ALT INDHOLD PÅ SITET ER SPONSORERET AF HPE
Artikel

Kampen mod it-kriminalitet skal op i et højere tempo

Min store anke er den manglende ”readyness,” der er fra både myndighederne og individets side, når det gælder it-sikkerhed. Jeg tror, at vi skal op i et helt andet tempo og erkende, at vi lever i en konstant kamp mod nye – og endnu ikke opdagede – kriminelle metoder.

Alle taler om it-sikkerhed og at det at undgå at blive udsat for it-kriminalitet. Men hvad er det i virkeligheden, som det enkelte individ skal være fokuseret på? Og hvorfor sker det ofte, at ellers fornuftige mennesker bliver udsat for it-baseret kriminalitet?

En definition

Lad os lige begynde med en definition, som jeg tror, at alle kan være enige med mig om: Internettet er en bred refleksion af vores samfund og af vores verden – på godt og ondt. Langt de fleste optræder høfligt og etisk. Men internettet har også nogle skyggesider. Hvis vi kigger på internettets oprindelse, så blev internettet – som så meget andet – opfundet på baggrund af et militært krav, nemlig at undgå et ”single point of failure” i tilfælde af et nukleart angreb. 

Sidenhen blev det anvendt til udveksling af data i forskerverdenen. Men internettet har fra sin begyndelse aldrig været tiltænkt en kommerciel rolle. Og netop derfor er internettet fyldt med sikkerhedsbrister.

Der er meget at beskytte, og der bliver kun mere i fremtiden

Internettet og it-kriminalitet er bare endnu en platform som kriminelle udnytter. Lige som vi i den fysiske verden sikrer vores hjem, biler, cykler, os selv og så videre, så er der også behov for at sikre sig i den digitale verden. Når jeg ser på mit eget hjem med en router, access points, masser af access devices med både Android, Windows og ios, smart lys, smart lyd, smart varme, biler, switche, printere, el-målere etc., ja så er der cirka 40 access devices, der skal beskyttes. Og det her er bare i 2019. 

Hvis du ikke er rimelig erfaren og fornuftig inden for it-sikkerhed, så er der en hvis fare for, at du ender som offer for it-kriminalitet.

I løbet af en kort årrække, får vi langt flere IoT-devices (køleskabe, frysere, låse etc.), der skal beskyttes. Med andre ord, så bliver angrebsfladen bare større og større. Det kræver desværre en vis viden om sikkerhed at sikre alle indgangsveje til det digitale hjem. Og kæden er, som man siger, aldrig stærkere end det svageste led. Hvis du ikke er rimelig erfaren og fornuftig inden for it-sikkerhed, så er der en hvis fare for, at du ender som offer for it-kriminalitet.

Mange it-kriminelle er ret dårlige

Og her er det måske på sin plads lige gøre op med hele ”mastermind”-tanken. Der findes nemlig kun få rigtigt dygtige it-kriminelle. Og samtidig rigtigt mange dårlige it-kriminelle. De dårlige it-kriminelle udnytter bare det faktum, at rigtig mange – med god grund – har svært ved at overskue it-sikkerhed. 

Begrebet hedder ”Spray and pray” og handler basalt set om at lokke de mest uoplyste i fælden. Og som politiet siger, så bliver it-kriminelles arbejde gjort meget lettere af folk, der ikke kan gennemtænke deres handlinger. 

En konstant kamp mod nye metoder

Der har altid været kriminelle, og det er nok ikke noget, der holder op. Min store anke er den manglende ”readyness,” der er fra både myndighederne og individets side. Jeg tror, at vi skal op i et helt andet tempo og erkende, at vi lever i en konstant kamp mod nye – og endnu ikke opdagede – kriminelle metoder. 

Det er lidt som kampen mod doping: Det er en umulig opgave at teste for noget, man ikke kender eksistensen af endnu. Og den bliver ikke mindre svær af, at en dopingkontrollør kun tjener en brøkdel af en forsker, der udvikler doping-præparater. På samme måde, så er der meget svært at beskytte sig mod en ukendt form for it-kriminalitet. Og it-kriminelle er – ligesom alle mulige andre kriminelle – meget kreative og meget vedholdende. 

Det er lidt som kampen mod doping: Det er en umulig opgave at teste for noget, man ikke kender eksistensen af endnu.

Og den potentielle gevinst er meget stor. Og dette kombineret med en meget lav risiko for at blive straffet. Heldigvis er der langt flere gode og velmenede mennesker, end der er folk med onde hensigter. Nogle forskere peger på et forhold, der hedder 800.000:1. Men faktum er, at it-kriminalitet er et stort og globalt problem.

Men kan lovudgivningen følge med? Problemet er, at selvom ethvert velfungerende demokrati har en lovgivende, en udøvende og en dømmende magt, så er it-kriminalitet typisk noget, der sker på tværs af landegrænser. Og som nogen måske godt ved, så er international kriminalitet meget svær at efterforske. 

Fire vigtige ting altid at huske på

Så hvad gør man, når nu myndighederne ikke kan beskytte en effektivt? Det er egentlig ikke så svært – hverken privat eller professionelt. Der er nogle ting, der er ekstremt vigtige, men som mange overser betydningen af:

1) Sund fornuft
Det kan ikke siges nok gange, men mange eksempler på digital kriminalitet skyldes manglen på sund fornuft. Uanset om det er glemte USB-nøgler, dårlige passwords eller skødesløs internet-adfærd, så kan intet erstatte sund fornuft.

Og her skal både forældre, fagfolk og vores folkevalgte på banen. Det er nemlig alles ansvar at lære andre om sund fornuft. Både i den fysiske og digitale verden. Det enkelte menneske/medarbejder er altid det svageste led, så it-sikkerhed skal på skoleskemaet.

Et eksempel på manglende sikkerhed var for nylig, da jeg på en rejse skulle indlogeres på et fem-stjernet hotel. Hotellet havde alle mulige servicefaciliteter, men også et helt åbent og ukrypteret WiFi. Således kan alle kan følge med i, hvad du foretager dig. Og netop her kommer den sunde fornuft ind. Du skal således ikke transmittere følsomme data over et usikret netværk. Og der er med andre ord ingen sammenhæng mellem pris og kvalitet. 

2) Opdateringer
Der er ingen, der forventer eller forlanger, at du er it-sikkerhedsekspert. Men i en moderne verden har man indrettet digitale produkter således, at man dels kan forkorte deres udviklingscyklus og dels kan opdatere dem efter, at de er kommet på markedet. Men uanset hvad, så er og bliver det forbrugerens ansvar at holde disse opdateret. 

Så uanset hvilken device du måtte have, så er det dit eget ansvar at holde denne opdateret og dermed sikker. Og byrden bliver ikke mindre i fremtiden. I takt med at flere og flere af vores devices bliver forbundet til internettet (og dermed bliver til Internet-of-Things devices), så stiger arbejdsbyrden, kravet til konstante opdatereringer og risikoen for at blive udsat for digital kriminalitet.

3) Stærke passwords
Alt for mange bruger passwords, der er alt for lette at gætte. Og så gemmer de alle deres passwords i en enkelt fil for at kunne huske disse. På internettet findes der masser af inspiration til, hvordan du skaber et stærkt password.

4) Held
Enhver it-kriminel skal bare være heldig en enkelt gang for at kunne lykkes med sit kriminelle gøremål. Du skal på den anden side være heldig med samtlige forsøg for at undgå it-kriminalitet. Og teknologien skal være ligeså. 

Det er lidt ligesom at have en tyverialarm derhjemme. Det, som du i virkeligheden betaler for, er, at indbrudstyvene går over til den nabo, der ikke har en tyverialarm. Og så betaler du for notifikationen, når der er indbrud. 

Hvis du spørger politiet, så findes der masser af eksempler på indbrud i strandvejsvillaer med alarm, hunde, gitre, røganlæg etc., som alligevel ikke har nogen effekt. Hvis indbrudstyvene vil ind, så kommer de også ind – uanset foranstaltninger. Og det gælder både de fysiske indbrud og de digitale indbrud. Føler du dig heldig? 

Beskyt dig selv både online og offline

Det er også vigtigt, at gøre opmærksom på forskellen på it-kriminalitet og klassisk kriminalitet. Således er to af Danmarks mest aktuelle sager baseret på svindel via it:

• Sagen om svindel for over 111 millioner kroner i Socialministeriet.

• Sagen om ulovlig udbetaling af refusion af udbytteskat på 12,6 milliarder kroner.

I begge sager var it det bærende element, for at de kriminelle handlinger kunne foretages. Og i begge sager kunne kriminaliteten være forebygget ved at have udvist sund fornuft. Og ved ikke at overlade ansvaret til en enkelt medarbejder. Uanset hvad, så er it-sikkerhed ekstremt vigtigt i alle facetter af livet. 

I den moderne verden er dine personlige data den nye valuta, og disse skal naturligvis beskyttes. Producenterne – inklusive os selv – arbejder intenst på at gøre alting mere sikkert. 

Hvis jeg for eksempel kigger på udviklingen af sikkerheds-features i en ProLiant Gen10 server og sammenligner den med en ProLiant Gen9 server, så havde Gen9 serveren 7 sikkerhedsfeatures mod Gen10 serverens 15 sikkerhedsfeatures. Og her snakker vi altså om mere end en fordobling af sikkerhedsfeatures på to generationer af servere med cirka to års mellemrum. 

Og på samme måde så er og bliver sikkerhed – både fysisk og digital – en uundgåelig del af alles verden.

Velkommen til kapløbet, der aldrig slutter.

 

Læs mere: 10 security trends to watch in 2019

 

 

 

Mikkel Heltborg Terp,
Global Account Manager, Hewlett Packard Enterprise