Angreb fra russiske hacker-hære er ikke fremmed for Claus Hallas Nielsen. Til hverdag er han driftsdirektør i Auto IT, men han har også berøring med IT-sikkerhed i sit arbejde som kaptajn i Forsvaret. Han ser et stigende trusselbillede fra hackere, der stjæler data og smadrer IT-systemer for så at forlange løsepenge for at slippe grebet og returnere systemerne igen. Det som i IT-branchen kaldes for ransomware-angreb.
Derfor investerer Auto IT massivt i to ting – for det første at undgå, hackere finder et hul og piller i systemerne, og for det andet at have et beredskab til, hvis det skulle ske.
”Fremmede stater er ikke den største trussel for os. Som IT-virksomhed for bilbranchen er vi ikke umiddelbart et oplagt mål. Men hackere fra ransomware-organisationer er derimod en reel og stigende trussel, som vi de sidste tre år har brugt flest penge og ressourcer på at dæmme op for,” siger Claus Hallas Nielsen, der heldigvis stadig har til gode at blive overmandet på sit IT-forsvar. Godt det samme, for Auto IT står bag salgsprogrammet AutoDesktop, der hvert år producerer slutsedler for over halvdelen af alle nye og brugte biler, der sælges i Danmark.
Ingen cola i kældre
”Ransomware-organisationer består ikke af en flok knægte, som tyller cola nede i en mørk kælder. Det er dybt professionelle organisationer, hvor folk arbejder 8-16 og bruger hele dagen på at analysere og lokalisere mulige mål, finde svagheder og sætte angreb ind. Typisk vil de snige sig ind via en brugeradgang med så mange rettigheder som muligt, fx firmaets IT-medarbejder, og så bruge måneder på at afdække systemets infrastruktur, mens de lægger onde ting ind, som kan aktiveres senere. Når de så slår til og skaden er sket, så er det vigtigt at have en beredskabsplan, for da har hackerne sikret sig så tæt på fuld kontrol som muligt for dem,” fortæller Claus Hallas Nielsen, der dog har flere våben klar imod det.
”Man kan fx afdække mønstre. På den måde kan vi se, hvis en bruger gør noget, han ikke plejer eller på andre tidspunkter end normalt, altså besøger mapper på et fællesdrev, han aldrig har besøgt før, eller pludselig logger på om natten, eller logger på mange gange hurtigt,” forklarer Claus Hallas Nielsen, der ikke vil afsløre andre af sine tricks, for det kunne jo være at uærlige personer læser med. Men en ting er fælles – det er ikke gratis.
”Sådanne smarte systemer er vanvittigt dyre, og læg dertil at vi skal køre og vedligeholde sikkerhedskopier på alt det data, som flyder gennem AutoDesktop. Det koster også lidt,” afslører Claus Hallas Nielsen, der fremhæver et andet ben i strategien om at sikre IT-virksomheden mod angreb.
”Massiv overvågning. Det gør, at vi hurtigt kan registrere uregelmæssigheder, og sørge for at lukke hullet. Ser vi noget hos os, vi har kontrol over, kan det også være, vi ser noget, der er mistænkeligt ude hos forhandlernes systemer og kan advare dem,” uddyber Claus Hallas Nielsen.
Lovkrav gør IT endnu dyrere
En ting er trusselsbilledet, noget andet er loven, som også giver driftsdirektøren sved på overlæben. Især GDPR har ændret IT-verdenen radikalt med store omkostninger til følge.
”GDPR er ikke så svært at forstå, men utroligt komplekst at indføre både for os, men også for bilforhandlerne. Det er et fælles mål, hvor vi ikke kan løse alt for bilforhandlerne – dertil er GDPR for vidtrækkende, men så vidt muligt giver vi en håndsrækning, ved at udvikle værktøjer til branchen,” lover Claus Hallas Nielsen.
Det gælder fx udviklingen af en slettemaskine. GDPR går blandt andet ud på, at man kun opbevarer data, så længe det er relevant, hvorefter det slettes – senest er det Kongelige Teater blevet politianmeldt af Datatilsynet og står til en bøde på en kvart mio. kr., blot for ikke at have en sletterutine over deres kundedata.
”Vi har netop indført, at man som standard automatisk kan få slettet udvalgt kundedata fra AutoDesktop, alt efter den enkelte bilforhandlers slettepolitik. Slettemaskinen har været, og er fortsat, kompleks at udvikle – ikke for meget eller for lidt skal slettes, og dertil har vi skullet udvikle en overvågning af systemet, så vi både sikrer driften og kan registrere, hvad og hvornår ting er slettet, så det kan dokumenteres overfor forhandlerne og over for myndighederne,” forklarer Claus Hallas Nielsen, der peger på endnu en omkostning.
Auto IT skal som IT-firma og såkaldt databehandler – altså et firma, der ikke indsamler persondata til sig selv, men indsamler og opbevarer persondata på vegne af andre – også overholder deres specifikke del af GDPR.
Når det arbejde er gjort, skal det gerne ende ud i en såkaldt revisorerklæring, som kan sammenlignes med en bogholders årlige revisorbesøg, der tjekker om god regnskabsskik er overholdt. Her handler det bare om GDPR.
Det har krævet månedsvis besøg af en GDPR-konsulent for at alle 75 medarbejderes specifikke omgang med data blev efterkontrolleret og få alle systemer og procedurer tilpasset. Oveni er lavet en registrering, så alt kan dokumenteres, at det foregår efter bogen. Det er en arbejdsproces, som foregår løbende.
En af de største investeringer – nogensinde
Alle de her omkostninger med at udvikle nye systemer, overvågninger og konsulentbistand skal jo bæres af nogle, og her er kun en som betaler – dem som bruger systemet, altså AutoDesktop.
”Det nærmer sig en af de største investeringer, vi nogensinde har lavet i Auto IT og på AutoDesktop. Selv om det er nær usynlige forbedringer, der jo ikke rigtigt handler om at gøre bilsalg lettere for bilforhandlere, kan det ikke undgå at give dyrere IT. Men vi er branchens IT-selskab, så det er vores forpligtelse, at vi har fødderne på bolden på det her. Til gengæld vil det helt sikkert i ganske nær fremtid bliver et konkurrenceparameter, selv om få interesserer sig for det lige nu,” forsvarer driftsdirektøren sig og skynder sig at tilføje, at selv om Auto IT har fokus, skal forhandlerne også have det i deres ende.
”Det kræver muligvis juridisk bistand at få styr på alt det komplekse og nødvendige omkring GDPR, så du ikke står nøgen, når Datatilsynet kigger uanmeldt forbi. Vi er ikke jurister, så brug din brancheorganisation,” opfordrer driftsdirektøren.
—
Hvad er GDPR?
Ifølge driftsdirektøren hos Auto IT kan man dele GDPR op i to dele når man skal starte med at få overblikket. For det første, når du opbevarer persondata, skal du have en privatlivspolitik, som forklarer, hvilke personoplysninger du behandler, hvorfor du må behandle personoplysningerne, hvad oplysningerne bruges til, hvem de deles med, hvor længe personoplysningerne opbevares og hvilken sikkerhed der bruges i forbindelse med behandlingen.
Del to er oplysningspligten. I det øjeblik du registrerer personoplysninger, har du pligt til at informere den pågældende om det på en synlig måde.
Læs mere om GDPR til AutoDesktop her.