Ét forkert klik, og hele virksomheden sættes it-skak. Ofte hører vi om store virksomheder, som angribes på denne måde. Fire nye videreuddannelses-kurser på DTU ruster virksomheden til den nye, barske virkelighed ved at klæde medarbejdere og ledere på til at håndtere truslerne på internettet.
I takt med at mere af både vores arbejdsliv og privatliv digitaliseres og håndteres elektronisk, forøges vores afhængighed af, at systemerne virker som de skal – og dermed også værdien af, at vi har adgang til vores informationer og systemer, når vi har brug for dem. Dette forhold gør det til et mere interessant mål for kriminelle, som gerne benytter enhver lejlighed til at sætte en prismærkat på vores data.
Den tid, hvor kummerligt formulerede phisingmails om arven fra fjerne afrikanske familiemedlemmer og spammails om viagra var blandt de største it-udfordringer, er blevet erstattet af en tid med langt mere alvorlige trusler. Nu er vi udsat forindustrispionage, ransomware og andre storstilede, organiserede cyberangreb, der fuldstændig lammer virksomheder og sætter deres it-systemer ud af kraft og stopper vitale dele af forretningen i alt fra timer til dage, uger og måneder.
Sikkerheden ligger også hos den enkelte medarbejder
Efterhånden som bl.a. mere avancerede databeskyttelsessystemer giver større udfordringer for traditionelle hackerangreb, har de it-kriminelle fået øjnene mere op for en anden og måske lettere vej ind til virksomhedens data, nemlig via den menneskelige faktor i sikkerhedsregnestykket. Derfor er det ikke længere nok for en virksomhed at fokusere på en avanceret adgangskontrol, for systemerne er stadig meget sårbare over for angreb hvis ikke den enkelte medarbejder i virksomheden er bevidst om sin rolle i forhold til sikkerheden. Systemerne er med andre ord ikke mere beskyttede end trusselsbevidstheden og adfærden hos dem, der betjener dem.
Fire kurser i it-sikkerhed
Cybersikkerhedens menneskelige afhængighed kommer bl.a. i fokus i DTU’s Center for Videreuddannelses fire kurser i Cyber Defence, som dækker alle organisatoriske niveauer i virksomheden, både ledelsen, it-folk og resten af medarbejderne. Kurserne sigter bl.a. mod at etablere en fornuftig og sikker it-kultur i hele virksomheden og klæder deltagerne på til at beskytte virksomheden mod det aktuelle trusselsbillede.
Lektor Henrik Tange, der tilrettelægger undervisningen på kurserne, er overrasket over den generelle mangel på fokus på it-sikkerheden og understreger det stigende behov for også at fokusere på medarbejdernes rolle i virksomhedens it-sikkerhedsforanstaltninger. Han beskriver virksomhedernes udfordring som en treleddet størrelse:
"Når jeg taler med vores kursister, bliver jeg overrasket over hvor lidt fokus, der er på it-sikkerheden."
Henrik Tange, lektor, DTU Diplom
”For det første skal virksomheden arbejde aktivt med mailfiltrene på serverne, så forsøgene på at slippe igennem med skadeligt materiale begrænses så meget som muligt dér. Dernæst skal medarbejderne udvise en god og sund skepsis for det, der alligevel måtte slippe igennem til dem, og endelig bør virksomheden overveje, hvilke differentierede it-rettigheder der skal tildeles til de enkelte medarbejdere, for også på denne måde at begrænse vejene ind i systemet udefra”.
Skærpede krav på vej
EU’s nye databeskyttelseslov, som træder i kraft 25. maj 2018, skærper desuden kravene til håndteringen af bl.a. personfølsomme oplysninger og understreger ledelsens ansvar i forhold til at sikre virksomhedens data mod bl.a. tyveri; og for virksomheder, der ikke overholder de nye krav, kan der være store bøder i udsigt. Der er dermed masser af både piske og gulerødder på vejen mod større it-sikkerhed, men første skridt er erkendelsen af sårbarheden og behovet i virksomheden.
Tilbyder fyraftensmøder ude i virksomheden
Lederansvaret for it-sikkerheden dækkes på det ene af kurserne, mens de andre dækker dels sikker implementering af systemer og dels netværksforsvar og angrebshåndtering. I det sidste af de fire kurser kommer deltagerne omkring den generelle cyberadfærd i organisationen. Dette kursus klares på en enkelt 4-timers-lektion og tilbydes som et gå-hjem-møde lokalt i virksomheden.