Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 27/1/2010
Mandag den 1. februar offentliggør DK●CERT vores Trendrapport 2009. Rapporten beskriver it-sikkerheden i Danmark, som vi oplevede den i året der gik. Et år der var præget af Conficker-ormens hærgen og et målrettet angreb på de danske netbanker.DK●CERT behandlede 37.535 anmeldelser om it-sikkerhedshændelser i 2009, hvilket som forventet er færre, end vi behandlede året før. Faldet udtrykker primært mere målrettede og professionelt udførte angreb, der medførte en stigning i de sager, hvor DK●CERT aktivt tog del i problemløsningen.
Den største trussel mod borgere og organisationer i 2009 var en eksplosiv stigning af mere avanceret og målrettet malware, som man havde held til at distribuere fra sociale netværkstjenester og stadig flere sårbare legale webapplikationer.
Den generelle tendens for både 2009 og fremtiden er, at de organiserede it-kriminelle grupperinger specialiserer og målretter deres aktiviteter, så at ingen længere kan sige sig uden for farezonen.
Blandt de emner, der i år har fået fokus, er sociale netværkstjenester, mobile platforme og problematikker vedrørende samarbejds- og leverandørrelationer. Disse emner afspejles i vores anbefalinger til henholdsvis borgeren, organisationernes it-ansvarlige og beslutningstagerne sidst i rapporten.
En grov sammenfatning af anbefalingerne er, at man som borger skal holde sine systemer opdaterede og sikre, hvilket i erhvervsmæssig sammenhæng er organisationernes ansvar. Denne problematik er yderligere understreget ved den seneste tids udnyttelse af sårbarheder i ældre versioner af Internet Explorer.
Selvom rapporten primært omhandler it-sikkerheden i 2009, føler vi os overhalet indenom af et par begivenheder fra den virkelige verden.
Mens rapporten har været til korrektur, hos layouter og i trykken, er den aktuelle jordskælvskatastrofe i Haiti blevet udnyttet til falske indsamlinger fra hjemmesider der placerer sig højt i søgemaskinernes resultater, og vi har set malware der sender overtakserede SMSer fra mobiletelefoner.
Det kom ikke bag på os, men vi havde håbet, at de it-kriminelle havde udvist lidt større tålmodighed ved opfyldelsen af rapportens profetier for fremtiden.
Derudover har IT- og Telestyrelsen valgt, at man i staten skal overgå til brug af it-sikkerhedsstandarden ISO 27001, formodentlig med virkning fra 2013. Et på sin vis velkomment initiativ, da der trods alt må være flere erfaringer med en international standard, der samtidig virker knap så restriktiv. Med et glimt i øjet er vores eneste anke, at vi ikke fik det at vide tidligere, så også dette aspekt af it-sikkerheden i Danmark kunne være medtaget i rapporten.
Til at nuancere vores synspunkter og komme med specialistviden om konkrete emner i rapporten har vi i år valgt at lade en række eksterne parter bidrage. Du kan således i rapporten finde indlæg af Peter Kruse fra CSIS Security Group A/S, Thomas Kristensen fra Secunia, Lars Neupart fra Neupart A/S og Anette Høyrup fra Forbrugerrådet, som vi alle ønsker at takke.