Behovet for at forholde sig til it-sikkerhed stiger

Skræller man de negative konsekvenser af SE&HØR-sagen fra, står det tilbage, at sagen for alvor fik sat sikkerhed på dagsordenen. Ikke mindst i Nets, som ofte også måtte lægge navn til skandalen i 2014.

Sagen var, kort fortalt, at en medarbejder i IBM – som var underleverandør til Nets – solgte fortrolige betalingskortoplysninger om kendte og kongelige til ugebladet SE&HØR. Og lige så kort lyder det i dag fra it-direktøren, som er øverst ansvarlig for sikkerhedsområdet i Nets:

”Brud på sikkerheden sker igen. En SE&HØR-lignende sag vil dog aldrig kunne gentage sig.”

Direktøren er Pia Jørgensen, som efter 13 år i USA kom til Nets som CIO i kølvandet på den kedelige sag. Medarbejderne var tydeligt mærkede af den, noterede hun sig. Så ud over at skulle hele sårene, lå det så at sige også i hendes jobbeskrivelse, at hun skulle sørge for, at virksomheden aldrig igen bliver involveret i en lignende sag.

”Da jeg sad i New York og hørte om sagen første gang, var min første reaktion en undren over, at det kunne ske. Men samtidig kørte der nogle store sager i USA om hacking og misbrug af personlige oplysninger. Så det gav selvfølgelig stof til eftertanke. Min konklusion var, at man er nødt til at erkende, at den slags kan ske. Man må acceptere, at der er et dark web, at der findes avancerede hackere, og at der altid vil være kriminelle. Derfor vil det være useriøst at sige, at det aldrig kan ske igen. For det kan det. Og ikke kun for naboen – også for os. Udgangspunktet for mit arbejde som it-direktør, og dermed øverst ansvarlig for sikkerheden i Nets, blev derfor erkendelsen af, at noget lignende sker igen på et tidspunkt. Så nu er opgaven at sørge for, at når noget sker, så opdager vi det straks og kan lukke ned for følgerne,” siger Pia Jørgensen.

Mere fokus på konkrete trusler

Da hun kom til Nets i efteråret 2014 havde SE&HØR-sagen allerede affødt en ny sikkerhedsstrategi og -politik i virksomheden. Med hende ved roret er der dog blevet sat yderligere fokus på, hvad det er for konkrete trusler, der lurer derude, og hvad der skal til for at undgå, at de får alvorlige konsekvenser. For én ting er sikkert, siger hun: Hvis ikke man gør noget, kan cyberkriminelle lukke en hel virksomhed eller skabe seriøs ravage i et samfund. Derfor er der på alle tænkelige måder skruet op for sikkerheden i Nets. Og det afspejler sig ikke mindst i sikkerhedsafdelingen, der, før Pia Jørgensen kom til, bestod af ti mand, men nu er på 40 plus 15 eksterne konsulenter.

Opgaverne for den udvidede sikkerhedsafdeling og dens eksterne samarbejdspartnere spænder vidt: Screeninger af kommende medarbejdere, logging og monitorering af alle transaktioner, løbende trusselsopsamling, statistiske beregninger af trusselsscenarier, gennemføre prøvecases, udarbejde materiale til undervisning af medarbejdere, afholde arrangementer på skoler og gymnasier osv.

Den løbende trusselsopsamling indebærer, at man nøje følger med på nettet for at lokalisere konkrete trusler rundt om i verden og vurderer, om de kan komme for tæt på Nets. Kan de det, aktiveres et search-team, og, hvis det er meget tæt på, også et response-team, som går frem efter en detaljeret drejebog. Det indebærer, at et større beredskab sættes i værk, og at den øverste ledelse i de ekstreme tilfælde mødes time for time, ligesom hele organisationen, fra bestyrelsen og ned, holdes løbende orienteret om udviklingen. Disse såkaldte incidents er sjældne, men gennemføres jævnligt som prøvecases. For pointen er, at hele virksomheden skal kunne reagere meget præcist og lynhurtigt den dag, virkeligheden banker på.

”Det handler grundlæggende om at være på forkant, hvilket bliver stadig mere krævende, fordi it-teknologien udvikler sig ekstremt hurtigt. Men vi har taget beslutning om, at vi vil være på forkant, og investerer så de penge i det, som der skal til. Det er ikke til diskussion. Så du kan sige, at vi i Nets er gået fra en reaktiv tilgang til sikkerhed til en proaktiv,” lyder det fra it-direktøren.

Af samme grund er Nets nu bedre beskyttet end nogensinde. Men der vil jo altid være kriminelle til, som Pia Jørgensen siger. Alligevel er hun overbevist om, at den såkaldte tys-tys kildes aktiviteter i SE&HØR-sagen i dag ville have udløst nogle alarmer allerede efter få sekunder og dermed kunne være blevet stoppet i tide.

Sikkerhed som strategisk indsats

I kroner og ører har beslutningen om at ville være på forkant manifesteret sig i et gevaldigt løft af investeringerne i it-sikkerhed. Således bruger virksomheden i dag 100 mio. kr. om året – svarende til ti procent af budgetterne – på hardware og software mv. til gavn for sikkerheden. Desuden er sikkerhed i virksomhedens strategi blevet et af de solide ben, man står på. Det er ganske mange penge, erkender Pia Jørgensen.

”Men i og med, at både de kriminelle og hackerne bliver stadig skarpere, skal vi også blive det”, som hun siger.

En stor del af pengene går derfor til uddannelse af medarbejderne og til gennemførelse af de vigtige prøvecases. Hun forudser dog, at en stadig større del af pengene fremover vil blive brugt til at fokusere mere på de internationale trusselsbilleder og til at imødegå det stigende problem med blackmails.

”Sådan må det være. For en af de refleksioner, der kom ud af SE&HØR-sagen, er, at hele præmissen for at være i vores sektor er, at folk er trygge ved den måde, vi varetager informationer på. En høj grad af sikkerhed og stabilitet er således hele fundamentet for, at vi kan levere de ydelser, der efterspørges,” siger Pia Jørgensen.

Mere gang i den offentlige debat

Nets’ øgede fokus på sikkerhed har også givet sig udslag i, at emnet er rykket op på den almindelige dagsorden i virksomheden.

”Hvor sikkerhed før var noget, der kun foregik i it-afdelingen, er det nu noget, der foregår på tværs af hele virksomheden. Sikkerhed er simpelthen et fast punkt på hvert eneste bestyrelsesmøde og direktionsmøde, hvilket blandt andet indebærer, at jeg kommer og giver et øjebliksbillede og en opdatering på de programmer, vi kører. De øverste chefer gør sig mange tanker om sikkerhed, og vi diskuterer grundigt, hvad der sker rundt om os,” fortæller Pia Jørgensen.

Og fordi man i Nets i dag mener at have ganske godt styr på både det danske og det internationale trusselsbillede, og fordi man nu er så meget på forkant med udviklingen, som man synes at være, mener Pia Jørgensen også, at det vil være naturligt for virksomheden at blande sig mere i den offentlige debat. Hun peger på Rådet for Digital Sikkerhed og andre af de fora, hvor diskussionerne om it-sikkerhed og cybercrime ligger, som steder, hvor Nets gerne vil have en ’talerstol’.

”Vi har selv øget investeringerne i it-sikkerhed voldsomt. Og vi mener jo, at sikkerhed bør have en langt højere prioritering i virksomhederne generelt, end den har. Vi er på mange måder langt fremme. Derfor ser jeg det nærmest som en forpligtelse for os at øse af vores erfaringer og blande os i debatten,” siger hun.

Pia Jørgensens år i USA, hvor sikkerhed allerede længe har været en topprioritet i alle virksomheder, har fået hende til at undres over sikkerhedsniveauet i Danmark. Nets har derfor også kastet sig ud i bestræbelser på at få de almindelige danskere til at tænke mere i sikkerhed. Bl.a. har man produceret nogle små film, målrettet skoleelever, som man hidtil har været ude og vise på 300 skoler.

”Det er vigtigt, at vi lærer de unge at forholde sig til for eksempel Facebook og at gebærde sig sikkert i forhold til it-teknologi. Jeg håber, vi kan få gjort sikkerhed mere til hverdagssnak og et tema, som vi forholder os til. Lykkes det ikke, kan jeg godt være nervøs for konsekvenserne,” siger hun.

Alligevel mener CIO’en ikke, at der er brug for mere lovgivning på området. Hun vil hellere diskutere den lovgivning, der allerede findes.

”Sikkerhed er i realiteten ikke noget, man kan lovgive sig ud af. Det helt centrale er, for mig at se, at få alle til at indse betydningen af det, investere grundigt i det fremadrettet og sætte det højt på topledernes agendaer i både bestyrelser og direktioner,” slutter Pia Jørgensen.