Annonce
Annonce
Økonomi

Flere danske firmaer betaler for at blive hacket

Stadig flere danske virksomheder hyrer it-sikkerhedsfirmaer til at hacke sig ind og finde sikkerhedshuller, inden ondsindede hackere gør det. En sådan ydelse kan koste op mod 2 millioner kroner.

Annonce

Sagen kort

Id-tyveri

Politiken kunne søndag (3/1) fortælle, hvordan vi med få klik og lidt teknisk snilde kunne købe to danskeres personoplysninger inklusive betalingskortoplysninger for under 100 kr. stykket på den sorte internetmarkedsplads AlphaBay.

Oplysninger, der formentlig stammer fra en netbutik, der er blevet hacket.

Den første pakke med personoplysninger, vi købte, stammede fra Luis Madsen, som allerede havde spærret sit kort. Vi klagede derfor til sælgeren, fik pengene tilbage og købte en ny identitet - Lisbeth - som bekræftede, at de kortoplysninger, vi havde købt, var korrekte og uspærrede.

Lisbeth kunne samtidig fortælle, at hun kun havde nået at bruge sit dankort i fire forskellige internetbutikker, inden vi købte det, og hun mistænkte derfor særligt én af de fire butikker for at være den butik, hvorfra hendes oplysninger blev stjålet. Butikken afviser dog selv at være bevet hacket.

Normalt anses det at blive hacket for noget ganske slemt. Men i takt med at it-sikkerhed bliver stadig vigtigere for danske virksomheder, betaler flere af dem ligefrem for at blive hacket.

Vel at mærke af it-sikkerhedsfirmaer, som ved hjælp af hackerangrebene kan afsløre firmaernes sikkerhedshuller, inden ondsindede hackere gør det.

»Vi kan mærke en stigende efterspørgsel efter vores hjælp, fordi det i stadig højere grad går op for virksomhederne, at god it-sikkerhed er fuldstændig afgørende«, siger Jesper Helbrandt, stifter og direktør i Digicure, der er en af de it-sikkerhedsvirksomheder, der udfører sådanne hackerangreb.

Ifølge Jesper Helbrandt har virksomheden over 400 danske kunder, hvoraf over halvdelen får udført de kontrollerede hackerangreb.

LÆS OGSÅKundeservicen var i top, da Politiken købte to danskeres personlige oplysninger

Også de to globale konsulentvirksomheder Pricewaterhousecoopers (PWC) og Ernst & Young udfører kontrollerede hackerangreb – eller penetrationstests, som godsindet hacking normalt kaldes – for flere af deres danske kunder.

Vi opfordrer klart virksomheder til at få foretaget penetrationstests, altså hacking, af deres systemer udefra

Henning Mortensen, chefkonsulent i DI.

Præcis hvor mange vil de af konkurrencemæssige hensyn ikke ud med, men de melder begge om en stigende tendens. Samme melding lyder fra Deloitte og danske FortConsult, der udfører de kontrollerede hacks for henholdsvis over 100 og over 200 af deres danske kunder.

Som Politiken kunne fortælle søndag, kunne vi med få klik og lidt teknisk snilde købe to danskeres personoplysninger, herunder betalingskortnummer, fra den sorte internetmarkedsplads AlphaBay for under 100 kroner stykket.

Oplysninger, der formentlig er stjålet ved hjælp af hackerangreb fra en af de mange netbutikker, som ligger inde med kortoplysninger fra sine kunder. Mange virksomheders it-sikkerhed er nemlig alt for dårlig, understregede både eksperter og erhvervsliv over for Politiken.

Stigende fokus på it-sikkerhed

Men fokus på it-sikkerhed er tilsyneladende stigende blandt danske virksomheder. I en undersøgelse af PWC i 2015 svarede omkring hver anden af 250 danske firmaer, at de får udført en sikkerhedstest mindst én gang om året. Det er dog primært de store virksomheder.

Et af de firmaer, som får udført hackerangreb af Digicure, er Matas, hvilket Børsen kunne fortælle i går.

LÆS OGSÅLisbeths sag: Mistænkt netbutik afviser, at den er blevet hacket

De betaler Digicure for hver tredje måned at lave et direkte hackerangreb og forsøge at hente persondata fra de 1,6 millioner kunder i Club Matas, Danmarks største kundeklub.

Det går i stadig højere grad op for virksomhederne, at god it-sikkerhed er fuldstændig afgørende

Jesper Helbrandt, Digicure

Og Digicures kontrollerede hackerangreb har ifølge Matas’ informations- og miljøchef, Henrik Engberg Johannsen, hjulpet Matas til at øge sikkerheden:

»De har peget på nogle få områder, hvor vi kan gøre det endnu mere sikkert, hvilket vi så har gjort«, siger han til Børsen.

DI anbefaler alle at blive hacket

Sikkerhedsfirmaerne tilbyder forskellige former for hackerangreb. Blandt de allermest omfattende er det såkaldte red team testing, hvor sikkerhedsfirmaet sætter flere af sine ansatte til at forsøge at udføre angreb i en bestemt virksomhed over en 3- til 6-måneders periode. En sådan pakke koster hos Deloitte mellem 0,5 og 2 millioner kroner.

De kontrollerede hackerangreb er dog langtfra de eneste tjenester, sikkerhedsfirmaerne udfører. Digicure tilbyder blandt andet også tests af, hvor opmærksomme virksomhedernes medarbejdere er.

Dem udfører de ved at sende medarbejderne mistænkelige mails og se, om de trykker på det medfølgende link, eller ved at ringe medarbejdere op og forsøge at lokke fortrolige oplysninger ud af dem.

LÆS OGSÅNetbutikker beskytter ikke dine personoplysninger

Dansk Industri (DI) har ikke noget overblik over, hvor mange af brancheforeningens medlemmer der får udført kontrollerede hackerangreb af sikkerhedsfirmaer – men anbefalingen er klar:

»Vi opfordrer klart virksomheder til at få foretaget penetrationstests, altså hacking, af deres systemer udefra«, siger Henning Mortensen, chefkonsulent i DI.

»Når man angriber et system, ser man på det på en anden måde, end hvis man sidder på indersiden. På indersiden sidder man med en tjekliste, og når man så har gennemført hele den tjekliste, tænker man, at man er sikker. Men når man sidder på ydersiden, leder man i stedet efter alle de mulige huller, og derfor er en penetrationstest en rigtig god måde, hvorpå man kan teste, om sikkerheden nu også er i orden«, tilføjer han.

Ny EU-lov straffer ubeskyttede

Om få år kan virksomheder, der ikke har sikkerheden i orden, risikere at blive ramt om muligt endnu hårdere, end de risikerer at blive i dag, hvis de bliver udsat for et hackerangreb.

En helt ny EU-lov, der efter planen implementeres om 2 år, vil nemlig gøre det muligt at give bøder på op til 20 millioner euro (150 millioner kroner) eller 4 procent af årsomsætningen til virksomheder, der ikke har styr på sikkerheden. Ifølge Digicure kan det også komme til at ramme rigtig mange danske virksomheder:

Problemet er, at der lige nu er flere virksomheder, end der er eksperter, der kan hjælpe dem

Henning Mortensen, chefkonsulent i DI

»Problemet er, at der lige nu er flere virksomheder, end der er eksperter, der kan hjælpe dem. Derfor går rigtig mange virksomheder en meget travl tid i møde, hvis de skal nå at leve op til de nye EU-regler, inden de bliver implementeret. Det gælder også det offentlige«, siger han.

Ligegyldigt hvor meget virksomheder gør for at sikre de data, de har på lager, bliver 100 procent sikkerhed aldrig muligt. Det er branchefolk generelt enige om.

LÆS OGSÅPå AlphaBay er pistoler, id og narko til salg

Men selv om man ikke kan nå fuld sikkerhed, kan man komme meget tæt på, og her er danske NemID måske det bedste bud lige nu, mener Jesper Helbrandt. Her er det smarte nemlig, at man skal gennem to trin for at logge ind – og trin nummer 2 er det kun den specifikke kunde eller borger, der ligger inde med i form af et plastikkort med en masse engangskoder.

Et lignende system har Google indført, så brugeren kan vælge at modtage en sms med en kode, hver gang man forsøger at logge ind på Gmail eller andre af Googles tjenester. På den måde sikrer man, at andre ikke kan logge ind på mailen, selv om de får fingre i éns kodeord.

NemID er da også under Digicures lup. Jesper Helbrandts medarbejdere har således længe forsøgt, om de kunne hacke sig ind på hjemmesider, der benytter NemID. Det er endnu ikke lykkedes, siger han: »Men vi bliver med at forsøge«.

Redaktionen anbefaler

Køb en dansk identitet for 98 kroner

Del link
Annonce
Mest læste
Dit politiken
Annonce