-10% af al trafik, der går ud af virksomheden på internettet. De resterende 90% er intern øst-vest trafik, hvilket jo giver potentielle cyber-kriminelle et enormt incitament for at bryde ind, fordi al data er tilgængelig uden begrænsninger. Det faktum bekræfter mig i at it-sikkerhed i dag - i højere grad end tidligere - skal bygges op fra bunden i datacentrene med fokus på indefra og ud-tankegangen.”