De seneste måneder har været fyldt med nyheder om hvor meget udenlandske efterretningstjenester måske, måske ikke foretager sig i Danmark, med eller uden aftaler og hjælp fra danske tjenester. Det massive omfang af overvågning og dataindsamling udført af NSA, som whistle blower Edward Snowden afslørede, overraskede eksperter. Siden har vi set en perlerække af toppolitikere, generaler og efterretningsledere med ringe held forsøge at forklare hvad der sker eller ikke sker. De vælger ofte deres formuleringer med stort omhu og virker derfor sjældent troværdige i situationen, selvom det formentligt er rimeligt at de ofte ikke kan eller må sige mere.
Men hvad kan og bør virksomheder rent faktisk foretage sig for at sikre deres data og informationer mod disse trusler, der har større omfang end de fleste antog?
Det kan være fristende at skynde sig at anskaffe en masse datasikkerhed. Kryptering for eksempel, så det bliver sværere for NSA og andre at lytte med. Eller prøve at undgå amerikanske leverandører (hvilket bliver svært i praksis). Indføre en mere striks it-sikkerhedspolitik og uddanne medarbejdere i hvordan de bedre kan være med til at sikre virksomhedens data. Eller låse vores pc’ere og servere grundigt ned og anskaffe mere avancerede firewalls og bedre beskyttelse mod målrettede angreb.
Ja, det er muligt at vanskeliggøre efterretningstjenesters muligheder i en virksomhed. Men min pointe med at opremse disse eksempler på sikkerhedstiltag er, at før man indfører alt for mange tiltag, skal man sandsynliggøre at der er et forretningsmæssigt behov herfor og et fundament at bygge forbedringerne på. Ellers bliver tiltagene ikke forbedringer, men omkostninger og besværliggørelse!
Enhver virksomheds første skridt bør derfor være at udføre en it-risikovurdering, der tager udgangspunkt i det nye trusselsbillede. Da virksomheder er forskellige betyder de nye trusler nemlig ikke det samme for alle. For én virksomhed kan det være et stort problem at en efterretningstjeneste kan lytte med på for eksempel store tilbud mod konkurrenter i efterretningstjenestens land. For en anden virksomhed kan det være tæt på ligegyldigt. En risikovurdering giver dig svaret på om vores nye viden om omfanget af NSAs aktiviteter har indflydelse på hvordan din virksomhed skal beskytte sig. Der findes anerkendte standarder på området, der guider jer igennem sådan en risikovurdering: ISO 27005 er et godt sted at starte.
Ingen kommentarer:
Send en kommentar