IT-sikkerhed er et emne, som tages alvorligt på direktionsplan i de allerstørste virksomheder.
Hidtil har det ikke været noget man beskæftigede sig så meget med. Men der er kommet meget mere fokus på sikkerhed i dag.
Alle, små som store virksomheder er meget mere udsatte for de ubehageligheder, som IT-kriminelle kan finde på at sætte i værk. Endvidere er mindre virksomheder dårligt stillet i tilfælde af hændelige uheld, tyveri, brand eller andre skader.
I stor stil sælges der antivirusprogrammer, firewalls og andre produkter som påstås at kunne sikre os mod alskens ondskab. Men disse tekniske hjælpemidler kan kun i begrænset omfang afværge truslerne. Sålænge medarbejderne har adgang til at modtage mails og søge på nettet, vil det kunne lykkes at lokke dem til at hente skadelige programmer eller afgive fortrolige oplysninger.
Kunsten er at få overblik over de relevante trusler og derefter at beslutte sig for, hvilke ressourcer man kan og vil bruge på sikring.
Eksempler på sikkerhedsrisici:
- En mail, som ser ud til at være fra virksomhedens bank, får en betroet medarbejder til at gå ind på en hjemmeside der ligner bankens til forveksling. Her indtaster medarbejderen nogle kontonumre og pinkoder for at ‘aktivere’ kontoen, sådan som mailen bad ham gøre. Problemet er bare, at mailen var falsk og at oplysningerne nu er videregivet til en kriminel. Samtidig er det nu muligt for den kriminelle at fjernstyre medarbejderens computer udefra.
- En medarbejder med hjemmearbejdsplads lader sin søn bruge den bærbare computer til at spille på. Sønnen henter sjove spil på nettet og installerer på den måde skadelige programmer på computeren. Programmerne får computeren til at sende tusindvis af mails ud hver dag. Hver eneste mail forsøger at lokke modtageren til at besøge en falsk hjemmeside og afgive informationer om kontonumre og pinkoder. Kun nogle få promille af modtagerne lader sig narre – men det er rigeligt til at det kan betale sig, for det er jo gratis at udsende de mange mails og der kan hæves mange penge på hver konto.
- En medarbejder bliver sur fordi han bliver fyret. Nu vil han hævne sig. Derfor sletter han en masse informationer fra virksomhedens systemer, blandt andet alle tilbud for indeværende år og hele kundedatabasen. Ingen opdager, hvem der stod bag og virksomheden har nok at gøre med at taste alle oplysningerne ind påny. Virksomhedens backupbånd er nemlig tomt – for tilsyneladende har ingen nogensinde interesseret sig for, om båndet kunne bruges til noget.
Mange virksomhedsejere tænker, at de er i sikkerhed og at de ikke er interessante at angribe: ‘hvem ville dog angribe mit lille firma?’.
Problemet er i høj grad, at tankegangen hos offeret (=virksomhedsejeren) er så forskellig fra tankegangen hos angriberen.