TILLIDSREPRÆSENTANTEN: MAN KAN GODT SAMMENLIGNE SEXISME OG IT-SIKKERHED

Der er nogle mennesker, der af og til kommer i kontakt med følsomme persondata på deres arbejde. De skal måske lige huske at logge af maskinen, når de går til frokost.

Og så er der IT-folk som Flemming Uldall, der er programmør hos CDX (der tidligere hed CSC Scandihealth, red.), hvor tingene er i en lidt anden skala.

Han arbejder jævnligt med SQL databaser med samtlige danske CPR-numre koblet op mod forskellige typer af sundhedsdata. Derfor er han også vant til, at sikkerhed tages meget alvorligt af både medarbejdere og chefer.

”Vores ledelse taler ofte om IT-sikkerhed og data-sikkerhed. Det fylder meget. Vi ved godt, at vi ikke kan klare at få sager på forsiden af Ekstrabladet.” Derfor er bare det, at tanken om en Ekstrabladsforside kommer op på et møde normalt nok til, at man vælger en anden og sikrere løsning.

”IT-sikkerhed handler også om at få talt om tingene, så man har en fælles forståelse for, hvad der er gode normer og etisk rigtigt. På den måde kan man godt sammenligne det med diskussionerne om metoo og sexisme.”
Flemming Uldall, Progammør, CDX

Skal læse op på et par standarder

Han er glad for, at der kommer endnu et værktøj, som man kan bruge til at tjekke sikkerheden i firmaet.

”Jeg skal have læst op på både DNSSEC og https-standarderne, fordi vi er ved at skifte noget i et program på en webserver. Her vil vi gerne skifte til https, men vi er nødt til at være omhyggelige, fordi vi ikke har ejerskab over al softwaren,” forklarer han.

Udfordringen kan være, at sikkerhed ikke bare handler om en enkelt teknisk standard, men handler om både om rettighedsstyring og om at hele få hele kæden til at fungere, når data flyttes mellem servere og programmer.

”Man kan ikke bare opgradere en standard uden at vide, om det passer sammen med de andre elementer i kæden. Samtidigt skal man i mange tilfælde også finde ud af, hvem der har adgang til at løse de forskellige dele af opgaven, netop fordi der er regler for, hvem der har adgang til at udføre grundlæggende ting på servere,” forklarer Flemming Uldall.

Der skal samles op efter nødsituationer

Han understreger også, at IT-sikkerhed ofte er en konstant balancegang mellem at have protokoller for alt og så kunne arbejde effektivt.

”Nogle gange står man i nødsituationer, som ikke passer ind i de regler og protokoller, man måske har skrevet ned. Hvem må f.eks. gå ind og sparke til serveren, hvis ham der har rettighederne, ikke er til stede? Her er det vigtigt ikke bare at få løst problemet, men også at få skrevet ned, hvad man har gjort. Ikke bare for at dække sin egen mås, men for reelt at kunne skabe en mere sikker procedure næste gang.”

Flemming Uldall mener, at det er helt afgørende, at man kan diskutere de mange forskellige aspekter af IT-sikkerhed åbent. Både de tekniske, men også de udfordringer, der handler om menneskelige fejl.

”IT-sikkerhed handler også om at få talt om tingene, så man har en fælles forståelse for, hvad der er gode normer og etisk rigtigt. På den måde kan man godt sammenligne det med diskussionerne om metoo og sexisme. Det er først, når vi begynder at diskutere tingene åbent, at vi får ændret på tingene og først der, at vi får fælles moralske værdier.”

Tunge tekniske mails

Linda Gärtner Nielsen har ligesom Flemming Uldall 20 års erfaring i IT-branchen. Hun har i tyve år arbejdet for KMD i forskellige roller – blandt andet som webkoordinator og solution architect. I dag arbejder hun mest med Microsoft 365-pakken og Sharepoint-løsninger. Begge steder er IT-sikkerhed helt essentielt.

Men det er den menneskelige faktor også, understreger Linda Gärtner Nielsen.

”Vi arbejder hele tiden med IT-sikkerhed, og lige nu kører vi f.eks. et større sikkerhedsprojekt, der gør, at vi skal blive compliant med en masse standarder på tværs af hele KMD. Vi kommer blandt andet til at øge kravene med multifaktor-godkendelse i flere sammenhænge,” forklarer hun.

I en virksomhed som KMD kommer den type tiltag naturligt nok fra den centrale sikkerhedsafdeling. Det sikrer et højt teknisk niveau, men kan også give udfordringer, når det rammer mange forskellige typer af brugere.

”En af de første mails, der blev sendt ud, havde en meget teknisk beskrivelse i emnefeltet. Det betød faktisk, at nogle kollegaer kom til at slette den, fordi de var bange for, at der fulgte malware med mailen,” forklarer hun med et smil på læben.

KMD har i dag japanske NEC som ejere og medarbejderne sidder derfor i flere lande. Det betyder også at firmasproget er engelsk.

”Det kan godt være lidt tungt at få en lang teknisk mail på engelsk. Men selv om folk godt kan blive trætte af ting, der kommer fra oven, så er der også en stor forståelse for, at hvis det handler om sikkerhed, så skal man selvfølgelig gøre som man får besked på,” understreger Linda Gärtner Nielsen.

Skal tjekke bådlaugets site

Hun har i øvrigt benyttet lejligheden til at køre et website, hun bestyrer for et bådlaug gennem SikkerPåNettet.dk’s analyse. Og selv om det er et fritidsprojekt, så er hun blevet nysgerrig nok til at undersøge opsætningen.

”Det kører på en WordPress-løsning, hvor jeg ikke kan ændre ret meget på den tekniske løsning. Men selv om sitet kører over https, så kan jeg se, at der ikke er fastlagt en hsts-politik for sitet (hsts er en delstandard inden for https, red.). Det skal jeg lige læse op på for at finde ud af, hvor meget det betyder for sikkerheden,” slutter Linda Gärtner.