IT-sikkerhed er et kapløb

Tekst: Finn Bruun

Sikkerhed_shutterstock_82383217

I takt med digitaliseringen af de finansielle løsninger flytter de kriminelle med ind i det digitale univers, og det er de finansielle virksomheder nødt til at kunne reagere på. Derfor er sikkerhed blevet mere og mere vigtigt i de seneste år. I banker og forsikringsselskaber bølger kampen mod hackerne, og selvom der ikke findes 100 procent sikre løsninger på internettet, er truslen under kontrol, fordi der hele tiden investeres i sikkerhed.

Brian Lind, Koncern IT-sikkerhedschef, Topdanmark.

Brian Lind, Koncern IT-sikkerhedschef, Topdanmark.

Kriminaliteten på nettet er ofte kendetegnet ved gammelkendte fup- og svindelnumre, som gennemføres elektronisk. I forhold til netbankindbrud benytter hackerne sig af en metode, hvor de viser falske hjemmesider for brugeren og snyder koderne ud af ofrene.
Hos forsikringsselskabet Topdanmark oplyser koncern IT-sikkerhedschef Brian Lind, at selv om man ikke som bankerne har et egentligt pengeflow at beskytte, så ligger man i høj grad inde med følsomme oplysninger, ikke mindst privatkunders cpr-numre og pensionsoplysninger.
”Kunderne er jo hele vores forretningsgrundlag, og ud over lovens krav skylder vi vore kunder at passe godt på deres betroede oplysninger. Trusselsbilledet ændrer sig konstant på hele dette område, og det vi ser generelt er, at hackermiljøet går efter personoplysninger, som de kan bruge – altså misbruge, hvad enten det er identitetstyveri eller andre informationer, de vil udnytte,” siger han og nævner, at både kundeinformationer og den daglige drift skal beskyttes.
”Derfor følger vi med i trusselsbilledet og dæmmer op mod det,” fortæller han.

Jan Person, koncern­sikker­hedschef, SEB Bank.

Jan Person, koncern­sikker­hedschef, SEB Bank.

Digital tegnebog
I SEB Bank peger koncernsikkerhedschef Jan Person på, hvordan mobiludviklingen vil gøre telefonen til en digital tegnebog. Dermed risikerer man at miste sine penge, hvis man ved røveri bliver nødt til at oplyse koden. Desuden er identitetstyveri nu en alvorlig faktor, som kræver opmærksomhed. Forbrydelsen kan ske ved at lokke folk via phishing mails og gennem telefonsamtaler, men SEB advarer også om, at et identitetstyveri kan føre til falske låneansøgninger i den afluredes navn eller endda forfalsket bestilling af kreditkort fremsendt til hackerens adresse. Udviklingen stiller høje sikkerhedskrav til bankerne, men også til kunderne om at være bevidste om risikoen, anbefaler SEB.

Christian Jensen, Lektor DTU.

Christian Jensen, Lektor DTU.

Løbende angreb
En udfordring i forhold til bekæmpelsen af kriminalitet på nettet er ifølge lektor på DTU Compute Christian Damsgaard Jensen, at det her drejer sig om kunder, som ikke alle er særlig sikkerhedsbevidste. Derfor skal løsningerne være lette at forstå:
”Men det gør dem lettere at omgå. Folk kommer måske til at gå ind på de forkerte sider og oplever det man kalder ”man in the middle” angreb hvor en hackers maskine sidder mellem kunden og banken. Hackeren kan bryde ind i kommunikationen og gøre, hvad han selv vil,” siger Christian Damsgaard Jensen og fortsætter:
”Alt sikkerhedsarbejde er et våbenkapløb i en eller anden forstand, og jeg har indtryk af, at den finansielle sektor er under angreb mere eller mindre konstant.”
I Finansrådet peger juridisk konsulent Henriette Rolskov på, at en 100 pct. sikker serviceydelse ikke er mulig, når man er koblet på internettet. Men NemID og bankernes løsninger er robuste, og sikkerheden er meget høj. Det skyldes, at der konstant arbejdes med sikkerhed som en dynamisk disciplin, samt at sikkerheden i en løsning består af flere led, hvor der hele tiden kan arbejdes med sikkerhedsniveauer rettet imod den enkelte transaktion.
”Bankerne holder konstant øje med det kriminelle marked for at spotte nye tendenser eksempelvis i udlandet, fordi trusselsbilledet hele tiden udvikler sig. I takt med udviklingen skal vi arbejde med it-sikkerhed både på det tekniske, administrative og menneskelige niveau. Det er en balancegang, og det skal gøres på en måde, så løsningerne følger med tiden og indfrier kundernes forventninger til brugervenlighed,” forklarer Henriette Rolskov.

Henriette Rolskov, Juridisk konsulent, Finansrådet.

Henriette Rolskov, Juridisk konsulent, Finansrådet.

I er vores firewall
Topdanmark har garderet sig sikkerhedsmæssigt med masser af teknik, men satser desuden på at klæde ledere og medarbejdere på til at håndtere oplysningerne på en god måde:
”Det afgørende er, at medarbejderne tænker over, hvad det er for informationer, de sidder med, og hvordan de behandler dem”, siger Brian Lind og oplyser, at Topdanmark lige har kørt en awareness kampagne.
Som finansiel virksomhed, der reguleres af Finanstilsynet, skal Topdanmark leve op til et omfattende regelsæt. ”Det gør vi naturligvis. Men regler og teknik gør det ikke alene. Derfor må vi have medarbejderne ind som positiv medspiller og sige: I er den menneskelige firewall i Topdanmark, og vi kan komme langt hvis, vi tænker over, hvad vi stopper i maskinerne (usb), og hvad vi klikker på i mails (links), og hvad vi fortæller folk i telefonen, når de ringer ind (oplysninger gives ikke ukritisk). Vi skal også vide, hvem vi lukker ind ad vores døre, for hackerne i dag er så avancerede, at de ikke længere kun bruger teknik. De forsøger også at manipulere f.eks. via telefonsamtaler eller ved at komme ind i vores fysiske omgivelser og prøve at snakke sig gennem receptionen og forbi nogle medarbejdere, så de pludselig er inde i huset og måske kan sætte noget lytteudstyr eller andet op. Så vi skal alle være opmærksomme uden at være Fort Knox,” siger han.

Cyber Crime
I forhold til den internationale trussel bliver det hele tiden af større betydning at kunne agere internationalt såvel præventivt i forbindelse med opklaring af kriminalitet. Derfor ser Finansrådet det som en vigtig beslutning at oprette det nye Center for Cyber Crime, som kan fokusere på truslerne og samle kræfterne, siger Henriette Rolskov.
Der er et stort behov for at øge it-sikkerhedskompetencerne over alt i det danske samfund. Henriette Rolskov mener derfor, at oprettelsen af en ny uddannelse på DTU, hvor det nu er muligt at tage en kandidatgrad i computersikkerhed og underspecialisere sig i cyber security, er et væsentligt skridt i den rigtige retning for hele Danmarks sikkerhed.

Der er lukket for kommentarer.