Cyberforsvar handler mest af alt om personer og processer
I går stod Computerworld i spidsen for Computerworld Summit 2016, der satte fokus på nye trends inden for blandt andet digital innovation og sikkerhed.
15. april, 2016 - Kl. 14.45
[Oprindeligt publiceret af Center for Cybersikkerhed]
Afdelingschef i Center for Cybersikkerhed, Thomas Kristmar, var inviteret til at give et oplæg om det aktuelle trusselsbillede mod private virksomheder og offentlige myndigheder, samt hvordan man mest effektivt forsvarer sig mod truslen.
I sit oplæg tog Thomas Kristmar udgangspunkt i den Trusselsvurdering, som Center for Cybersikkerhed udgav ved årets begyndelse. Vurderingen er, at truslen fra cyberspionage mod danske myndigheder og private virksomheder er meget høj. Spionagen udføres primært af statslige og statsstøttede grupper. Gennem de seneste år er omfanget af cyberspionage mod Danmark steget betydeligt, og gruppernes metoder og teknikker er blevet mere avancerede.
Thomas Kristmar pegede endvidere på Forsvarets Efterretningstjenestes Risikovurdering 2015, hvori man kan læse, at ”I tilfælde af en konflikt mellem stater, der har udviklet væsentlige cyberkapaciteter, er det sandsynligt, at angreb på infrastruktur, som understøtter samfundsvigtige funktioner, vil indgå som en del af konflikten.”
Det var Thomas Kristmars pointe, at truslen mod både danske forretningshemmeligheder og det danske samfunds væsentligste funktioner er reel og nærværende, og det er en udfordring, som det er væsentligt at adressere.
Der er mange sikkerhedsprodukter på markedet, men Thomas Kristmar advarede imod, at man køber et sikkerhedsprodukt, og så forestiller sig, at cybertruslen dermed er håndteret. Faktisk kan man komme i den situation, at det er sikkerhedsproduktet, der i sig selv udgør en sikkerhedsrisiko, fordi produktet har en sårbarhed. For eksempel er der set eksempler på, at en firewall kan anvendes som angrebspunkt. Derfor er der behov for et opgør med tanken om, at sikkerhed er en udfordring som kan løses med mere teknologi. I stedet skal der blandt andet være fokus på, at cybersikkerhed er et forretningsanliggende, der bør forankres på direktionsgangen – det er ikke ”bare teknik,” organisationen skal udarbejde en risikovurdering, og de tiltag, som er beskrevet i publikationen Cyberforsvar, der virker, skal implementeres. Først der, er man godt på vej mod et effektivt cyberforsvar.
Afdelingschef i Center for Cybersikkerhed, Thomas Kristmar, var inviteret til at give et oplæg om det aktuelle trusselsbillede mod private virksomheder og offentlige myndigheder, samt hvordan man mest effektivt forsvarer sig mod truslen.
I sit oplæg tog Thomas Kristmar udgangspunkt i den Trusselsvurdering, som Center for Cybersikkerhed udgav ved årets begyndelse. Vurderingen er, at truslen fra cyberspionage mod danske myndigheder og private virksomheder er meget høj. Spionagen udføres primært af statslige og statsstøttede grupper. Gennem de seneste år er omfanget af cyberspionage mod Danmark steget betydeligt, og gruppernes metoder og teknikker er blevet mere avancerede.
Thomas Kristmar pegede endvidere på Forsvarets Efterretningstjenestes Risikovurdering 2015, hvori man kan læse, at ”I tilfælde af en konflikt mellem stater, der har udviklet væsentlige cyberkapaciteter, er det sandsynligt, at angreb på infrastruktur, som understøtter samfundsvigtige funktioner, vil indgå som en del af konflikten.”
Det var Thomas Kristmars pointe, at truslen mod både danske forretningshemmeligheder og det danske samfunds væsentligste funktioner er reel og nærværende, og det er en udfordring, som det er væsentligt at adressere.
Der er mange sikkerhedsprodukter på markedet, men Thomas Kristmar advarede imod, at man køber et sikkerhedsprodukt, og så forestiller sig, at cybertruslen dermed er håndteret. Faktisk kan man komme i den situation, at det er sikkerhedsproduktet, der i sig selv udgør en sikkerhedsrisiko, fordi produktet har en sårbarhed. For eksempel er der set eksempler på, at en firewall kan anvendes som angrebspunkt. Derfor er der behov for et opgør med tanken om, at sikkerhed er en udfordring som kan løses med mere teknologi. I stedet skal der blandt andet være fokus på, at cybersikkerhed er et forretningsanliggende, der bør forankres på direktionsgangen – det er ikke ”bare teknik,” organisationen skal udarbejde en risikovurdering, og de tiltag, som er beskrevet i publikationen Cyberforsvar, der virker, skal implementeres. Først der, er man godt på vej mod et effektivt cyberforsvar.