Personalet skal også opgraderes

Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned i Børsen Informatik om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

Hvornår har du sidst spurgt dine it-medarbejdere, om de føler sig ordentligt klædt på til at tackle dagens it-sikkerhedsudfordringer?

Det er et område, hvor truslerne er vokset voldsomt de seneste år. Det amerikanske CERT Coordination Center behandlede således godt 82.000 sikkerhedshændelser sidste år. Det var en stigning på 55 procent i forhold til året før. Går man tilbage til tiden før år 2000, blev der årligt behandlet under 10.000 hændelser.

Samtidig stiger også antallet af sårbarheder i it-systemer: I år 2000 fandt man 1.090 sårbarheder (sikkerhedshuller) i it-systemer. I 2002 var tallet 4.129 nye sårbarheder. Orme og hackere anvender sårbarhederne til at angribe systemer.

Øget behov for viden
Tendenserne fra USA svarer til dem, vi ser i resten af verden - også i Danmark. Antallet af angreb og sårbarheder stiger altså år for år. Dermed bliver der et større behov for kompetence hos de medarbejdere, der skal sikre it-systemerne. Medarbejderne skal for eksempel kunne håndtere spørgsmål som:

Hvordan begrænser vi skadevirkningen, hvis en pc bliver inficeret med en orm eller virus? Hvordan sikrer vi, at alle systemer er opdateret med de seneste sikkerhedsrettelser og virusdefinitioner? Hvordan sikrer vi hjemmearbejdspladser og fjernadgang?

Der er en række muligheder for at videreuddanne og certificere sig inden for it-sikkerhed. Spørg it-medarbejderne, hvilke kurser de selv mener, de kunne have gavn af.

Andre end it-folk
Men uddannelse i it-sikkerhed handler ikke kun om it-personalet. De øvrige medarbejdere kan spare virksomheden for mange spildte timer, hvis de lærer nogle få, enkle regler: Dobbeltklik aldrig på vedhæftede filer, der er tilsendt uopfordret. Hold din pc opdateret (hvis opgaven ikke klares af it-afdelingen, hvor den hører hjemme). Brug kun arbejds-pc'en til arbejdsrelaterede opgaver.

I sidste ende handler it-sikkerhed oftere om mennesker end om teknologi. Selv den bedste firewall kan ikke beskytte mod en ansat, der kører et program, han har fået tilsendt. Den tager heller ikke højde for medarbejdere, der sætter deres bærbare pc'er på virksomhedens netværk uden at teste dem for virus. Og en firewall kan ikke hjælpe mod en medarbejder, der bruger samme brugernavn og adgangskode til virksomhedens systemer og til diverse web-tjenester.

I alle disse tilfælde er det kun viden, der kan sikre virksomhedens data og systemer. Derfor kan en investering i kurser og andre former for uddannelse betale sig.

Oprindelig bragt i Børsen Informatik den 11. november 2003

Keywords: