It-sikkerhedsrådgiver: Lav en beredskabsplan og træn den!

– Jeg er ikke i tvivl om, at energi- og forsyningsselskaber er udfordret og bør stramme op om deres it-sikkerhed. Det er lidt af et paradoks, at fokus på it-sikkerhed indtil nu primært har været rettet mod finanssektoren, hvor det ’kun’ drejer sig om penge. For forsynings- og sundhedssektoren kan konsekvenserne af cyberangreb være vidtrækkende. Hackere kan formentlig lægge et elnet ned i morgen, hvis de besidder de rette værktøjer og ønsker at udfordre dette område.

Sådan lyder advarslen fra Jan Rasmussen, director hos CGI, en global udbyder af rådgivning og it-services. I hård konkurrence med bl.a. PwC, Deloitte, IBM, EY og mange nationale selskaber deltager CGI i et hastigt voksende marked for gode råd og brandslukning indenfor it-sikkerhed.

Etiske hackere
CGI tilbyder bl.a. sine kunder at foretage en test af, hvor sårbare de er. Det sker fx ved hjælp af en certificeret etisk hacker, der foretager et nærmere aftalt angreb. Efterfølgende bliver resultatet analyseret og diskuteret med kunden.

– Med de rigtige værktøjer kan hackere godt trænge ind bag mange af selskabernes sikkerhedssystemer. Et af de bedste råd er at sikre, at sikkerhedssystemerne er opdateret samt lave en beredskabsplan – selv eller med en leverandør – og efterfølgende træne overvågning, daglige procedurer og hvad man ellers skal gøre, hvis virksomheden bliver udsat for et angreb. Der her handler om meget mere, end blot at opsætte en firewall, siger Jan Rasmussen.

Kend din beredskabsplan
En undersøgelse gennemført af CGI blandt it-ansvarlige i 400 danske virksomheder viser, at 23 procent ikke vidste, om deres virksomhed har en beredskabsplan. Jan Rasmussen mener, at det viser, at der er behov for en kulturændring i mange virksomheder; en kulturændring, der bør omfatte alle ansatte, for åbningen til et angreb kan komme via et klik på en forkert hjemmeside, en e-mail, et virusbefængt usb-stik, via en montør eller elektriker ude i marken eller blot som manglende awareness og indsigt omkring sikkerhed hos virksomhedens ansatte.

– Forsyningssektoren har traditionelt ikke været digital frontløber, og mange selskaber er stadig – måske ubevidst – berøringsangst i forhold til at håndtere truslerne fra hackere og andre cyberkriminelle. Tankegangen er ofte, at ’så længe det går godt, så går det godt’, siger Jan Rasmussen, der glæder sig over, at EU har taget udfordringen op med det såkaldte NIS-direktiv, men også efterlyser større politisk fokus både på nationalt og internationalt plan.

– Vi er alle sammen i gang med en proces, hvor vi skal forstå, hvad vi er oppe imod. It-sikkerhed skal ind i vores mind-set, og både offentlige og private virksomheder bør afsætte flere midler til forebyggelse af de angreb, vi vedkommer, siger Jan Rasmussen.