En ny undersøgelse fra PwC viser, at omfanget af cyberkriminelle angreb det seneste år er steget fra 28-42 mio. Det koster ifølge PwC i gennemsnit en virksomhed eller offentlig myndighed 20 mio. kr. at komme på fode igen efter et cyberangreb. Samtidig vurderer den britiske storbank Lloyds de samlede årlige omkostninger ved cyberkriminalitet til omkring 400 mia. dollars.
Disse tal fik mandag formiddag danske politikere, IT-sikkerhedseksperter fra såvel private virksomheder som offentlige myndigheder og mediefolk til at spidse ører fra første minut af Finansrådets konference ”Cybersikkerhed – en samfundsudfordring?”
-I bankerne lever vi af kundernes tillid. Kunderne skal være trygge, når de overlader deres penge og data til os, selv om vi løbende er udsat for forsøg på netbankindbrud, kortsvindel og phishingangreb, forklarede Ulrik Nødgaard indledningsvis og opfordrede samtidig politikerne til at skabe et forum, hvor private virksomheder og offentlige myndigheder kan samarbejde om IT-sikkerhed.
-For problemerne med IT-sikkerhed bliver ikke mindre fremover. Derfor er det samtidig vigtigt, at vi får styrket det internationale samarbejde, så politiet har de rette muligheder for at efterforske på tværs af landegrænser, pointerede Ulrik Nødgaard videre i sin åbningstale.
IT-sikkerhed er et ledelsesansvar
Ifølge konferencens første hovedtaler, teknologi- og sikkerhedschef i PwC, Mads Nørgaard Madsen, er hverken virksomheder, myndigheder eller private borgere reelt vidende om, hvilke sikkerhedsrisici, der er forbundet med at være online.
-Vi deler alt i dag, vi tager selfies og billeder af alverdens ting, vi kaster ting ud på nettet fra højre til venstre, og vi stiller alle mulige services til rådighed på vores hjemmesider. Det, vi ikke er klar over, er, at de ting kan misbruges, forklarede Mads Nørgaard Madsen og fortsatte:
-Den teknologiske udvikling går så hurtigt, at vi glemmer sikkerheden. Hver eneste gang vi køber et device, som kan gå på nettet, så udsætter vi os for en sikkerhedstrussel. Selv om rigtig mange virksomheder i dag udstyrer deres ansatte med iPads og mobiltelefoner, er der meget få virksomheder, som har en sikkerhedspolitik og sikkerhedstrategi. Og det betyder, at det at være IT-kriminel i dag er ensbetydende med masser af penge og ingen risiko, det er faktisk et frit tag-selv-bord.
-Hvad gør vi så med den voksende digitalisering af samfundet og de stigende trusler, spurgte Mads Nørgaard Madsen henvendt til den fyldte sal. Og lod spørgsmålet hænge i luften…
Ingen svar.
-Meget få danske virksomheder kender trusselsbilledet. Meget få virksomheder får lavet en sikkerhedsvurdering, så de ved ikke, hvor sårbare, de er. Men der mangler ressourcer og kompetencer i alle led i dag, konstaterede Mads Nørgaard og leverede den første af sine to hovedpointer:
-IT-sikkerhed er et ledelsesansvar, det er ikke noget, som virksomhederne skal overlade til en IT-medarbejder. Virksomhederne skal have kulturen om sikkerhed med ind i alt, hvad vi laver. Man kan spare mange penge ved at tænke sikkerhed ind fra starten, og jeg er sikker på, at IT-sikkerhed bliver ekstremt vigtigt konkurrenceparameter.
Mads Nørgaard Madsen fulgte op med sin anden hovedpointe:
-Hvis vi skal lykkes med at ændre kulturen omkring IT-sikkerhed, mener jeg, at vi skal sætte ind med undervisning. Vi skal starte allerede i folkeskolen, og jeg mener også, at universiteterne burde have en pligt til at skabe forståelse for sikkerhedsproblematikkerne på tværs af alle uddannelsesretninger. Vi kan simpelthen ikke vente, afsluttede han.
Samarbejde er helt centralt
Konferencens anden hovedtaler var Troels Ørting Jørgensen, der er IT-sikkerhedschef i den britiske storbank Barclays.
-Vi har 132.000 ansatte i 50 lande og 48 mio. kunder. Jeg vil gerne indrømme, at man kan få grå hår i hovedet af at skulle styr på deres sikkerhed, indledte den danske IT-sikkerhedschef, der har en fortid i Europol.
-I Barclays arbejder vi som så mange andre banker, også de danske, henimod et scenarie, hvor alt bankvirksomhed foregår online. I banken fokuserer vi på privacy og security, men for kunderne handler det om lette og bekvemme løsninger. Det er en udfordring at beskytte alle vores oplysninger - også hos tredjeparter – samtidig med at skulle innovere og levere finansielle services og produkter hurtigt og bekvemt i et sikkerhedsscenarie, hvor vi hver eneste dag er udsat for tusindvis af cyberangreb, forklarede Troels Ørting Jørgensen.
Han fortsatte:
-I Barclays har vi 4.000 programmører og 3.000 designere, vi er næsten et softwareselskab. Alligevel er vi nødt til at samarbejde med andre banker, med andre sektorer og offentlige myndigheder på sikkerhedsområdet, hvis vi skal gøre internettet til et mere sikkert sted at færdes. I dag arbejder vi mest sammen med Europol, for ingen nation eller virksomhed kan tackle det her selv, det er vi nødt til at forstå. Vi skal huske på, at man i den fysiske verden kun kan lave et røveri af gangen, mens man i cyberspace kan begå 1 mio. røverier på 20 sekunder. Og alle kan blive cyberkriminelle, hvis de vil, så let er det faktisk.
Også Troels Ørting Jørgensen opfordrede til at ændre hele kulturen omkring IT-sikkerhed. -Vi bør alle sammen vide meget mere om IT-sikkerhed, sagde han, -det er nødt til at blive aflejret i kulturen, for vi skal meget længere end antivirus og firewalls. Og her har politikerne en opgave i at sørge for, at der kommer mere uddannelse på området og mere samarbejde mellem private virksomheder og offentlige myndigheder, det er jeg helt enig i.
Større trussel end terror
Til den afsluttende paneldebat fik den tidligere justitsminister Morten Bødskov og DF’s nyvalgte IT-ordfører Jan Callesen lejlighed til at tilkendegive deres holdninger til IT-sikkerhed.
Morten Bødskov lagde for:
-Vi taler her om et emne, IT-sikkerhed, som er top of the pops over hel verden. Det var det emne, som præsidenterne fra USA og Kina talte om på deres nylige topmøde. Det synes jeg, er en meget god illustration af, hvor stor en trussel, vi står overfor. FBI har også en selvstændig liste over most wanted cyberkriminelle. Den trussel vi står overfor nu, bliver kun større. Cyberkriminalitet er en langt større trussel end terror, sagde Morten Bødskov.
-Hovedproblemet er, at vi politikere allerede er langt bagefter. Og lykkes det endelig at fange en teenager fra en fugtig kælder i Ukraine, så har vi ingen udvekslingsaftaler. Derfor står hele systemet står over for en udfordring, sagde Bødskov videre og foreslog cyberkriminalitet som et emne i det kommende politiforlig.
Det var Jan Callesen åben overfor:
-Vi skal have set på IT-sikkerhed politisk, fordi det handler om borgernes sikkerhed. Derfor vil jeg gå videre med det her. At gøre cyberkriminalitet til en del af politiforliget, er faktisk en rigtig god idé, kvitterede DF’s IT-ordfører. Jan Callesen gav samtidig udtryk for, at han gerne så, at IT-sikkerhed blev en del af pensum i skolerne.
-Min egen søn ved meget mere om, hvad man kan og ikke kan med en telefon eller en iPad. Jeg tror simpelthen ikke på, at forældrene er dygtige nok til at løfte opgaven med at klæde deres børn på til at begå sig sikkert på nettet. Der er folkeskolen et langt bedre sted, argumenterede Jan Callesen.
Retsforbeholdet
Morten Bødskov benyttede lejligheden til ganske kort at knytte debatten om IT-sikkerhed sammen med den forestående afstemning den 3. december om det danske retsforbehold.
-Jeg synes, at man skal lytte til dansk politi. Hvis man ikke kan se værdien af, at Danmark er med i et tæt internationalt samarbejde om bl.a. cyberkriminalitet, ja, så… Jeg synes, at man skal gøre det helt enkelt og stemme ja, og det mener jeg faktisk meget alvorligt, lød det fra den tidligere justitsminister med direkte adresse til Jan Callesen.
-Du ved godt Morten, at jeg jo ikke mener, at det retsforbehold har noget med politiet at gøre, og jeg går selvfølgelig ind for et samarbejde over grænserne ift. bekæmpelse af cyberkriminalitet, svarede Callesen.
-Ja, I vil jo gerne have individuelle folkeafstemninger om alle retsakterne, så vi kan rende til stemmeurnerne i et væk, replicerede Morten Bødskov og afbrød selv de politiske drillerier:
-Nu er vi jo ikke kommet for at diskutere retsforbeholdet, begyndte han og blev mødt med store smil fra salen.
-Må jeg ikke sige, at det nok står rimelig klart for enhver, at jeg mener, at der skal være et tæt samarbejde hen over grænserne, lige som jeg er enig med Finansrådet i, at vi i Danmark har behov for at øge samarbejdet mellem private virksomheder og offentlige myndigheder – og myndighederne imellem. Jeg vil også sige, at jeg jo ikke er modstander af de markedsøkonomiske kræfter, og IT-sikkerhed kan jo gå hen og blive et konkurrenceparameter. Man kunne tænke sig, at virksomhederne lavede et sikkerhedspolitisk regnskab ved siden af den normale balance. Lige som man kan få en god rente i banken, så kan man også få en god sikkerhed. Bare for at sige, at der også er positive muligheder i forhold til IT-sikkerhed, påpegede Morten Bødskov.