Dummere end politiet tillader findes ikke, når det handler om it-sikkerhed

En dårlig beskyttet virksomheds computere kan blive misbrugt til at sprede virus og spam, eller hackere kan overtage computerne og bruge dem til at genere andre internetbrugere. Men sjusk med sikkerheden kan ikke straffes, uanset hvor meget der er gået spaghetti i netværket. Arkivfoto: Scanpix

Dummere end politiet tillader findes ikke, når det handler om it-sikkerhed

Modtagerens email *:
Din e-mail *:
Dit navn *:
Evt. kommentar:

*) skal udfyldes.

Lemfældig omgang med persondata kan give en bøde, men ellers skal man gøre sig virkelig umage for at blive straffet for dårlig it-sikkerhed.

ØSTJYLLAND: Hvis man kører uden sikkerhedssele eller sender en medarbejder ud på byggepladsen uden hjelm, er der høj risiko for at få en bøde.

Men hvad sker der, hvis en hacker udnytter virksomhedens elendigt beskyttede computere til kriminelle handlinger på internettet? Sandsynligvis ingenting.

Inden for it-faglige kredse har det ellers i mange år været diskuteret, om internetbrugere burde kunne straffes for at være dummere end politiet tillader - eller i hvert fald for at være ligeglade med it-sikkerhed.

Spørgsmålet blev højaktuelt i sommeren 2001, hvor "CodeRed Worm" med lynets hast spredte sig automatisk til millioner af computere og servere i hele verden - ofte til computere, som blot manglede basale systemopdateringer fra Windows Update.

Dengang var professor i jura ved Københavns Universitet Mads Bryde Andersen et af de varmeste navne i it-branchen herhjemme. Han skrev en af de første danske lærebøger om it-jura og advarede om tendenser fra USA, hvor virksomheder blev sagsøgt, fordi deres dårligt beskyttede computere generede andre brugere ved at sprede virus, spam og denial-of-service-trafik.

Men advokaterne fik ikke så travlt i Danmark.

- Det kan siges meget kort: Der skete ingenting, siger Mads Bryde Andersen, som har skiftet fagligt fokus og i dag beskæftiger sig med jura inden for pensionsområdet.

Fem tips: Kom i gang med it-sikkerhed
Begynd med det basale, som alle internetbrugere bør gøre: Hold dine computere opdateret med for eksempel Windows Update, brug et antivirusprogram, aktiver firewall og husk at tage backup. Kan du ikke hitte ud af det, så indgå aftale med en it-leverandør, som kan.Dansk Industri har udgivet flere vejledninger med uvildige råd til medlemsvirksomhederne om it-sikkerhed.

Dansk IT og politiet har sammen udgivet et letlæseligt dokument om, hvordan man bør forholde sig både præventivt og - hvis man alligevel bliver udsat for cyberangreb - hvordan man standser ulykken og sikrer spor til opklaringsarbejdet.

De fleste større revisionsfirmaer tilbyder it-revision, altså en ekstern gennemgang af både procedurer og tekniske systemer.

Brug dit netværk til at udveksle erfaringer, også hvis du får et godt tilbud fra en it-konsulent. Det er okay at spørge, om andre i dit netværk kender ham/hende.

Kilde: Torben Jørgensen, indehaver InfoSec Partner

Venter på første GDPR-bøde

Først da EU-persondataforordningen (GDPR) trådte i kraft i maj 2018, kom der igen fokus på risikoen for straf, hvis man agerer skødesløst på internettet.

Reglerne nævner en straframme med bøder på op til fire procent af virksomhedens størrelse. Frygten for bøder har haft en positiv effekt på at skærpe it-sikkerheden. Men frygten er nok også en smule overvurderet, mener professor i it-ret Henrik Udsen, Københavns Universitet.

- Vi har ikke tradition for bøder, som er ret meget højere end 25.000 kroner. Der er dog lagt op til en skærpelse med GDPR, men der er endnu ikke afgjort nogen sager, så vi kender ikke praksis, siger Henrik Udsen.

EU-reglerne giver de nationale tilsynsmyndigheder adgang til at udstede administrative bøder. Men den danske grundlov siger, at kun domstolene må straffe, så Datatilsynets magt er begrænset til at vurdere, om der er grundlag for en politianmeldelse. Og først, hvis anklagemyndigheden mener, at der kan føres bevis for, at der er sket en ansvarspådragende pligtforsømmelse, kan sagen havne i retten.

- Det er uklart, om det kan få betydning. Det kan godt blive et ressourcespørgsmål, som afgør, hvor mange sager der bliver rejst, vurderer Henrik Udsen.

Straf hjælper ikke

Torben Jørgensen har arbejdet med it-sikkerhed i 20 år for flere af de største virksomheder i Danmark. Nu driver han sit eget konsulentfirma InfoSec Partner med base i Østjylland og er formand for Fagrådet for Informationssikkerhed under interesseorganisationen Dansk IT.

Han konstaterer, at man aldrig kan gardere sig 100 procent mod it-sikkerhedsbrister, blandt andet fordi udenlandske efterretningstjenester kan stå bag målrettede angreb. Derfor kan det også være svært at sætte en grænse for, hvornår man har beskyttet sig "dårligere end politiet tillader".

- Angsten for straf er i virkeligheden den forkerte motivation. Man skal investere i it-sikkerhed, fordi virksomheden har gavn af det. En del af risikovurderingen handler om at vurdere, hvad nedetid koster, hvis it-systemet bliver sat ud af kraft. Og hvilken betydning kan en sikkerhedsbrist få for kundetilliden og forholdet til leverandører og samarbejdspartnere? De spørgsmål har langt større effekt på direktørgangen, når den it-ansvarlige beder om ressourcer til at styrke sikkerheden, siger Torben Jørgensen.

Rederiet Mærsk blev i sommeren 2017 ramt af et omfattende hackerangreb, som i 10 dage lammede selskabet. Produktionstabet blev i det efterfølgende halvårsregnskab opgjort til mindst halvanden milliard kroner. Ifølge Forsvarsministeret var det russiske hackere, som stod bag angrebet.

Dummere end politiet tillader findes ikke, når det handler om it-sikkerhed

Modtagerens email *:
Din e-mail *:
Dit navn *:
Evt. kommentar:

*) skal udfyldes.

Annonce
Annonce
Annonce