I en tid hvor vores naturlige skepsis overfor det digitale efterhånden er klinget af, er IT-sikkerhed blevet vigtigere end nogensinde før. Digitaliseringen er flyttet ind i alle hjem og ned i alle lommer, og det har medført øget krav til, at de digitale produkter skal være nemme at anvende. Men hvad betyder det store fokus på usability for IT-sikkerheden?
Bo Holst-Christensen er studieleder på IT-Diplomingeniøruddannelsen på DTU, og har gennem mange år arbejdet med og undervist inden for IT-sikkerhed. Vi har talt med Bo, om hvilke udfordringer området står overfor i dag.
Du skal bare trykke ok!
Du er i færd med at overføre penge, du er ved at foretage indkøb på nettet eller du er i gang at udfylde en flytteformular. Tiden er knap, du ville have ordnet det for flere uger siden, og om lidt skal du altså gå. På din skærm er der poppet et vindue op, hvor der står noget om sikkerhed, og at du skal klikke ok og godkende for at komme videre. Hvad gør du?
“Vi har vænnet os til, at vi bare skal trykke ok hele vejen igennem. De færreste ved, hvad de skal foretage sig, hvis de er i færd med noget på nettet, og der popper en dialogboks op, der siger, at den ikke kan validere maskinen i den anden ende. I princippet er der tale om, at din maskine ikke er sikker på, at den taler med den rigtige maskine i den anden ende. Spørgsmålet er, vi får at vide, at vi bare skal sige ok - betyder det da, at det er vores eget personlig ansvar?”, spørger Bo Holst-Christensen.
Kan man gøre IT sikkert?
“Problematikken er, at hvis du bygger et system til at være sikkert, så er det vanskeligt eller umuligt at anvende det, og så vil folk ikke bruge det. Men hvis du bygger et system til at være let at bruge, så er det meget svært at gøre sikkert,” forklarer Bo.
Hvad er forskellene på fysisk og virtuel sikkerhed?
“I dag sammenlignes det fysiske med det virtuelle - det er en fejl. Når du bliver røvet i den fysiske verden, går folk typisk ind ad din hoveddør én gang. Det er langt værre med de virtuelle værdier, for de kan kopieres og genbruges 1000 gange. Men når det du forsøger at beskytte, ikke er fysisk, kan det være svært at forstå.
Alt hvad vi laver, skal vi betragte som digitalt, fordi alt i dag er næsten koblet til noget digitalt, ligesom flere virksomheder fremover vil gå over til digitale produkter. Det betyder, at vi skal lære at tænke på en helt anden måde med hensyn til sikkerhed. I den fysiske verden vil jeg lukke døren efter lukketid, men ikke mens der kommer kunder i butikken. I den digitale verden kommer kunderne ind ad døren på alle tidspunkter af døgnet. Det skal vi forholde os til og se på, hvordan vi kan sikre os uden at lukke døren,” siger Bo.
Hvilke kompetencer kræver det at arbejde med IT-sikkerhed?
“Sikkerhedseksperter bør være paranoide - De skal kunne gennemskue alle mulige måder hvorpå noget kan gå galt. Laver du sikkerhed, skal du sikre dig, at ingen bryder ind. Du kan ikke sige, at det ikke er særligt sandsynligt, at nogen bryder ind - hvis det er muligt, så er der nogen, der finder ud af det. Mange der arbejder med IT- sikkerhed er ingeniører. De har lært at se på forskellige delelementer, analysere komplicerede problemstillinger og se på hvilke udfordringer der er. Det er blandt andet disse kompetencer, der er vigtige, når vi taler IT-sikkerhed.
Der hvor det ofte ikke hænger sammen, er fordi, man først designer systemerne og først derefter tænker på, at der også skal være noget sikkerhed. Vi bliver nødt til at bygge det sideløbende, når vi skal tænke sikkerhed ind i de digitale løsninger. Ofte er det desværre sådan, at de der arbejder med usability, sikkerhed og udvikling sidder for hver for sig. En IT-ingeniør skal kunne se ud over de forskellige elementer. De skal have overblik og sætte de andre i gang med at lave de de skal. Derfor må de også have kompetencer inden for alle de områder, der har betydning for sikkerheden.”
Hvilke IT-sikkerhedsudfordringer har virksomhederne?
“I mange virksomheder er IT-sikkerhed ikke en del af virksomhedens primære forretningsområde, og det anses mere som en udgift end en nødvendighed. Jo større del af forretningen der er virtuel, jo større fokus skal du have på sikkerheden på de virtuelle ting. Det betyder, at brancher med meget digital behandling skal have høj sikkerhed. Det gælder blandt andet finanssektoren, eller hvis du sælger digitale ydelser f.eks. film eller musik. Men også de brancher der beskæftiger sig med vores virtuelle identitet, skal have stor fokus på sikkerheden.
Et at problemerne er, at når det kommer til sikkerheden, så antager du i virksomheden ofte, at det er der nok nogen, der har løst. Ofte outsourcer du IT-sikkerheden, men så kan problemet være, at du ikke ved hvem der kommer ind af døren, når den eksterne f.eks. skal se til en server. Det vil sige, at du har en firewall i stedet for en dør for at holde eksterne ude - men så går de bare ind af vinduet i stedet for.”
Skal vi tænke IT-sikkerhed som privatpersoner?
“Når vi finder på kodeord til vores digitale indgange, vælger vi ofte ord som vi ikke glemmer som f.eks. navne og fødselsdatoer. Det er præcis de samme oplysninger, som vores Facebook profiler er overklistret med. Herudover er sociale medier ofte koblet op til vores mailkonti, hvor vi også bevarer et hav af oplysninger.
Det handler for de fleste om, at det skal være nemt, og i dag er meget IT blevet nemmere at bruge - det er det, som vi kalder for usability. Paradokset er, at jo nemmere man gør det, jo mindre sikkert bliver det at anvende. Det svarer til, at vi tager låsen fra, fordi vi synes, det er lidt for bøvlet med en smæklås.”
Hvad er udfordringen med NemID?
“NemID anvendes både til kommunikation med stat og kommune, samtidig med at det er adgangsgivende for hele finanssektoren. NemID er en digital nøgle, og jo mere du anvender nøglen jo større chancen for at nogen får fat på den. Men NemID er en succes, fordi alle er tvunget til at bruge det. Vi behøver ikke tænke over sikkerheden, det er der andre der har gjort for os. - Er det sådan, man skal håndtere sikkerhed?
NemId er et godt eksempel på, at når vi taler om sikkerhed, så er det kommet til at handle om, at det skal være nemt. Men vi bør diskutere, hvad der her er nemt og for hvem? Det største problem med NemId er, at du anvender den til alt. Det svarer til, at du har en nøgle, som du bruger til alle dine fysiske låse. Men den digitale nøgle ligger på en central maskine, og du får ikke lov til selv at have den.
Jeg mener, at borgernes nøgler har det bedst i borgernes lommer. Ikke mindst fordi vi har set eksempler på alvorlige sikkerhedsbrud med følsomme oplysninger. Bl.a. hackerangrebet på hundredetusindvis af danske CPR-numre på CSC's mainframe-server. CSC er en amerikansk ejet virksomhed, der står for de fællesoffentlige it-systemer i staten. CSC har adgang til den nøgle, der identificerer dig som person, det er de færreste der tænker over det. Der eksisterer et alternativ der kaldes for ‘NemId med hardware’, men det er ikke noget der annonceres med og det kræver at man ved lidt mere om IT for at anvende det”, afslutter Bo.
Bo giver tre gode råd om IT-sikkerhed til virksomheder og private
- Udarbejd en sikkerhedspolitik i samarbejde med en der har solidt kendskab til IT-sikkerhed. Det indebærer en risikoanalyse af forretningen, og af hvad kan skade den.
- Forklar alle ansatte der har kontakt med omverdenen, hvad IT-sikkerhedspolitikken betyder for dem. Husk at IT-sikkerhed også handler om de mennesker, der anvender computerne.
- Sørg for at organisationens IT-systemer stemmer overens med IT-politikken.
Tre gode råd om IT-sikkerhed for private
- Anvend forskellige kodeord til forskellige services, og anvend de forskellige koder til så få ting så muligt.
- Opbevar dine oplysninger på en sikker måde.
- Del ikke dine oplysninger med andre og vær opmærksom på hvad du foretager dig.
Søger du uddannelser eller kurser inden for IT? Find inspiration her:
IT uddannelser og certificeringer for dig som IT professionel