Den danske tillid inviterer til cyberkriminalitet
I 1930’erne anlagde Frankrig Maginot-linjen, et enormt forsvarsværk til milliarder af franc langs grænsen til Tyskland. Frankrig anså Maginot-linjen for uigennemtrængelig.
Men da Nazityskland invaderede landet i maj 1940, kørte de tyske tropper ganske enkelt udenom. De tyske generaler havde udtænkt en helt ny militærtaktik baseret på hurtigkørende kampvogne, lastbiler, motorcykler og styrtbombefly.
Tyskerne angreb først gennem de skovrige Ardennerbjerge i Belgien og trængte derefter ind i Frankrig nord for Maginot-linjen. Det angreb kom bag på franskmændene, som havde anset Ardennerne for en naturlig barriere. Vejene i det kuperede landskab var små og primitive, og de franske generaler mente, at de var uegnede til et stort angreb. Det var en alvorlig fejlvurdering den 10. maj 1940.
Eksemplet fra Anden Verdenskrig er Henrik Tanges, lektor og ekspert i cyberkriminalitet på DTU, og han fortæller den for at anskueliggøre de store udfordringer, som virksomheder og organisationer står med i dag med stigende cyberkriminalitet og hackerangreb fra usynlige forbrydere.
"Maginot-linjen er virksomhedernes firewall. Den kan være nok så fornuftig og kraftigt sat op, men forbryderne finder vej alligevel, hvilket vi for eksempel så ved det store angreb på Mærsk sidste år," siger Henrik Tange.
Han har sammen med sin kollega, lektor og ekspert i cybersikkerhed på DTU Bo Holst-Christensen, besøgt en lang række virksomheder og organisationer de senere år for at holde foredrag om cybersikkerhed.
"I 1940 var det ny teknologi og ny militærstrategi, der gjorde angriberen i stand til at bryde bastionerne. Ny teknologi har også en betydning i dag, men den største trussel handler om cyberadfærd, altså den måde, som medarbejderne og ledelsen i virksomhederne og organisationerne agerer på. Vi har generelt en adfærd, der inviterer forbryderne ind bag fæstningsværkerne, og er forbryderne først indenfor, så kan skaderne blive uoverskuelige," siger Henrik Tange.
Et USB-stik er nok
Henrik Tange giver et eksempel på den danske tillid fra et nyligt besøg hos en it-organisation. Her skulle han holde et foredrag for en større forsamling af ganske it-kyndige mennesker, og med sig havde han bragt sin nye laptop og et usb-stik med sin præsentation.
I begyndelsen af sit foredrag fumler han lidt med computeren, kigger fortabt ud over salen og siger med ærgerlig stemme, at det ikke virker. Henrik Tange spørger derfor, om der ikke er én blandt tilhørerne, der kan tage usb-stikket og sende indholdet til ham på en mail, så han kan få præsentationen frem på det store whiteboard?
Det er der straks en håndfuld, der gerne vil hjælpe med – det er jo lidt synd for den fortabte sikkerhedsekspert, at han ikke kan få teknikken til at fungere.
"Det var selvfølgelig et forsøg – en omgang fake news. Men det er klassisk dansk. Vi har tillid til hinanden og vil gerne hjælpe, når nogen har behov for hjælp. Men hvad nu hvis mit usb-stik indeholdt et usynligt angreb fra en cyberkriminel? Så ville den kriminelle på et øjeblik være inde i hele virksomhedens it-systemer, inviteret af medarbejderne selv," siger Henrik Tange og uddyber:
"Hvis vi skal bekæmpe den stigende cyberkriminalitet, bliver vi nødt til i digitale sammenhænge at have mere mistro end tillid. De kriminelle er skruppelløse og udnytter den danske mentalitet med tillid og tro på hinanden. Det nytter så at sige ikke noget at have firewalls, avancerede låse på døre og vinduer, vagthunde og vagtselskab, når vi blindt tror på hinanden og modparten og selv inviterer de kriminelle indenfor. Det handler om cyberadfærd for os alle sammen, og her bliver vi nødt til at skifte spor fremover, hvis vi skal sikre os mod den stigende kriminalitet," fastslår Henrik Tange.
Dansk Industri, DI, mener på linje med de to eksperter, at den menneskelige faktor har stor betydning for den stigende cyberkriminalitet.
"Grundlæggende er jeg enig i betragtningen om, at den menneskelige faktor er den største udfordring for begrænsning af cyberkriminalitet. De kriminelle udnytter den menneskelige faktor, og derfor er det vigtigt, at der skabes en større digital dannelse hos os alle," siger Morten Rosted Vang, chefkonsulent i DI Digital.
En undersøgelse blandt DI’s medlemsvirksomheder viser, at knap 30 pct. sidste år i et eller andet omfang blev udsat for en it-relateret krise såsom hackerangreb eller computervirus – nogle med større konsekvenser end andre. Truslen er mest markant blandt de større virksomheder. Således svarer 50 pct. af virksomhederne med over 250 ansatte, at de er blevet ramt inden for det seneste år.
Den tendens går igen i en rundspørge, som PwC har gennemført blandt offentlige, private og finansielle virksomheder de seneste tre år. Her er frygten for cyberangreb stigende. Se figur 1.
"I Danmark har vi ikke prioriteret it-sikkerhed i samme takt, som vi har prioriteret teknologisk udvikling de seneste årtier. Det bliver vi nødt til i de kommende år. Vi bliver nødt til at få et paradigmeskift, hvor sikkerhed tænkes ind i den digitale udvikling i langt højere grad end tidligere," siger Morten Rosted Vang og peger på både passwordpolitikker, generel digital dannelse og sikkerhedssystemer, der frasorterer de mange phishing-mails og malware.
"Vi kan og skal både på det menneskelige niveau og det strukturelle niveau gøre mere for it-sikkerheden fremover, hvis ikke de kriminelle skal få endnu større spillerum end i dag," siger Morten Rosted Vang.
Tænk, før du handler
Der er adskillige kendte måder, hvorpå de cyberkriminelle forsøger at udnytte danskernes generelle tillid til hinanden. Ofte sker det ved de kendte phishing-mails eller malware.
De fleste kender de såkaldte Nigeria-mails, hvor man får at vide, at man har vundet en masse penge og blot skal opgive sit kontonummer for at få pengene udbetalt. Men der findes også en række andre mails fra venner i nød, fra Skat, fra direktøren, fra skolen, fra banken eller med specielle tilbud. Alle mails, hvor man skal reagere hurtigt, i tillid til at det er i orden og i sin egen eller virksomhedens interesse.
"Udfordringen er, at de kriminelle hele tiden udvikler noget nyt. Vi kender til toppen af isbjerget, men ikke til resten af kroppen. Og vi ved ikke, hvad der kommer i morgen eller i næste måned," siger Bo Holst-Christensen, der vil have folk til at tænke, før de handler.
"Vi er tilbøjelige til at handle, før vi tænker os om, i tillid til at der er orden på sagerne. Men vi bliver fremover nødt til at gøre det modsatte, når det handler om kommunikation på nettet. Virksomheder bliver nødt til at tage det alvorligt, når de skal kommunikere med kunder eller andre interessenter, selv om det tager længere tid at tænke sig om," siger Bo Holst-Christensen.
Ifølge DI indikerer undersøgelser, at hver tredje danske virksomhed, der rammes af et cyberangreb, har følgeomkostninger på over en million kroner. Mærsk vurderede selv sidste år, at de direkte omkostninger som følge af det store cyberangreb på virksomheden løb op i omkring 2 mia. kr.
"Det kan være meget omkostningsfuldt at rydde op efter et cyberangreb. I nogle tilfælde kan det lægge virksomheden ned, især når det gælder mindre virksomheder. Derfor er det vigtigt, at vi sætter gang i et paradigmeskift, hvor der kommer mere fokus på den menneskelige del af cybersikkerheden," siger Henrik Tange.
De to cybereksperter peger endvidere på, at den stigende brug af IoT i diverse produkter skaber huller til glæde for de kriminelle.
"Udbredelsen af IoT giver flere muligheder for cyberkriminelle til at udnytte de mange informationer, der kommer fra et stigende antal kilder," siger Henrik Tange og giver et helt banalt eksempel.
En stor virksomhed har – til glæde for medarbejderne – opsat et informationsskilt ved hovedindgangen med oplysninger om, hvor mange ledige parkeringspladser der er i parkeringskælderen.
"Men sådanne oplysninger kan bruges af de kriminelle, der kan aflæse, hvornår der er stor aktivitet i virksomheden, måske op til en produktlancering. Den viden kan bruges og udnyttes af konkurrenter og kriminelle, og derfor må man gentænke brugen af IoT for at skabe større sikkerhed i den enkelte organisation," siger Henrik Tange.
Videnshierarki kan forebygge
Bo Holst-Christensen og Henrik Tange peger på, at hvis sikkerheden skal op i de danske virksomheder og organisationer, skal der mere fokus på den menneskelige adfærd end på skalsikring – altså de gængse sikringsmetoder med firewalls, passwordstrategi, hegn om virksomheden og vagter ved indgangen.
"Ledelsen skal have mere fokus på, at alle i virksomheden eller organisationen tilpasser deres cyberadfærd til den moderne verden. Man må have et holistisk syn på det, og det skal styres fra toppen," siger Henrik Tange.
"Det kan godt være et problem i de lidt mindre virksomheder, hvor både ledere og medarbejdere har travlt med produktion og salg. Men man er nødt til at sætte sikkerheden højere op på agendaen, hvis man vil undgå cyberangreb, der i værste fald kan koste virksomheden livet," siger han.
De to sikkerhedseksperter mener, at også kommunikationskulturen i mange virksomheder må ændres for at dæmme op for det stigende antal cyberangreb.
I Danmark er der tradition for, at medarbejdere i vid udstrækning inddrages i virksomhedens udvikling for at skabe motivation og ejerskab til nødvendige forandringer. Men set i et cybersikkerhedsperspektiv er den flade struktur, som danske ledere ofte fremhæves for internationalt, en dårlig idé.
"Det skal være slut med demokratiet på arbejdspladsen," siger Henrik Tange med et smil og forklarer:
"Vi må overveje, om ikke der skal være et større hierarki i vidensniveauet? Skal rengøringspersonalet have samme orienteringer som resten af organisationen? Det indebærer en sikkerhedsrisiko, som kan udnyttes af kriminelle," siger Henrik Tange, og Bo Holst-Christensen supplerer:
"Virksomheder bør tænke i militære baner om viden, hvor der er en klar afgrænsning af vidensniveauet i de forskellige funktionslag. Den største risiko for at blive udsat for cyberkriminalitet kommer fra den adfærd, som mennesker i hele organisationen har i forbindelse med brug af nettet og it. Derfor kan man mindske risikoen for at tabe værdier ved at laginddele viden og prokura på færrest mulige hænder," siger han.
"Det vigtigste er dog systematisk at oplære hele organisationen til at have en cyberadfærd, der bedst muligt forhindrer kriminelle i at komme ind i varmen. Her ligger en stor udfordring for virksomhederne i de kommende år, hvis man vil sikre sig mod den stigende cyberkriminalitet," siger Henrik Tange.
Artiklen er produceret af Mandag Morgen for TjekDet