I mange år har danske og udenlandske virksomheder brugt millioner på at sikre IT-systemer ved indkøb og opsætning af firewalls, krypteringsløsninger, logning og komplekse tekniske løsninger, hvilke ofte har til formål at imødekomme en specifik trussel fra Internettet.
Senest har ’Ransomware’ og frygten for at virksomhedens filer bliver krypteret eller låst, fået virksomheder til at investere i backupløsninger. Løsninger bliver købt og implementeret – men følges der overhovedet op på om løsningen er fuldstændig og effektiv?
”Når vi er på besøg hos kunder, ser vi ofte, at de har investeret kraftigt i IT-sikkerhed. Men selvsamme kunder har ikke internt i virksomheden sat navne på hvem, der skal sikre, at kontrollerne er fuldstændige og effektive eller om IT-leverandøren udfører opgaverne tilstrækkeligt.” siger Anders Grønning-Kjærgaard, chef for Grant Thorntons afdeling for IT-Revision og Rådgivning.
Implementering af kontroller vil virke i en periode, men denne periode er stærkt afhængig af hvordan ledelsen fokuserer på at efterse kontrollerne. Det er vigtigt, at kontroller bliver efterset og justeret, hvilket er gældende for både interne og eksterne processer. Hvis man ikke gør dette, så skaber man falsk tryghed, hvilket er en stor trussel mod sikkerheden i din virksomhed.
Standardindstillinger kan udgøre en trussel
Mange sikringssystemer bliver installeret med standardindstillinger og ofte foretages der ikke en gennemgang af installationen. I disse tilfælde kommer standardbrugerne og standardindstillingerne til at udgøre en trussel, som opstår når udstyret sættes op til overvågning eller fjernadgang. Hvis man ikke laver om i standardindstillingerne, kan uvedkommende nemt få adgang. Dette fungerer ved, at hackere og andre nysgerrige sjæle scanner nettet for internetopkoblede systemer, som de ønsker at bryde ind i, hvilket kan være alt lige fra vindmøller til webcams. Efterfølgende publicerer hackerne deres resultater på hjemmesider såsom shodan.io.
For 4 år siden oplevede den amerikanske supermarkedskæde ’Target’ at der blev stjålet 40 millioner kundeoplysninger, herunder oplysninger om betalingskort. Target havde styr på deres sikkerhed og deres [egen] IT-sikkerhed havde været testet flere gange. Men hvordan kunne de så blive angrebet? Det viste sig, at deres underleverandør til køling havde en svaghed i sit fjernadministrationsmodul, som var blevet tilkoblet Target´s kassesystem for at tilgå andre systemer. Dermed kunne angriberne komme ind og lænse kassesystemet for oplysninger. Target mistede 40 millioner kunders kreditkortoplysninger.
Dette bringer os til den tredje trussel, som virksomheder giver sig selv – styring af IT-leverancer. Det kræver indsigt og viden, at kunne forstå en leverandørkontrakt og hvilket ansvar kunden og leverandøren har. En stor del af virksomhederne forventer, at alle benytter ’God IT-skik’, men hvordan kan man reelt sikre dette?
Vil du vide mere?
Kom til gå-hjem-møde hos Grant Thornton d. 20. september 2018 kl. 17.00-19.00 hvor Anders Grønning-Kjærgaard fra Grant Thornton og Niels Dahl-Nielsen fra advokatfirmaet Synch vil fortælle og vise dig, hvordan du sikrer dig og din virksomhed bedst muligt mod IT-trusler. Læs om arrangementet her!
Læs også
