26-02-2018

Banker skal være endnu bedre til at opdage it-angreb

Indtil nu har de danske pengeinstitutter været gode til at forhindre de kriminelle til at gøre stor skade, vurderer Poul Otto Schousboe, it-sikkerhedschef i Danske Bank. Men kravene til både banker og medarbejderne bliver skærpet i fremtiden, mener han.

 
Af Peder Bjerge,freelancejournalist, peder@bjerge.net og Carsten Jørgensen, cjo@finansforbundet.dk

​Der findes to slags virksomheder: Dem der ved, at de er blevet hacket. Og dem der ikke har opdaget det endnu.

Pointen fra Poul Otto Schousboe, Chief Information Security Officer i Danske Bank, er, at man skal være ydmyg overfor den massive trussel fra de it-kriminelle, der som en vinterstorm kun synes at tage til i styrke.Som et eksempel på intensiteten af angrebene henviser han til, at pc'er udstyret med Windows-styresystemer i snit har fået nye sikkerhedsopdateringer hver anden dag i januar måned.

Presset fortsætter

Alligevel har man ikke set nogle større tilfælde med digitale indbrud i de danske pengeinstitutter de sidste mange år.

"Det hænger bl.a. sammen med de skærpede sikkerhedskrav til pengeinstitutterne samt institutternes eget fokus på at skabe en intern sikkerhedskultur blandt medarbejderne," siger den erfarne it-sikkerhedschef, der de sidste 30 år har arbejdet med it-sikkerhed i Forsvaret og den finansielle sektor.

De gode resultater til trods er der ikke plads til at læne sig tilbage i stolen. I de kommende år vil kravene blive skærpet yderligere til både pengeinstitutterne og medarbejdere, understreger Poul Otto Schousboe. Der er ingen tegn på, at der bliver færre angreb på bankernes systemer eller på kunderne, som de kriminelle ind i mellem har haft held til at narre til at sende deres penge de forkerte steder hen.

Ikke flovt at klikke forkert

Og her vil de ansatte være en stadig vigtigere faktor i den kommende indsats for at holde de kriminelle ude eller begrænse skaderne, hvis de endeligt kommer indenfor i bankens it-systemer.

"I banken gør vi meget ud af awareness-kampagner for at gøre medarbejderne opmærksomme på, at der ikke er noget flovt i at have klikket på det forkerte link. Jeg vil meget hellere have, at en medarbejder selv kommer til os, når det går galt. Netop fordi vores evne til hurtigt at opdage angreb er et væsentligt aktiv", siger Poul Otto Schousboe.

Han understreger, at man ikke kan løse problemer med it-sikkerhed ved blot at indkøbe de bedste tekniske sikkerhedssystemer. Man er simpelthen også nødt til at have den rigtige balance mellem systemer, processer og – ikke mindst – medarbejdere.

Statistik for første halvår af 2017

I første halvår af 2017 registrerede Finans Danmark, at der blev begået 16 netbankindbrud (installation af hacker-programmer på brugerens PC, mobil eller tablet) og 109 gennemførte indbrud ved Social engineering, hvor brugeren lokkes til at afgive eller indtaste oplysninger (id, password og nøglekortkoder) til de it-kriminelle på baggrund af falske mails, SMS eller telefonopkald.
De It-kriminelles udbytte blev i alt cirka 3,4 millioner kroner. Bankerne dækker tabet for privatkunder.

TAGS:

Sektorens udvikling og vilkår; Fintech & IT