nummer 2 26. februar 2021 41. årgang
Allan Frank fra Datatilsynet
kom med indenfor i Dubex’ nye
side 26
side 36
dykker ned i GDPR-statistikken
Cyber Defence Center i Søborg
løn Vivino kan ansætte udviklere til 30 procent lavere løn i Danmark side 40
fokus sikkerhed
Computerworld nummer 2 26. februar 2021 41. årgang
En ny kynisk metode gjorde 2020 til et hårdt år på cybersikkerhedsområdet. Og situationen spidser nu til, for XXX metoden har fået momentum, spår sikkerhedseksperten Peter Kruse.
Nyt værktøj til hackerne fokus på sikkerhed side 14-34
Teams Pro er lige rundt om hjørnet. Og Microsoft barsler også med flere brancherettede cloudløsninger side
10
det snusfornuftige alternativ Apple Watch
SE kan bestemt anbefales
side 44
Premium betyder mere. Hver eneste dag. Som Premium-bruger får du hver dag adgang til særlig relevant tech-indhold.
Prøv Premium i en måned.
www.computerworld.dk/premium
Vi tror på, at ny teknologi kan være med til at skabe en bedre fremtid og et bedre samfund for os alle. Derfor kæmper vi for et Danmark, der er en digital vindernation. Det er den interesse, som vi formidler på Computerworld Premium – en del af Computerworld forbeholdt digitale abonnenter. Premium er kritisk uafhængig journalistik og velformuleret videndeling om menneskene, virksomhederne og produkterne i det digitale spændingsfelt.
leder
Lad bare Facebook blokere for danske medier, så vi kan komme videre
V
i står midt i en gigantisk kamp om internettets fremtid. Nogle vil påstå, at det handler om frihed. Men reelt handler det om milliarder af dollars – og frihed for at blive underlagt politisk og dermed demokratisk kontrol. På den ene side står EU og danske politikere. På den anden side står Facebook og Google, som har tjent milliarder på at skabe de facto-monopoler på internetannoncer. En forretning, de har skabt og til dels kapret fra fodslæbende traditionelle medier. Derfor har analyser også vist, at hver gang, annoncemarkedet vokser med 10 kroner, havner knap ni af kronerne hos Face-
book eller Google. Det basale er, at for at vise annoncer kræver det indhold. Derfor er søgemaskiner og sociale medier golde ørkener uden brugere og det indhold, som brugerne deler. Medier, herunder danske, har derfor længe ønsket, at firmaer som Facebook og Google, der lukrerer på mediernes indhold, bør dele deres gigantiske fortjenester med indholdsleverandørerne. Senest har australske folkevalgte sat foden ned og arbejdet på en lov, som pålægger den form for overskudsdeling. Det er gift for tjenester som Google og Facebook. Derfor har Facebook lukket for, at selskabets platform kan forbinde til australske medier. Reaktionen er voldsom, men fra deres ideologiske og markedsmæssige ståsted forståelig. For på mange måder er reguleringen imod internettets ånd om fri adgang til den viden, som indholdsleverandører selv lægger
på nettet. Derfor har jeg også personligt været i tvivl – og betragtet mediernes krav om betaling som en lidt håbløs gentagelse af situationen dengang, de danske aviser kæmpede imod de såkaldte dybe links. Men de seneste års udvikling har gjort det klart, at de store monopoler ikke længere kan få lov til at agere uhindret. Uanset om det handler om at lægge platform til påvirkningskampagner fra Rusland eller censurere den farlige Onkel Reje. Den gode nyhed er, at Google har set skriften på væggen. Derfor har Google på verdensplan indgået aftaler om betaling til medier for de massive mængder af indhold, som reelt er benzinen i Googles søgemotor. Det efterlader i skrivende stund Facebook isoleret. Det er ikke overraskende, for Zuckerbergs imperium har længe været den mest stivnakkede modstander af politisk regulering.
indhold Computerworld A/S Hørkær 18 2730 Herlev Telefon 77 300 300 redaktionen@cw.dk Ansvarshavende chefredaktør Lars Jacobsen Annoncer annonce@cw.dk Tryk Cool Gray A/S ISSN 1604-3472
Det understreger, at mediernes kamp for betaling kun er en lille del af den kæmpe udfordring, vi har med techgiganterne. Men medierne må også selv tage konsekvensen. I mine øjne er Facebook i sin gode ret til at undlade at vise indhold fra danske medier. Jeg vil faktisk gå så vidt som til at opfordre dem til det. For mange danske medier har gjort sig afhængig af trafikken fra Facebook. For at få den trafik, deler medierne selv deres indhold – ofte på en så polarisende måde, at debatten lynhurtig bliver til den giftige og nederdrægtige sump, som offentlige debatter på Facebook uvægerligt er. Så lad bare Facebook blokere medier i Danmark. Lad os rive plasteret af og skabe forretningsmodeller, der ikke er baseret på vrede og forargelse. Det er også en medieopgave.. Lars Jacobsen, chefredaktør
fokus sikkerhed side 14-34
virksomhedshandel Aarhusianske Humio solgt i kæmpehandel for 2,4 milliarder kroner side 4 opinion Etisk AI kræver knivskarp data management-disciplin side 6 mennesker i it I vores første film bliver en nøgen og dengang helt ukendt Pilou Asbæk bidt i de ædlere dele side 8 Microsoft Teams Pro er lige rundt om hjørnet side 10 Microsoft vej med flere brancheclouds ... partnere i central rolle side 11
Abonnementsservice computerworld.dk/ abonnement
domicil SAS Institute forlader sit danske hovedkontor efter 34 år side 12
Løssalgspris Kr. 99,50
reportage ”Vi overvåger jo alt data, de overhovedet har” side 36
arbejdsmarked Vivino kan ansætte udviklere til 30 procent lavere løn i Danmark side 40 strategi Efter smertelige år for NNIT skal væksten tilbage på sporet side 42 Torben Rytt forlader central rolle i Siteimprove efter 14 år side 43 handson Apple Watch SE er det snusfornuftige alternativ side 44 opinion Stil krav til din leverandør – det kan da ikke skade side 50
Computerworld nr. 2 • 26. februar 2021
3
virksomhedshandel
Aarhusianske Humio solgt i kæmpehandel for 2,4 milliarder kroner Det danskstiftede lognings-startup Humio overgår nu til amerikanske hænder i en kæmpehandel. It-sikkerhedsselskabet CrowdStrike lægger 2,4 milliarder kroner på bordet for det danske selskab, der kun er fem år gammelt. Af Rasmus Ferdinand Ginman
I
t-sikkerhedsselskabet Humio, der blev stiftet i Aarhus i 2016, overgår til amerikanske hænder i en milliardhandel. Køberen er cybersikkerheds-firmaet CrowdStrike, der lægger 400 millioner dollar – eller hvad der svarer til 2,4 milliarder kroner – for Humio, der i dag har hovedkvarter i London. Humio står bag en log-management-platform, der blandt andet kan bruges til sikkerhedsovervågning af cloud-miljøer i realtid. Med overtagelsen vil Crowd Strike udvide sine ’eXtended Detection and Response (XDR)’-kompetencer ved at ud-
nytte logdata til at skabe indblik og realtidsbeskyttelse. ”Vi er begejstrede for at blive en del af CrowdStrike, som er førende i sikkerhedsindustrien med sin cloud-native dataplatform, der er designet til at hjælpe kunder med at etablere mere modne og pålidelige sikkerhedsprogrammer,” siger Geeta Schmidt, administrerende direktør og medstifter af Humio, i en meddelelse. ”CrowdStrikes Security Cloud er den ideelle platform til at udvide Humios teknologi og rækkevidde samtidig med, at vi fortsætter vores mission om at give kunderne mulighed for at træffe datarige
beslutninger,” tilføjer hun. I marts 2020 modtog Humio 20 millioner dollar – svarende til 138 millioner kroner – i frisk kapital fra Dells investeringsselskab, Dell Technologies Capital, samt den store Silicon Valley-venturefond Accel. Sidstnævnte er blandt andet kendte for sine investeringer i store selskaber som Facebook Spotify, Slack og Dropbox. 80 ansatte Humio, der er stiftet af Geeta Schmidt, Christian Hvitved og Kresten Krab Thorup, har i dag omkring 80 ansatte, hvor en tredjedel er placeret i Aarhus, mens de resterende medarbejdere er placeret i resten af verden – herunder i selskabets kontorer i London og San Francisco. På Humios kundeliste findes blandt andre Bloomberg, HPE, Lunar, M1 Finance, Michigan State University, og SpareBank 1. Crowdstrike, der har hoved-
Humios tre stiftere: Christian Hvitved (tv), Geeta Schmidt, (mf) og Kresten Krab (th)
4
Computerworld nr. 2 • 26. februar 2021
Vi blev forbløffet over Humios modne teknologiarkitektur og dokumenterede evne til at levere i stor skala. George Kurtz Medstifter og administrerende direktør i CrowdStrike
kvarter i Sunnyvale, Californien, har over 2.300 ansatte globalt. Går sammen og ny enterprise-løsning Sammen vil Humio og CrowdStrike levere en enterprise-løsning, der adresserer udfordringen med at gøre massivt voksende mængder logdata brugbart. Løsningen vil gøre virksomheder i stand til at samle, observere og analysere på alle strukturerede og ustrukturerede data i deres miljø, fremgår det. ”Vi gennemførte en grundig markedsundersøgelse af eksisterende løsninger og blev forbløffet over Humios modne teknologiarkitektur og dokumenterede evne til at levere i stor skala,” siger George Kurtz, medstifter og administrerende direktør i CrowdStrike. ”Kombinationen af realtidsanalyse og smart filtrering indbygget i CrowdStrikes proprietære Threat Graph og Humios lynhurtige loghåndtering og indeksfrie dataindtagelse fremskynder dramatisk vores XDR-funktioner ud over alt, hvad markedet har set til dato,” tilføjer han. Handlen, der hovedsageligt vil ske kontant, forventes at aflsluttes i første kvartal af 2021.
Sikkert print af fortrolige dokumenter Brother Secure Print+ forbedrer sikkerheden ved at dokumenterne først bliver printet, når afsenderen frigiver printjobbet på printeren. brother.dk/secure-print-plus
Fordele
•
Fortrolige dokumenter printes sikkert, og kun når brugeren er til stede.
•
Kun autoriserede brugere kan hente dokumenterne.
•
Følsomme oplysninger ligger ikke på printeren, så hvem som helst kan finde dem.
•
Dokumenterne holdes inde i printeren, hvilket reducerer risikoen for, at dokumenter går tabt.
•
Op til 200 brugere kan tilføjes.
Af Pernille Hertel, Nordisk direktør for Customer Advisory, SAS Institute
Etisk AI kræver knivskarp data management-disciplin
F
orleden var jeg til møde i Dansk Industris AI-udvalg. Her diskuterede vi blandt andet, hvordan vi kan sørge for, at værdier som etik og inklusion kan følge med, når kunstig intelligens udbredes og indarbejdes i flere og flere løsninger i både offentligt og privat regi. Det var stærkt at mærke en fælles vilje til, at det er et projekt, som skal lykkes – men der var også stor åbenhed om, at det ikke giver sig selv, hvordan man når dertil. Men at stillingtagen og bevidsthed er vigtige ingredienser. Når det gælder den praktiske og it-organisatoriske tilgang til at opnå etisk anvendelse af AI, er data management et grundelement i opskriften. Et element, som alle organisationer bør prioritere højt lige nu, ikke mindst set i lyset af Covid-krisens digitale acceleration.
Når det gælder den praktiske og itorganisatoriske tilgang til at opnå etisk anvendelse af AI, er data management et grundelement i opskriften 6
Computerworld nr. 2 • 26. februar 2021
Med den stiger presset for at sikre gode og gennemsigtige data privacy og data governance-principper hos de virksomheder og offentlige institutioner, som udbyder og udbygger digitale selvbetjeningsløsninger og andre datadrevne forretningssystemer. Data-rod kan blive dyrt for pengepung og omdømme EU har via GDPR-lovgivningen skabt den juridiske ramme – men mange virksomheder kan stadig ikke med overbevisning sige, at de har helt styr på alle aspekter af de data, de ligger inde med om både kunder, samarbejdspartnere og ansatte. Datasæt, som kun vokser sig større i takt med, at vi i stigende grad arbejder, underholder os og forbruger i den digitale sfære. Utilstrækkelig data governance kan vise sig at blive en større hovedpine både omdømmemæssigt og økonomisk. Tillid er dyrbar i en digital økonomi med mange valgmuligheder og høj grad af digitaliserede offentlige tilbud. Juridisk har EU vist sig klar til at svinge bødeblokken. Dette skal en dataansvarlig kunne svare på Data governance og data management er derfor strategiske discipliner, som nødvendigvis må diskuteres på højeste niveau i virksomheden og ikke blot en operationel disciplin i it-afdelingen, selv om det er her, den praktiske udførsel foregår. For at få et indblik i, hvor stærkt man står på data governance, skal for eksempel en CTO kunne give
direktion og bestyrelse indblik i: • Hvilke processer, der anvendes overordnet for at sikre adgang, integration, rensning, opbevaring og klargøring af data til brug i analytiske løsninger, herunder kunstig intelligens • Hvordan data management udføres i virksomheden, herunder operationelle discipliner som DataOps (evnen til at spore sine data-analytiske resultater tilbage til kilden), ModelOps (evnen til at sikre vedligehold og sikkerhed ved ændringer af data-analytiske modeller) og compliance i forhold til eksempelvis GDPR • Hvordan man sikrer et tilstrækkeligt bredt data-grundlag, således at analytiske modeller og kunstig intelligens kan tage højde for aspekter som diversitet i køn, baggrund og sociale forhold og på den måde blive mere ’retfærdig’.
Data management er ikke kun vigtig for at sikre den mere bagudrettede kvalitet og sikkerhed i eksisterende løsninger, men også en forudsætning for, at man kan skabe innovation. Data management er garanten for, at man kan stole på de resultater, man får ud af en innovativ proces, som måske på sigt skal føre til nye kundetilbud eller borgerrettede løsninger. Bliv klar til ny vækst Der vil komme en dag efter Covid-krisen, hvor vi igen kan shoppe i små specialbutikker og gå på cafe, og måske vil den del af livet føles næsten uændret. Men jeg er samtidig sikker på, at den digitale acceleration, der er foregået igennem det seneste år med pandemien, vil gøre arbejdet med data management endnu mere vigtigt i årene fremover. Det er vigtigt både for økonomiens og omdømmets skyld, når nye løsninger udtænkes for skabe nye vækst og innovation. Som beslutningstager gør man klogt i at sætte fokus på området nu.
Er din virksomhed helt sikker? Sådan tager du kontrollen over din it-sikkerhed tilbage. It-sikkerhed har været på alles læber de seneste år – og det er der en rigtig god grund til. Trusselsbilledet udvikler sig hele tiden, og desværre kæmper sikkerhedssystemerne en brav kamp for at følge med. Vi ved, at hackere og andre it-kriminelle ser dine medarbejdere som nemme ofre. Derfor er der brug for flere og mere intelligente systemer, som kan hjælpe dine medarbejdere til at håndtere data langt mere sikkert.
GRATIS E-bog
Hent e-bogen – og få hemmelighederne til, hvordan du hjælper dine kollegaer med det samme.
Vil du også tage kontrollen tilbage over dit sikkerhedsniveau? Hos ed A/S definerer vi vores kundetilgang og arbejder ud fra tre stærke kerneværdier: tryghed, relationer og kundeservice. Der arbejdes altid for at skabe trygge rammer omkring et hvert IT-indkøb – og vores teamånd er baseret på god kundeservice. Vi tilbyder den stærkeste specialistviden inden for Microsoft og er meget opmærksomme på, at tid er penge, både når der skal indkøbes IT hardware samt software, men i lige så høj grad ved opsætning og installation af IT-løsninger.
Hent e-bogen – og få hemmelighederne til, hvordan du hjælper dine kollegaer med det samme.
ed A/S Grenåvej 629E | 8541 Skødstrup +45 70 22 01 50 | info@ed.dk | www.ed.dk Følg os på Facebook og LinkedIn
CW_Februar_A4.indd 1
12/02/2021 09.11
mennesker i it
Du og tusindvis af andre arbejder hver dag professionelt med it. Hvad inspirerer dig? Hvad har gjort indtryk? Hvem er dit forbillede?
I vores første film bliver en nøgen og dengang helt ukendt Pilou Asbæk bidt i de ædlere dele
Tekst: Jacob Ø. Wittorff
J
eg var med til at bygge sikkerhedsfirmaet Bullguard sammen med blandt andre Theis Søndergaard og Morten Lund. Morten var virkelig en dynamo og en interessant karakter, og jeg lærte utroligt meget i den tid. Vi brugte blandt andet viral markedsføring, før nogen overhovedet vidste, hvad det var. Det var før Facebook, før YouTube, ja før noget som helst. Vi producerede tre virale film, og det var eddermame sjovt. I vores første film bliver en nøgen og dengang helt ukendt Pilou Asbæk
8
Computerworld nr. 2 • 26. februar 2021
bidt i de ædlere dele af en bidsk hund. En af de andre videoer cirkulerer stadigvæk, og det er en video med en indbrudstyv, der vil kaste en sten ind gennem en rude, men ender med at få den tilbage i hovedet. Jeg har set den på amerikansk tv, hvor de tror, at det er en ægte optagelse. Men det er det ikke. For tyven har min sweater på, og jeg var on-location, da den blev optaget oppe i Hellerup. Jeg var kun involveret en lille smule i de film, så jeg vil ikke tage meget kredit for det. Det er en fyr, der hedder Balder Olrik, der står bag, og han er fantastisk dygtig. Han kørte hele processen, og det var ham, der
optimerede filmene og det hele. Det er svært at måle betydningen af den slags, men jeg tror helt sikkert, at det betød noget for vores brand. Men det betød endnu mere for Balder og de andre, der lavede filmene. De tre film blev så store hit, at de på baggrund af den oplevelse stiftede deres eget firma GoViral, som i 2011 blev solgt til AOL for en halv milliard kroner. Heini Zachariassen, administrerende direktør for vin-appen Vivino, som han i 2009 stiftede sammen med Theis Søndergaard.
VI HJÆLPER JER MED DEN OPTIMALE
Hjemmearbejdsplads Ring til os på 89 10 10 10, send en mail til support@ipnordic.dk eller læs mere om de mange muligheder på ipnordic.dk
Omstilling og ændrede telefonbeskeder
Ekstra mobilabonnementer
Vi omstiller gerne jeres telefoner, hvis I har brug for en ændring i jeres ringestruktur i forbindelse med fx hjemmearbejdspladser.
Med hjemmearbejdspladser kan der blive brug for ekstra mobilabonnementer.
Vi indtaler også gerne jeres telefonbeskeder GRATIS , hvis disse skal ændres.
Vi hjælper jer hurtigt i gang og kan nemt melde medarbejdere ind i korrekte telefonkøer,så firmatelefonen og omstillingen også fungerer hjemmefra.
Husk at ipnordic Meetings er gratis for alle ipnordic-kunder resten af 2021.
Microsoft
Teams Pro er lige rundt om hjørnet Om kort tid vil Microsoft løfte sløret for en udbygning af Teams kaldet Teams Pro. Af Niels de Boissezon
T
eams er ikke længere bare Teams. Samarbejdsplatformen fra Microsoft vil fremover blive et rigere økosystem med Teams som det nuværende produkt og Teams Pro som en overbygning, hvor vidensressourcer kan deles på flere måder. Den nye service udkommer i midten af marts 2021 og vil blive en del af udvalgte Microsoft 365-licenser. Selvom Teams har rødder som et professionelt samarbejdsværk-
10
Computerworld nr. 2 • 26. februar 2021
tøj, er overbygningen altså kaldet Teams Pro. Her vil der bydes på funktioner, som henvender sig til større organisationer med to centrale nye funktioner: Styrket meeting intelligence samt webinar-funktioner til vidensdeling på tværs af organisationen. Teams Pro er dog ikke en ny service-ordning som tidligere antydet hos en række medier, noterer Office-mediet Practical365. Teams Pro vil ikke koste yderligere, men det vil være en udbygning, som kan aktiveres på
Det forlyder, at Microsofts kommende ’Meeting Insights’-feature vil blive en del af Pro-pakken.
udvalgte Office- og 365-licenser. De brugere, der får Teams Pro slået til, vil kunne tilgå udbygningens features såsom at invitere og afholde et web-møde, hvor brugere kan skrive sig op. Det forlyder, at Microsofts kommende ’Meeting Insights’-feature vil blive en del af Pro-pak-
ken, hvor den vil tilbyde et sæt intelligent AI-drevne værktøjer til at finde oplysninger forud for, under og efter et møde. Disse licenser får adgang For at kunne udnytte Teams Pro, skal ens organisation have en af følgende licenser ifølge en besked fra Microsoft, skriver netmediet Petri: • Microsoft 365 • Office 365 • Microsoft 365 E5, E3, A5, A3, • Business Standard • Business Basic license Det forlyder i beskeden fra Microsoft, at alle de nye Teams-funktioner bliver tilgængelige til samtlige brugere med de fornødne licenser.
Microsoft på vej med flere brancheclouds ... partnere i central rolle Indtil nu har Microsoft lanceret to målrettede branche-clouds, men flere vil følge, lyder det fra en Microsoft-direktør. Det står samtidig klart, at Microsofts partnere kommer til at spille en central rolle i at løfte det strategiske sats. Af Alexander Haslund
F
or nuværende har Microsoft allerede lanceret to cloud-vertikaler (clouds for industry) til henholdsvis sundheds- og retailsektoren. ”Det er de to første, men der vil komme flere,” sagde Takuya Hirano, Microsoft vicepræsident for globale alliancer og systemintegratorpartnere under en nylig meddelelse om tilstanden i Microsofts partnerøkosystem ifølge Zdnet. Microsofts partnere får central rolle Det står endnu ikke klart, hvilke specifikke branche-clouds Microsoft næst vil kaste sig over. Men den strategiske satsning på branchespecifikke clouds vil i høj grad afhænge af Microsofts partnere og dette samarbejde. For det er Microsofts partnere, der skal sætte deres viden om brancher og Microsofts værktøjer i spil, når der skal udformes specifikke end-to-end-løsninger til særlige brancher. Det er i sidste ende partnerne, der skal sælge og forme de sammenhængende løsninger for virksomhederne. ”Vores partnerøkosystem har i mange tilfælde lige så stor dybde, hvis ikke mere, på branchesiden end Microsoft. Mange af disse virksomheder har tjent en branche eller en eller to brancher i årtier,” lyder det eksempelvis fra
Casey McGee, vicepræsident for ISV-partnerstrategi hos Microsoft. ”Der er ikke en Microsoft-cloud til brancher, der sker uden partnerne,” pointerer han. Hvad kan vi forvente? I Microsoft Azure er der allerede adgang til væld af services og produkter, som vil være alt rigeligt for de fleste virksomheder. Med Microsofts branche-cloud skal tilbuddene blive mere specialiseret, og eksisterende produkter skal justeres.
Da Microsoft lancerede sin cloud til healthcare tilbage i maj 2020, lød det, at Microsoft med den vil integrere Microsofts generelle cloud-løsninger med branchespecifik datamodel, arbejdsgange, API’er og cloud-integrationer tilpasset relevante scenarier. I Microsofts cloud til sundhedssektoren finder man eksempelvis en specialiseret version af Teams med nye funktioner, som kan bruges på et hospital eller en lægeklinik. Her findes en chatbot-service ved navn Healthcare Bot målrettet sundhedssektoren, der kan tjekke symptomer og har en bedre forståelse for medicinske betegnelser. Microsoft Cloud for Healtcare ligger lige nu i en pris, der hedder
95 dollar pr. bruger om måneden. Vi kan således forvente at se Microsoft skabe en række byggesten til specifikke branchescenarier, men vi vil unægteligt også opleve, at nogle af disse specialiserede og populære funktioner og værktøjer vil finde vej til de store, brede løsninger som Azure, Office 365 eller Dynamics 365. På sin vis bliver det derfor også en salgsopgave at fortælle kunderne, hvorfor de skal hoppe på en branchespecifik cloud og ikke blot koble sig på Microsofts generelle arsenal af cloud-services. Her kommer partnerne til at være udslagsgivende - Microsoft fremstiller komponenterne, byggestenene, men det er partnerne, der skal skabe de sammenhængende løsninger og ikke mindst sælge dem.
Der er flere brancheclouds på vej fra Microsoft, fortæller Takuya Hirano, Microsoft vicepræsident for globale alliancer og systemintegratorpartnere. Foto: Microsoft
Computerworld nr. 2 • 26. februar 2021
11
domicil
Flytter til splinternyt byggeri på 5.000 kvadratmeter:
SAS Institute forlader sit danske hovedkontor efter 34 år SAS Institute siger farvel til kontoret på Købmagergade i midten af København efter mere end 30 år. Nu står selskabet klar med et splinternyt dansk hovedkontor i samme bygning som GlobalConnect. Af Rasmus Ferdinand Ginman
S
AS Institute er klar med et splinternyt dansk hovedkontor. Fremover vil selskabet høre hjemme i Skanskas nyopførte kontorbyggeri på Havneholmen, der er en halvø på Kalvebod Brygge i Københavns Sydhavn. Her får SAS Institute omkring 5.000 kvadratmeter til selskabets 180 Københavns-baserede medarbejdere i det nye, bæredygtige byggeri. Derved siger selskabet farvel til lokalerne på Købmagergade i indre København, hvor SAS Institute har hørt hjemme siden 1986. Henrik Ernlund Pedersen, dansk landechef hos SAS Institute, fortæller til Computerworld, at selskabet allerede begyndte at se efter et nyt domicil for fire år siden. ”Jeg tror, vi har set samtlige ejendomme i Københavns-området. Det var en præmis, at vi ikke ville for langt væk fra indre by. Så faldt vi over det her projekt med et nybyggeri,” siger han og tilføjer: ”Vi får en bygning, der er delt op i nogle storrums-øer. Her laver vi et freeseating-koncept for de fleste medarbejdere. Så kan man
12
Computerworld nr. 2 • 26. februar 2021
samle sig på de her øer, når man er på et bestemt projekt eller arbejder sammen på en kunde.” I den nyopførte bygning, går under navnet CPH Highline, flytter GlobalConnect også ind. Sammen med SAS Institute har selskaberne lejet 93 procent af de samlede 16.500 kvadratmeter. Fra fredet bygning til moderne byggeri Lokationen på Købmagergade var fantastisk, siger Henrik Ernlund Pedersen, men der var alligevel en række begrænsninger. ”Det har fungeret for os i rigtig mange år, men vi havde fem forskellige lejemål derinde. Så vores organisation sad lidt forskellige steder i nogle ejendomme, som vi havde begrænsede muligheder for at lave om på,” siger han. Det var især den begrænsede mulighed for at bringe teams sammen og have interaktion med partnere og kunder på lokationen, der gjorde udslaget. Men dette løser sig i det nye domicil, der er større, mere åbent og rummer flere muligheder, lyder det. Det nye kontorlandskab er på mange måder en modsætning til kontoret på Købmagergade, der lå i en fredet bygning. ”Det er meget moderne faciliteter i forhold til at holde møder med partnere og kunder. Vi ville gerne have et hus, hvor der kommer endnu mere liv og er endnu mere tilgængeligt for kunder.” Landechefen påpeger desuden, at det nye byggeri er godt placeret i forhold til infrastrukturen, da det blandt andet er nemt at komme til og fra lufthavnen. Det giver også en bedre mulighed for at afholde aktiviteter som en global virksomhed.
Udsigten fra SAS Institutes nye hovedkvarter i København. Foto: SAS Institute.
Mødelokale i den nye bygning. Foto: SAS Institute.
SAS Institutes nye danske hovedkvarter. Foto: SAS Institute.
Købmagergade ligger midt i Københans shopping-centrum, hvorfor selskabet kontor overfor Illum har været til at overse for forbipasserende. ”Vi har haft vores flag hængende på købmagergade, men der er mange, der ikke vidste, hvem vi var. Ikke udover dem, der er gået ind for at bytte nogle billetter, fordi de troede, vi var flyselskabet,” siger landechefen og tilføjer: ”Nu får vi mere en domicil-ejendom med store flotte logoer udenpå. Det er også ud til en ret stor indfaldsvej til København med alle dem der kommer syd fra. Så vi også kommer mere frem i lyset.” Klar til indflytning SAS Institute har omkring 210 ansatte i Danmark, hvor 35 til 40 af dem er tilknyttet kontoret i Aarhus. Men i øjeblikket arbejder stort set alle hjemmefra grundet samfundsnedlukningen. Selvom selskabet snart er klar til at slå dørene op til et nyt domicil, er det endnu usikkert, hvornår medarbejderne kan træde indenfor for første gang, fortæller landechefen. Han håber dog på, det bliver muligt at give medarbejderne en rundtur efter 28. februar, hvor de kan se lokalerne og få deres adgangspas. ”Hvis ellers der lempes lidt på anbefalingerne fra regeringen, så er næste skridt, at vi kan komme tilbage til 30 eller 50 procent kapacitet på kontorerne. Det har vi håndteret før, og det fungerer godt. Så håber vi på, at vi kommer tilbage til en fuld genåbning omkring sommer, hvor folk er blevet vaccineret,” siger Henrik Ernlund Pedersen.
Computerworld nr. 2 • 26. februar 2021
13
fokus sikkerhed
Derfor vælger mange flere hackede virksomheder at betale hackerne:
Cyberkriminelle har fået et nyt våben ... og det virker 2020 har været et hårdt år på cybersikkerhedsområdet. Og situationen spidser nu til, efter en ny kynisk tendens er eksploderet gennem året. Og den forsvinder ikke igen, spår sikkerhedsekspert Peter Kruse. Af Ditte Vinterberg Weng
R
ansomware-angreb nåede nye højder. Og metoderne er blevet hårdere og mere kyniske. Nu viser en ny statistik udarbejdet af den danske sikkerhedsvirksomhed CSIS, at 2020 også har skrevet rekord med en ny kedelig tendens i cybersikkerheds-verdenen. Der har nemlig siden slutningen af 2019 tegnet sig et mønster af dén type ransomware-angreb, hvor de kriminelle aktører ikke bare låser og stjæler følsom data fra virksomhederne. De lægger også en trumf på, ved at true med at lække den stjålne data, hvis virksomheden ikke betaler et beløb til bagmændene. ”Det er noget af det, vi har set i 2020, der har været allermest hårdtslående for mange virksomheder. Der har været i hundredvis af store virksomheder, der har fået lækket
14
Computerworld nr. 2 • 26. februar 2021
følsomme oplysninger som led i den afpresning, der finder sted, når man bliver udsat for et ransomware-angreb,” fortæller cybersikkerhedsekspert og stifter af CSIS, Peter Kruse. Mange flere betaler løsesummen’ Tallene viser en markant stigning i ransomware-angreb, hvor misbrug af data indgår. Og den ekstra trussel gør, at der er mange, der ender med at betale løsepengene. ”Det er en modbydelig strategi, som kriminelle er begyndt at bruge. Men man må sige, at den er yderst effektiv,” konstaterer Peter Kruse. Den nye forretningsmodel, som de cyberkriminelle grupper har fundet, er i den grad blevet et indbringende foretagende. ”Der er mange flere, der tilsyneladende betaler nu end tidligere, hvor det kun var data, der blev stjålet, og hvor man måske var i stand til at genskabe det.
Så det er en helt ny udfordring med helt nye problemer, som vi kigger ind i.” Løsesummen kan være billigere end GDPRbøden Mange gange er den data, der bliver lækket, data, der indeholder følsomme oplysninger om andre end selve den hackede virksomhed. Derfor er lækket data ikke kun er et spørgsmål om store økonomiske tab i form af bøder og løsesummer, men også selve
Der har været i hundredvis af store virksomheder, der har fået lækket følsomme oplysninger som led i den afpresning, der finder sted, når man bliver udsat for et ransomwareangreb. Peter Kruse cybersikkerhedsekspert og stifter af CSIS
tilliden til og omdømmet af virksomheden, der er på spil, hvis data skulle blive lækket. ”Man står i virkeligheden i et meget svært valg, når man er endt i denne situation,” siger Peter Kruse.
så får måske løst begge problemer på samme tid,” siger han.
Figuren viser den aktivitet, der har været i to udvalgte måneder i 2020. Listen af navne til højre er kriminelle hackergrupper, der har anvendt metoden. Statistikken viser ransomware-angreb, hvor man efterfølgende har set datalæk. Kilde: CSIS
”Én ting er at lade være at betale, og så miste de data. Men det løser ikke problemet med
den trumf, de har lagt på bordet, der potentielt kan udløse et gigantisk GDPR-helvede. Det kan
ende med at blive meget dyrere af få en GDPR-bøde, end det er bare at betale løsesummen. Og
GDPR har pustet til ilden Datalæk-trusselstendensen begyndte ifølge Peter Kruse for alvor i slutningen af 2019. Det eksploderede i 2020. Og vil fortsætte ind i 2021, spår cybersikkerhedseksperten. ”Det er en tendens, der kommer, fordi man både har fået GDPR på den ene side, og på den anden side har man virksomhederne, der er blevet mere modstandsdygtige og bedre til at håndtere ransomware-angreb, end de var før.” GDPR trådte i kraft i 2018, og gennem de seneste år er virksomheder ifølge Peter Kruse sikkerhedsmæssigt modnet kraftigt i takt med, at de selv eller deres fæller i sektoren er blevet ramt af angreb, der har gjort, at de måtte oppe sig.
Computerworld nr. 2 • 26. februar 2021
15
fokus sikkerhed
Over 1.000 programmører har været med til SolarWinds-hack .. det mest sofistikerede angreb nogensinde Microsofts topchef Brad Smith anslår at over 1.000 udviklere har været med til at skrive den skadelige kode, som blev skubbet ud til tusindvis af virksomheder i en opdatering fra SolarWinds. Af Ditte Vinterberg Weng
O
ver 1.000 udviklere har sandsynligvis arbejdet på koden, der blev brugt til at kompromittere først softeware-leverandøren SolarWinds, og derefter tusindvis af virksomheder kloden over, der brugte SolarWinds’ produkt. Det anslår Microsofts præsident Brad Smith i et interview til mediet CBS og påpeger at angrebet sandsynligvis fortsætter. ”I er Microsoft. Hvordan kunne Microsoft misse det her,” spørger journalisten Bill Whitaker. ”Jeg tror, at der en asymmetrisk fordel for lovovertræderne, når du ser på angriberens sofistikerede form, ” svarer Brad Smith. Han erklærer desuden SolarWinds-kædeangrebet for ”det største og mest sofistikerede angreb, verden nogensinde har set.” Information er havnet i de forkerte hænder Flere eksperter og myndigeder peger mod Rusland og Kreml, når man spørger, hvem de sandsynlige gerningspersoner er. Det store omfang af programmører, der har arbejdet på angrebet stemmer også meget godt overens med den antagelse, at angrebet skulle være statsstøttet.
16
Computerworld nr. 2 • 26. februar 2021
Brad Smith bemærker desuden, at Rusland tidligere har udviklet og anvendt denne type cybertaktik - eksempelvis i et angreb målrettet Ukraine i 2017. Foruden SolarWinds og Microsoft blev også sikkerhedsvirksomheden FireEye ramt, og hele tiden tilføjer flere virksomheder og organisationer listen over ofre. Med sig fra hacket fik de cyberkriminelle blandt andet informationer fra nogen af USA’s føderale enheder som udenrigs-, finans-, handels- og forsvarsministeriet samt landets atomvåbenlager. ”Jeg tror ikke, nogen ved med sikkerhed, hvordan al denne information vil blive brugt. Men vi ved dette: Det er i forkerte hænder,” konstaterer Smith.
Jeg tror ikke, nogen ved med sikkerhed, hvordan al denne information vil blive brugt. Men vi ved dette: Det er i forkerte hænder. Brad Smith
Ofrene i SolarWinds-hacket • SolarWinds • FireEye • Microsoft • Mount Sinai hospital • Intel • Digital Sense • Deloitte • Cisco • Ciena • Belkin • Nvidia • VMware • Mimecast • Malwarebytes • Den amerikanske regering • Det amerikanske udenrigsministerium – Department of State • Det amerikanske finansministerium – U.S. Department of the Treasury • Det amerikanske handelsministerium – U.S. Department of Commerce • Det amerikanske forsvarsministerium – U.S. Department of Defence • USA’s ministerium for indenlandsk sikkerhed – U.S. Department of Homeland Security • Det amerikanske energiministerium – U.S. Energy Department • USAs nationale telekommunikations- og informationsadministration (NTIA) • USA’s agentur for biomedicin og folkesundhedsforskning – National Institutes of Health • Administrationen af det amerikanske atomvåbenlager (NNSA) • USA’s National Security Agency (NSA)
Dette et overblik over de navngivne ofre for SolarWinds-hacket. Men mindst 200 organisationer verden over er identificerede berørte ofre.
SolarWinds-angrebet rykker ved en fundamental sikkerhedsregel om opdatering SolarWinds-angrebet, der har rystet hele verden, rykker ved en fundamental sandhed inden for it-sikkerhed, mener sikkerhedsekspert Peter Kruse. ”Indtil nu har vi altid sagt i sikkerhedsbranchen opdatér, opdatér, opdatér, opdatér. Men dette angreb ødelægger den grundregel, at man altid skal opdatere,” siger han. Men hvad skal man så? Af Ditte Vinterberg Weng
S
olarWinds-angrebet, der har installeret bagdøre og kompromitteret en lang række virksomheder og organisationer, har ikke kun skabt uro rundt omkring i klodens virksomheder. Det har også rykket ved en grundlæggende sandhed inden for cybersikkerhed: ”SolarWinds-angrebet har ødelagt tilliden til, at man bare ukritisk kan opdatere,” siger sikkerhedsekspert Peter Kruse fra CSIS: ”Indtil nu har vi altid sagt i sikkerhedsbranchen opdatér, opdatér, opdatér, opdatér. Men dette angreb ødelægger den grundregel, at man altid skal opdatere,” siger han. Peter Kruse er selv ved at efterforske en række danske virksomheders rolle i angrebet. Den seneste melding fra den danske forsvarsenhed Center for Cybersikkerhed lyder, at op mod 50 private selskaber og offentlige institutioner er kompromitterede som led i SolarWinds-angrebet. Peter Kruse oplyser, at fem ud af de 17 virksomheder, som Peter Kruses sikkerhedsvirksomhed efterforsker på grund af angrebet, ligger i top ti af Danmarks største virksomheder. Alle disse virksomheder - og resten af ofrene i angrebet - har det til fælles, at de alle fandt og installerede en manuel opdatering, der viste sig at indeholde ondsindet kode, som gav russiske bagmænd adgang til de berørte virksomheders systemer. ”Jeg forstår, når man bliver ramt af almindeligt malware, der bliver båret ind via mail eller andet. Der kan sagtens være mennesker, der kommer til at klikke på noget. Men i det her tilfælde har de operatører, der har installeret denne opdatering, gjort det, fordi de gerne vil være sikre på, at deres software bliver opdateret.” De, der har installeret den skadelige opdatering, har blot forsøgt at passe virkomhedens patch management. Og når ikke engang opdateringer længere er sikre, er sikkerhedsmarkedet endnu sværre at navigere i end før.
Vi skal i højere grad validere opdateringer, se på, hvad vi installerer, og hvornår vi gør det. Peter Kruse cybersikkerhedsekspert
”Vi henter nye opdateringer, og installerer dem på vores systemer for at undgå problemer, og så - pokkers - introducerer de angrebet ved at lave en opdatering. Så nu er det lidt den omvendte verden.” Automatiske opdateringer bør overvejes en ekstra gang Den opdatering, der indeholdt den ondsindede kode, var en manuel opdatering, hvor man selv skulle hente pakken og installere den. ”Men rigtigt mange processor er automatiseret i dag. Så man skal overveje, hvad er det, man vil styre gennem automatik, og hvad vil man styre gennem manuelle processer. det er et spørgsmål om risikovurdering. Hvem har man udelt tillid til?” Der er nogen leverandører, hvor det kan være nødvendigt at styre opdateringer automatisk. Det kunne være software som Microsofts, der hyppigt udkommer med opdateringer. Men Peter Kruse forslår, at i tilfældet tredjeleverandører kan man med god effekt styre opdateringer fra manuelt, indtil man har så meget tillid til leverandøren, at denne kommer på den automatiske liste. Dog er han ikke i tvivl om, at opdateringer bør ske som et langt mere vågent valg i fremtiden. ”Hvis vi kommer til at se mere af denne her type angreb, hvor man går fra at kompromittere én virksomhed til at fortsætte til deres kunder, så er der i hvert fald en adfærdsændring, der skal praktiseres. Vi skal i højere grad validere opdateringer, se på, hvad vi installerer, og hvornår vi gør det.”
Computerworld nr. 2 • 26. februar 2021
17
fokus sikkerhed
Fire malware-typer blev brugt i kæmpehack ... sådan fungerede det Mindst fire forskellige malware-stammer blev anvendt i det store og sofistikerede SolarWindshack, der i december ramte amerikanske myndigheder, Microsoft, FireEye og mange andre. Se her, hvordan de blev anvendt. Af Dan Jensen
M
indst fire forskellige malware-typer blev anvendt i det store SolarWinds-hack, der i december ramte USA, hvor både myndigheder og virksomheder blev ramt. Også herhjemme kan mange organisationer og virksomheder have installeret bagdør til hackerne via SolarWinds - men uden at den nødvendig-
18
Computerworld nr. 2 • 26. februar 2021
vis er blevet anvendet. Angrebet var så effektivt, at det trængte gennem forsvarsværkerne hos både Microsoft og sikkerheds-selskabet FireEye. It-sikkerhedsselskabet Symantec meddeler, at det netop har identificeret en ny malware-type, der blev anvendt i de sidste faser af angrebs-bølgen og her alene mod særligt udvalgte mål. De fire malware-typer, der indtil videre er blevet identificeret, er således nu: Sunspot, Sunburst (Solorigate), Teardrop og den nye
Raindrop. Symantec peger på, at man kun har fire tilfælde, hvor Raindrop er blevet anvendt under SolarWind-hacket. Alt tyder på, at den pågældende malware er blevet plantet i sommeren 2019 af russiske hackere, som trængte ind i det amerikanske softwareselskab SolarWinds, hvis teknologi anvendes mange steder. Angiveligt plantede hackerne først Sunspot-malwaren, der alene er blevet anvendt i SolarWinds’ egne systemer. Sunspot blev her anvendt til at få plantet Sunburst (Solorigate)-malwaren i forskellige nye versioner af SolarWinds Orion-system. De inficerede versioner af Orion blev lagt på selskabets servere
mellem marts og juni 2020. Omkring 18.000 kunder, der installerede de opdaterede versioner af Orion, fik også downloadet og installeret Sunburst på deres systemer. Ifølge Symantec er Sunburst imidlertid ikke særlig kompleks. Faktisk gjorde den ikke så meget andet end at indsamle informationer og sende dem til en server. Hackerne udvalgte herefter ganske få mål ud af de 18.000, der havde installeret Sunburst, og installerede dernæst via Sunburst den nye malware, Teardrop, som blev anvendt som såkaldt loader for Cobalt Strike Beacon Og i fire tilfælde anvendte de altså den nyopdagede Raindrop.
Partier vil have danske virksomheder koblet på omstridt sensornetværk
Kinesiske hackere kan have udnyttet SolarWinds-bug til at få adgang til it-systemer Kinesiske hackere har
Radikale og Dansk Folkeparti vil have flere end de blot seks nuværende virksomheder til at koble sig på Center for Cybersikkerheds sensornetværk i kølvandet på SolarWinds-angrebet. Af Dan Jensen
D
et er bekymrende, at blot seks danske virksomheder for tiden er koblet på Center for Cybersikkerheds sensor-netværk, som staten anvender til at opdage og afværge hackerangreb. Det står klart efter det store SolarWinds-hack, som har ramt en lang række danske myndigheder og virksomheder, mener Radikale og Dansk Folkeparti, der ifølge Finans vil have flere danske virksomheder til at koble sig på netværket. Den manglende tilslutning betyder blandt andet, at CFCS har svært ved at få det fulde overblik over de angreb, der rammer Danmark. Sensornetværket blev oprettet i DDD og har i dag 70 myndigheder og seks private virksomheder tilknyttet. Allerede i forbindelse med
oprettelsen rejste debatten sig om, hvad CFCS egentlig ville bruge de oplysninger, som blev indsamlet, til. Martin Lidegaard (R) siger til avisen, at det kan blive nødvendigt at flytte dele af CFCS væk
fra Forsvarets Efterretningstjeneste, hvis fraværet skyldes, at virksomheder er nervøse for at dele data med en efterretningstjeneste. “Jeg har hele tiden været fortaler for, at der kunne være fordele ved at placere den civile del af cybersikkerheden selvstændigt i en organisation parallelt med efterretningstjenesten for at sikre den åbenhed, som måske kunne gøre virksomhederne mere trygge,” siger han.
angiveligt brudt ind i amerikanske myndigheders it-systemer via en bug i software fra det omstridte amerikanske software-selskab SolarWinds. Netop SolarWinds spiller en central rolle i et af de mest alvorlige hack i nyere tid, som fandt sted i december, da softwaren - der er meget udbredt blev udnyttet af hackere til at plante bagdøre i mange organisationer, herunder mange danske. Det har hele tiden været formodningen, at statsfinansierede russiske hackere stod bag hacket. Ifølge Reuters viser det sig nu, at også kinesiske hackere kan have været på spil. Ifølge mediet har FBI fundet ud af, at kinesiske hackere via en bug i SolarWinds-softwaren har fået adgang til den amerikanske myndighed National Finance Center, der står for lønudbetaling til tusindvis af offentligt ansatte. Ifølge Reuters er dette hack ikke forbundet med det store russiske SolarWinds-angreb.
Jeg har hele tiden været fortaler for, at der kunne være fordele ved at placere den civile del af cybersikkerheden selvstændigt i en organisation.
Ifølge mediets kilder har hackerne anvendt udstyr og hacker-værktøjer af samme type, som man ved, at statsfinansierede kineiskse cyberspioner tidligere har anvendt. De amerikanske myndigheder og Kina afviser, at der skulle være noget om sagen. FBI har ingen kommentarer til Reuters.
Martin Lidegaard (R)
Computerworld nr. 2 • 26. februar 2021
19
fokus sikkerhed
Banedanmark efter hård kritik for dårlig it-sikkerhed:
Vi er i gang - regner med at være klar i år Banedanmark er efter kritik fra Rigsrevisionen nået i mål med at implementere nødvendige foranstaltninger i beskyttelsen af ransomwareangreb, mens resten af arbejdet pågår. Se Banedanmarks svar på kritikken. Af Ditte Vinterberg Weng
B
anedanmarks er nået i mål med at implementere de centrale krav, som Rigsrevisionen i et notat kritiserede organisationen for endnu ikke have have udf ørt 25. januar. Sådan lyder budskabet fra Banedanmark i et skriftligt svar til Computerworld, efter Rigsrevisionen har konstateret, at ”Banedanmark ikke har sikret sig mod, at hackere kan anvende institutionernes identitet i hackerangreb mod andre”. Netop denne foranstaltning er et af de tre ufravigelige krav til it-sikkerheden, som Rigsrevisionen stiller til en række offetlige infrastrukturelle organisationer. ”Banedanmark har på alle do-
Disse samlede tiltag er med til at sikre, at Banedanmark lever op til kravene for itsikkerhed. Svar fra Banedanmark til Computerworld
20
Computerworld nr. 2 • 26. februar 2021
mæner implementeret tiltag, der sikrer mod, at hackere kan anvende institutionernes identitet i hackerangreb. Det ene domæne, hvor Rigsrevisionen oplyste, at tiltaget ikke var implementeret, er netop blevet beskyttet efter reglerne,” skriver Banedanmark. Banedanmark er dermed nået i mål med de tre ufravigelige krav over et halvt år efter den givne frist forfaldt 1. juli 2020. Hvorfor Banedanmark i perioden mellem 2017 og 2020 ikke har nået at udbedre de krav, der var mangler på, har organisationen valgt ikke at svare på. Flere mangler, men Banedanmark har en plan De tre ufravigelige krav er blot få ud af flere mangler, som Rigsrevisionen har udpeget hos fire danske institutioner - Udenrigsministeriet, Sundhedsdatastyrelsen, Beredskabsstyrelsen og altså Banedanmark. I alle fire tilfælde fandt Rigsrevisionen anmærkninger om sikkerheden mod ransomware-angreb. I revisionens notat er det også angivet, at Banedanmark har forelagt en plan for, at rette op på samtlige kritikpunkter. ”Banedanmark tager it-sikkerhed meget alvorligt. Som det fremgår af Rigsrevisionens notat, er vi i fuld gang med at implementere de forhold, der bliver peget på. Det gælder
Rigsrevisionen i skarp kritik: It-sikkerheden i Udenrigsministeriet, Sundhedsdatastyrelsen og Banedanmark halter alvorligt blandt andet kravene om risikovurderinger samt beskyttelse af institutionernes identitet i tilfælde af hackerangreb. Banedanmark følger løbende op på ransomware-angreb, og vi er i gang med at udarbejde risikovurderinger på systemer, som vil ligge klar i løbet af 2021,” skriver Banedanmark i en mail. Manglende opdateringer kommer først i 2021 eller 2022 Computerworld har desuden spurgt om, hvorfor Banedanmark ikke har fulgt op på awareness-aktiviteter, som er et punkt markeret med rødt i vurderingen. Hertil skriver Banedanmark: ”Når det kommer til indre tiltag mod ransomware-angreb, opfylder Banedanmark kravet om at gennemføre såkaldte awarenessaktiviteter for at klæde medarbejderne bedst muligt på til sikker it-adfærd. Dette arbejde bliver vi ved med, og i 2021 vil vi, som kravene foreskriver, desuden arbejde med at følge op på de gennemførte aktiviteter. Disse samlede tiltag er med til at sikre, at Banedanmark lever op til kravene for it-sikkerhed.” Jernbaneselskabet svarer ikke på, hvorfor man har valgt ikke at opdatere tredjepartsprogrammer siden 2017. Men i notatet står der: ”Banedanmark har ikke sikret en systematisk opdatering af tredjepartsprodukter, men har oplyst, at sådanne opdateringer foretages manuelt efter behov. Banedanmark har oplyst, at en systematisk opdatering af tredjepartsprodukter vil kunne finde sted i 2021 eller 2022, når en række ældre systemer er blevet udskiftet.”
Flere institutioner, der holder kritisk dansk infrastruktur, lever ikke op til ufravigelige krav om sikkerhed, når det kommer til beskyttelse mod ransomeware-angreb. Det slår Rigsrevisionen nu fast i et notat. Af Ditte Vinterberg Weng
R
igsrevisionen sender en skarp kritik mod en række danske institutioner, som revisionen mener ikke lever op til krav om ordentlig beskyttelse mod ransomware-angreb. Dette sker kun to år efter, at Rigsrevisionen i februar 2018 fremlagde en beretning, der indeholdte en række punkter om beskyttelse mod ransomwareangreb. I beretningen blev fire statslige institutioners beskyttelse mod ransomware-angreb anfægtet. De fire institutioner tæller Sundhedsdatastyrelsen, Udenrigsministeriet, Banedanmark og Beredskabsstyrelsen. Dengang blev institutionerne konfronteret med kritik af utilstrækkelige hensyn til cybersikkerheden. En kritik, som Thomas Fænø, områdechef for it hos Banedanmark, stillede kraftigt spørgsmålstegn ved. I et nyt notat fra rigsrevisionen slås det endnu engang fast, at tre ud af de fire institutioner har hængepartier i forhold til sikkerheden. Beredskabsstyrelsen opfyldte som den eneste alle tiltag. ”Rigsrevisionen konstaterer, at Udenrigsministeriet har fravalgt at efterleve de ufravigelige krav og i stedet vil implementere mitigerende foranstaltninger. Rigsrevisionen finder det utilfredsstillende, at Udenrigsministeriet endnu ikke har implementeret de mitigerende foranstaltninger i fuldt omfang,” skriver Rigsrevisionen. De ufravigelige krav skulle være implementeret senest 1. januar 2020 og 1. juli 2020, slår Rigsrevisionen fast. ”Derudover har undersøgelsen vist, at Sundhedsdatastyrelsen og Banedanmark ikke har sikret sig mod, at hackere kan anvende institutionernes identitet i hackerangreb mod andre, hvilket er et af de ufravigelige krav til it-sikkerheden,” hedder det. ”Banedanmark har dog sikret dette på alle sine domæner på nær ét domæne, som Banedanmark har oplyst, vil blive afviklet. Sundhedsdatastyrelsen har oplyst, at tiltaget er ved at blive
implementeret, og at tiltaget primo 2021 nu er implementeret på over 90 procent af styrelsens domæner.” Udenrigsministeriet opfylder ingen krav Beredskabsstyrelsen, der tilbage i 2017 kun delvist opfyldte kravene, har i 2020 gjort sig fortjent til et grønt mærkat, der betyder, at styrelsen nu opfylder alle krav. Det er dog ikke gået den rigtige retning for alle, siden 2017, hvor Rigsrevisionen først kontrollerede institutionerne for de tre punkter. Værst står det til hos Udenrigsministeriet, der i 2020 har alle positioner markeret med rødt, hvoraf to af dem trods alt var gule i 2017. Lidt bedre er det gået for Banedanmark, der har fået flyttet en position - kontrol med indgående mails - fra gul til grøn. Men både Sundhedsdatastyrelsen og Banedanmark står i rød, når det gælder sikring af identitetstyveri når der sker et angreb mod andre.
Computerworld nr. 2 • 26. februar 2021
21
fokus sikkerhed
It-sikkerheden ramt af corona-indsats hos Sundhedsdatastyrelsen Sundhedsdatastyrelsen mangler beskyttende foranstaltninger mod ransomware-angreb efter alle kræfter er blevet sat ind i coronabekæmpelsen. Af Ditte Vinterberg Weng
A
rbejdet med Covid-19 har forsinket Sundhedsdatastyrelsen i sit arbejde med at sikre styrelsen mod ransomware-angreb. Sådan lyder Sundhedsdatastyrelsens forklaring på Rigsrevisionens kritik af styrelsens mangler på cybersikkerheden. Kritikken kommer efter en revision, der fandt sted i 2020, hvor Rigsrevisionen fulgte op på et antal punkter, der ikke var fundet tilfredsstillende opfyldt hos i alt fire institutioner i 2017. I det nye notat lever tre ud af de fire institutioner - Udenrigsministeriet, Sundhedsdatastyrelsen og Banedanmark - ikke tilfredsstillende op til tre ufravigelige krav til sikkerheden mod ransomware-angreb. I notatet lyder det, at undersøgelse har vist, ”at Sundhedsdatastyrelsen og Banedanmark ikke har sikret sig mod, at hackere kan anvende institutionernes identitet i hackerangreb mod andre, hvilket er et af de ufravigelige krav til it-sikkerheden.” Alle institutioner har oplyst til Rigsrevisionen, at de er i gang med initiativer til at opfylde hovedparten af disse tiltag. Banedanmark har sikret sig mod identitetsmisbrug på alle domæner på nær ét domæne. Mens Sundhedsdatastyrelsen op-
22
Computerworld nr. 2 • 26. februar 2021
lyser, at styrelsen er 94 procent i mål med at implementere dette. I notatet gøres det opmærksom på, at ”farveændringerne fra gule vurderinger i 2017 til røde i 2020 skyldes, at der siden 2017 er blevet tale om ufravigelige krav, hvorfor det ikke er tilstrækkeligt med en delvis opfyldelse.” Corona har forsinket processen ”Vi tager det alvorligt og er i gang med at indføre de sikkerhedsforanstaltninger vedrørende ransomware, der skal til, for at vi lever helt op til de ufravigelige
krav til it-sikkerhed,” skriver Sundhedsdatastyrelsens afdelingschef Søren Bank Greenfield i en mail til computerworld. Sundhedsdatastyrelsens forklarer envidere, at den forestående pandemi spiller en rolle i forhold til de mangler, der endnu ikke er implementerede. ”Det er et arbejde, vi har været i gang med gennem længere tid, men som vi på nogle punkter er blevet forsinket med på grund af vores betydelige og igangværende opgave med at it-understøtte myndighedernes coronaindsats og udrulningen af covid-vaccinationerne til den danske befolkning. Disse opgaver har højeste prioritet,” skriver Søren Bank Greenfield. Han fortsætter: ”De nævnte it-sikkerhedskrav i Rigsrevisionens notat står dog ikke alene og er kun nogle få
ud af mange sikkerhedsforanstaltninger, som vi allerede har implementeret.”
Vi tager det alvorligt og er i gang med at indføre de sikkerhedsforanstaltninger vedrørende ransomware, der skal til, for at vi lever helt op til de ufravigelige krav til itsikkerhed Søren Bank Greenfield Afdelingschef i Sundhedsdatastyrelsen i en mail til Computerworld.
TIL VIRKSOMHEDER
Tilbuddene gælder til og med den 11. marts
Kontorartikler
Elektronik
Møbler
Lager
Rengøring
Fødevarer & køkken
Opgrader IT-udstyret i virksomheden og på hjemmekontoret Full HD 23,8” eller 27”
ThinkPad E15 G2 15,6” notebook
LED skærm med Full HD opløsning
Hjælper dig let igennem dine arbejdsopgaver
NYHED!
Kun
5999,-
Fra kun
699,-
SPAR 500,-
SPAR op til 300,-
IT- og elektroniktilbud – Bestil her – lomax.dk/computerworld Rollermouse Free3 wireless
EB-S41 SVGA projektor
Contours hurtigste mus – perfekt med balance keyboard
Nem og hurtig opsætning
• • • •
• • • •
9 knapper Praktisk scrollhjul Integreret håndledsstøtte af kunstlæder Plug-and-play USB-installation
Kun
1699,-
3300 lumen 800 x 600 opløsning Op til 10.000 timer Fra 30" til 300"
SPAR 500,-
Kun
1999,SPAR 500,-
Lomax.dk
Ring
Bestil før kl. 15
Arbejder du hjemme?
Totalleverandør til virksomheder
Sjælland: 47 36 80 00 Fyn/Jylland: 63 15 25 25
Hvis varen er på lager sender vi den samme dag. FRI FRAGT ved køb for min. kr. 800,- ekskl. moms.
Vi leverer også til privatadresser Alle priser er ekskl. moms. Der tages forbehold for trykfejl i såvel tekst som priser, mål, farver mv.
fokus sikkerhed
Dommen i Danmarks første sag om GDPR-bøde er faldet ... skal betale 100.000 kroner Danmarks første GDPR-bøde er nu afgjort af en dansk domstol. Møbelkæden IDDesign skal betale 100.000 kroner for brud på persondataforordningen. Det har Retten i Aarhus slået fast. Af Jakob Schjoldager
M
øbelkæden IDDesign, der står bag selskabet Ilva har fået den endelig dom
for brud på GDPR. Bøden ender på bare 100.000 kroner. Det er markant under de 1,5 millioner kroner, som indstillingen ellers lød på fra Datatilsynet. Det har Retten i Aarhus afgjort. Sagens forventes at sætte præsendens for kommende bøder for brud på GDPR, og derfor har dommen været længe ventet. I dommen fremgår det, at der var tvivl om præcis hvor mange persondata, der var tale om. Retten mener desuden ikke, at det er hele IDDesigns omsætning der kan lægges til grund for bøden, men alene selskabet Ilva, der var den virksomhed, som var ansvarlig for databruddet. ”Retten fandt endvidere, at det kun var tiltaltes egen omsætning, der skulle lægges til grund for bødens beregning, ligesom der skulle tages hensyn til, at overtrædelsen var begået uagtsomt,” skriver Retten i Aarhus. Desuden fremgår det af domsresumeet, at bøden skulle ligge væsentlig over det tidligere bødeniveau for brud på persondatasikkerheden.
24
Computerworld nr. 2 • 26. februar 2021
”Da der er i forarbejderne til databeskyttelsesloven, er lagt op til en ”væsentlig forøgelse” af bødeniveauet for overtrædelser af databeskyttelsesforordningens bestemmelser sammenlignet med hidtidig praksis, der i forarbejderne er angivet til et niveau på mellem 2.000 og 25.000 kr., afhængigt af overtrædelsens karakter, fastsatte retten efter en samlet vurdering bøden til 100.000 kr.” Det handler sagen om Sagen tog sit udspring i 2018 og var en af de første politianmeldelser for brud på GDPR, som Datatilsynet foretog. Under et kontrolbesøg i efteråret 2018 - omkring et halvt år efter, at GDPR-lovgivningen trådte i kraft 25. maj 2018 konstaterede Datatilsynet, at møbelkæden havde opbevaret oplysninger på op mod 385.000 kunder i et gammelt it-system. Det fik Datatilsynet til at melde IDDesign til politiet og anbefale en bøde for brud på GDPR på 1,5 millioner kroner. Et beløb som direktør Rami Jensen, IDDesign, mener var alt for høj. “Vi er med på, at vi har lavet en fejl. Det anerkender vi, og det er vi kede af. Men det er vigtigt at understrege, at ingen data er blevet lækket eller misbrugt, og
der har ikke været nogen ond hensigt. På den baggrund synes vi også, at bødestørrelsen er i overkanten,” sagde han dengang til Computerworld.
Danmark har som det eneste valg i EU udover Estland valgt, at Datatilsynet ikke selv skal have mulighed for at udskrive bøder til virksomheder og offentlige
organisationer. Derfor skal Datatilsynet i stedet politianmelde brud på GDPR og så skal sagen tages op af domstolene. Derfor har Danmark også været væsentlige længere tid om at få de første endelige GDPR-afgørelser på plads. Møbelkæden er godt tilfreds Møbelkæden Ilva/IDDesign er overordnet godt tilfreds med afgørelsen på Danmarks første GDPR-dom. ”Vi er overordnede tilfredse
med dommen. Vi havde håbet på en anden vurdering af skyldsspørgsmålet. Men vi konstaterer, at retten mener, der er begået en fejl, og det accepterer vi,” siger Dan Bjerg Geary, partner hos advokathuset Bech-Bruun og advokat for møbelkæden til Computerworld. Ilva var ifølge Dan Bjerg Geary uenig i afgørelsen i forhold til, om selskabet var skyldig i brud på GDPR, men man glæder sig samtidig over, at bøden trods alt blev reduceret markant i forhold til udgangspunktet. ”Vi er meget tilfredse med
sanktionsdelen. Hvis man læser dommen, kan man se, at retten meget indgående overvejer slet ikke at idømme vores klient en bøde,” siger Dan Bjerg Geary. I sidste ende vælger Retten i Aarhus dog at idømme Ilva en bødestraf på 100.000 kroner. Det sker især med henvisning til, at bødeniveauet ifølge persondataforordningen skal være markant højere, end det var tilfældet, før EU-Forordningen trådte i kraft. ”Det vælger de (byretten i Aarhus, red.) at gøre med henvisning til blandt andet, de betragtninger der er i persondataforordningen om at hæve snaktionsreglerne. Men de sætter den ned med mere end 90 procent, efter at have vurderet hele forløbet anderledes, end både Datatilsynet og anklagemyndigheden har gjort,” forklarer selskabets advokat. Han understreger samtidig, at bruddet var en fejl og altså ikke en bevist handling fra selskabets side. Derudover forklarer Dan Bjerg Geary, at der var tale om almindelige kundeoplysninger. ”Oplysningerne har efter rettens vurdering så at sige bare ligget lidt for længe i et udfaset system, og man anerkender, at man har lavet et meget stort stykke arbejde for at sikre sikkerheden af kundernes data.” Dan Bjerg Geary ønsker ikke at udtale sig om, Ilva har tænkt sig at anke dommen. Det har man derfor ingen kommentarer til på nuværende tidspunkt, fortæller han til Computerworld. Østjyllandspoliti overvejer at anke dommen Hos Østjyllands Politi, der er anklageren i sagen, bemærker man også, at rettens afgørelse førte til en markant lavere bøde, end der var lagt op til fra Datatilsynet. Det får nu specialanklager ved Østjyllands Politi, Jan Østergaard, til at overveje om sagen skal ankes. ”Dette er den første sag mod en virksomhed, hvor vi har
Sagen her er principiel og udtaget som prøvesag, og derfor er jeg meget tilfreds med, at der nu er taget stilling til en række af de vigtige spørgsmål, der har betydning for bødeudmålingen af denne og fremtidige GDPR-sager. Jan Østergaard Specialanklager ved Østjyllands Politi
skullet fastsætte bødeniveauet efter de skærpede EU-regler om udmåling. Udgangspunktet for os har været Datatilsynets bødemodel, der blandt andet er baseret på koncernens omsætning. Vi har noteret os, at byretten har vurderet, at bøden skulle være meget lavere, og det får os da til at overveje, om sagen skal prøves ved Vestre Landsret,” siger Jan Østergaard i en meddelelse fra Østjyllands Politi. Derfor har man nu udbedt sig betænkningstid, inden man tager stilling til, om sagen skal ankes. Desuden hæfter specialanklageren sig ved, at fordi sagen er den første af sin slags i Danmark, kommer den til at danne grundlag for kommende sager, der vil blive rejst i fremtiden. ”Sagen her er principiel og udtaget som prøvesag, og derfor er jeg meget tilfreds med, at der nu er taget stilling til en række af de vigtige spørgsmål, der har betydning for bødeudmålingen af denne og fremtidige GDPR-sager,” lyder det fra Jan Østergaard.
Computerworld nr. 2 • 26. februar 2021
25
fokus sikkerhed
Sådan undgår din virksomhed de mest basale databrud
Blandt 18.000 indberetninger er menneskelige fejl det mest almindelige 18.000 anmeldelser om databrud er tikket ind hos Datatilsynet siden siden GDPR-loven trådte i kraft. ”Mange af de fejl, som vi ser, beror på relativt banale fejl,” lyder det fra tilsynets itsikkerhedspecialist Allan Frank. Se her, hvordan du relativt nemt kan undgå dem. Af Ditte Vinterberg Weng
26
Computerworld nr. 2 • 26. februar 2021
S
iden databeskyttelsesloven 25. maj 2018 trådte i kraft, har Datatilsynet modtaget 18.000 indberetninger om databrud fra virksomheder, myndigheder og
borgere. Og særligt enkeltstående menneskelige fejl udgør størstedelen af alle indberetninger. Det handler om fejl, hvor en medarbejder kommer til at trykke en forkert mail-adresse i et afsenderfelt, eller sende en
produktet, også får den fejl.” På den måde skaber én fejl i databeskyttelsen altså flere fejl og flere indberetninger, når fejlen opstår hos it-leverandører. Det kan være eksempelvis banker, kommuner eller regioner, der bruger den samme løsning på tværs. ”Det betyder, at man skal være mere opmærksom på de her udviklingsscenarier hos leverandøren, om man får testet dem nok – også i forhold til persondatasikkerheden. Der er et stort fokus på de her ting, men jeg tror, at man nogle gange glemmer at tænke risikoen for den registreredes rettigheder ind i testscenariet.”
anden borgers private oplysninger til den klient man har kontakt med. Hos Datatilsynet har it-sikkerhedsspecialist Allan Frank gennemgået de tendenser, der skaber de fleste brud sammen med Computerworlds journalist. ”Enkeltstående menneskelige fejl er stadig den store gruppe af det her. Så er der en lille stigning – men kun en lille stigning – i den del, der handler om cyberkriminalitet. Og så er der en stigende tendens til, at it-udviklere, der bygger it-løsninger, der bliver brugt af mange dataansvarlige, begår én fejl, som betyder, at alle de dataansvarlige, der har
Sådan udrydder du fejl, der fører til databrud ”Mange af de fejl, som vi ser, beror på relativt banale fejl,” fortæller Allan Frank. Den fejl, der udløste over halvdelen af anmeldte databrud i 2020. handlede om, at man havde sendte rigtige oplysninger til en forkert modtager. ”En af de helt store syndere, jeg ofte stødte på, da vi gik i gang med det her, var eksempelvis det, der hedder autocomplete – altså den funktion, der automatisk foreslår et navn eller en mail, når man begynder at taste noget ind. Der var mange, der fik sendt oplysninger til de forkerte på den konto.” Og det såre simple råd til dette lyder: Slå funktionen fra. Nogle gange er det også blot en simpel tastefejl eller afløsningsfejl, der sender personoplysninger afsted til den forkerte. Blandt andet kommunerne og bankerne, der sender dokumenter til brugerens e-Boks. Her er er udfordringen, at man for at kunne sende til e-boks, skal anvende nogle specielle koder. Trykker man disse koder forkert, kan en mail med personfølsomme oplysninger hurtigt havne i de forkerte hænder. ”Disse koder kunne man lave en form for elektronisk kontrol
En af de helt store syndere, jeg ofte stødte på, da vi gik i gang med det her, var eksempelvis det, der hedder autocomplete – altså den funktion, der automatisk foreslår et navn eller en mail, når man begynder at taste noget ind. Der var mange, der fik sendt oplysninger til de forkerte på den konto. Allan Frank It-sikkerhedsspecialist, Datatilsynet Fotos: Anders Due
af for at sikre, at det brev man har skrevet, rent faktisk vedrører den person, jeg prøver at sende det til,” foreslår Allan Frank. Han peger på, at denne type
kontrol også vil spare organisationerne for en del penge, da det i dag er op til medarbejderne selv at taste ind, hvem de skal sende beskederne til. ”Der kunne man godt have en kontrol, der aktiveres, hvis man er ved at sende noget, der virker ulogisk, med en besked om, at ’du har skrevet et brev til CPR-nummer X. Du er ved at sende det til CPR-nummer Y. Er du sikker på, det er korrekt?’” Mennesker vil altid begå fejl ”I sidste ende vil der altid forekomme menneskelige fejl. Det kommer vi ikke udenom. Enkeltstående menneskelige fejl vil altid opstå.” Men er der tale om et gentagende mønster i de databrud, der sker, foreslår Allan Frank, at en løsningsmodel kan være at sætte en tidsbegrænsning på det ensformige arbejde, der udføres ved menneskekraft. ”Når folk bliver for trætte i hovedet af at sidde med den samme type arbejde, så kan man foretage en organisatorisk foranstaltning for at sikre, at der ikke sker så mange fejl.” Alternativt kan man tilføje en ekstra godkendelse til processen, så de indtastede oplysninger skal gå igennem mindst to mennesker, før der trykkes på send-knappen. Alternativt kan det ekstra sæt øjne være en teknisk dobbelttjekker.
Computerworld nr. 2 • 26. februar 2021
27
fokus sikkerhed
Sådan beregner Datatilsynet GDPR-bødestørrelser Datatilsynet løfter sløret for, hvordan tilsynet vurderer bødestørrelser til virksomheder, der overtræder GDPR. “Bøden skal i hver enkelt sag være effektiv og have afskrækkende virkning,” lyder den overordnede regel. Se de øvrige her. Af Dan Jensen
28
Computerworld nr. 2 • 26. februar 2021
O
vertræder man reglerne i GDPR-lovgivningen, risikerer man i en række tilfælde, at Datatilsynet forlanger, at man betaler en bøde som straf. Det har hidtil ikke stået helt klart, hvordan Datatilsynet
udregner bødernes størrelse. Det vil tilsynet nu råde bod på med en vejledning, der samlet set skal kaste lys over, hvordan Datatilsynet vurderer størrelsen på de såkaldte bødepåstande. Denne vejledning skal give et ‘klart og gennemskueligt’ grundlag for Datatilsynets bødekrav og vil løbende blive udbygget og justeret i takt med, at de danske
domstole får afgjort GDPR-sager. “Bøden [skal] i hver enkelt sag skal være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning,” lyder det helt overordnet fra Datatilsynet. Grundbeløb først Datatilsynet fastlægger i første omgang et grundbeløb, der fastlægges ved at se, hvor den konkrete overtrædelse passer ind på en liste med seks forskellige kategorier. Her fastlægger tilsynet først et bødemaksimum for den pågældende virksomhed ud fra blandt andet den årlige omsætning. Og herfra udregnes så grund-
Bøden [skal] i hver enkelt sag skal være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Datatilsynet i ny vejledning
Privat testcenter melder sig selv til Datatilsynet:
Ansatte brugte WhatsApp til at dele private oplysninger Oplysninger om borgere, der er testet positive for corona, er blevet delt i WhatsApp-grupper på et privat testcenter. Ifølge en GDPRekspert er det ulovligt. Af Jacob Ø. Wittorff
bødens størrelse som en procentsats på mellem fem procent og 20 procent af maksimum-beløbet afhængig af hvilken af de seks kategorier, overtrædelsen hører under. Beløbet kan justeres Datatilsynet har imidlertid forskellige muligheder for at justere beløbet den ene eller den anden vej. “Efter at have fastlagt grundbeløbet, justeres bøden efter overtrædelsens karakter, alvor og varighed i det konkrete tilfælde. Derefter kan der ske en stigning af beløbet ved skærpende omstændigheder og/eller et fald ved formildende omstændigheder,” lyder det fra tilsynet. Datatilsynet kan også tage justere beløbet ud fra hensyn til det pågældende selskabs betalingsevne. Der er desuden plads til at justere bødens størrelse ud fra, om der indgår særligt skærpende eller særligt formildende omstændigheder. “Efter grundbeløbet er blevet fastsat skal beløbet justeres efter de konkrete omstændigheder, der udgør overtrædelsens karakter, alvor og varighed. Ved vurderingen skal der tages hensyn til behandlingens karakter, omfang eller formål, antallet af registrerede samt omfanget af den skade, de registrerede har lidt som følge af overtrædelsen,” lyder det fra Datatilsynet.
M
edical Nordics, der er ansvarlige for en række private covid19-testcentre, har meldt sig selv til Datatilsynet og øjeblikkeligt stat en stopper for en praksis, hvor de ansatte delte positive testresultater via den Facebook-ejede beskedtjeneste WhatsApp. Det oplyser selskabet i en pressemeddelelse. Selskabets udmelding kommer efter, at B.T. kunne afsløre, at der på nogle testcentrene ikke blev brugt et lukket it-system til at kommunikere informationer om smittede borgere. I stedet blev podere instrueret i at bruge deres private telefoner til at tage billeder af smittede borgeres personoplysninger og herefter dele dem i en privat Whatsapp-gruppe for de ansatte på testcenteret. Oplysningerne om de smittede borgere i Whatsapp-gruppen blev herefter indberettet til Sundhedsmyndighederne. Oplysninger gemt på telefoner Ifølge B.T. har Whatsapp desuden funktion, der betyder, at billederne ikke alene bliver i WhatsApp, men også automatisk bliver gemt lokalt på fotorullen på de ansattes telefoner. Ifølge Medicals Nordic er medarbejderne dog blevet instrueret i løbende at slette oplysninger fra deres telefoner ”Det er ulovligt. Det opfylder ikke databeskyttelsesforordningens artikel 32 om, at sikkerheden skal passe til den type data, man behandler. Behandlingen af følsomme personoplysninger kræver ekstra sikkerhed. Både for at holde oplysningerne fortrolige og for at forhindre, at for mange får adgang til dem. Hos Medicals Nordic lyder det, som at medarbejderne har adgang til oplysninger både før og efter ansættelse,” siger Birgitte Kofod Olsen, forperson i tænketanken DataEthics, til B.T. Medicals Nordic oplyser i pressemeddelelsen, at medarbejderne nu er begyndt at kommunikere positive testresultater via telefon. Selskabet oplyser desuden, at det fra 1. februar har taget et andet it-system i brug.
Computerworld nr. 2 • 26. februar 2021
29
fokus sikkerhed
Max Schrems på besøg hos Computerworld:
Her er vores cloudfremtid i Europa efter Schrems II-dommen Faderen til og hovedpersonen i de omvæltende domme, der har fået hele EU til at panikke over cloud, har været virtuelt forbi Computerworld til en snak om privacy. ”Jeg håber, at vi ikke får brug for Schrems III, IV eller V, for ærligt talt håber jeg, at jeg får afsluttet dette, inden jeg går på pension,” siger han. Men er ikke sikker. Af Ditte Vinterberg Weng og Jacob Schjoldager
30
Computerworld nr. 2 • 26. februar 2021
M
anden, hvis navn er blevet til lov i EU, hovedpine hos de amerikanske tech-giganter og forvirring for europæiske virksomheder, deltog forleden i et online arrangement hos Computerworld. Maximillian Schrems har siden 2013 kæmpet for, at hans per-
sonoplysninger ikke skulle blive overført til tjenesteudbydere, der kan dele denne data med statens myndigheder. Ved Computerworld-arrangementet gennemgik han den lange rejse, der indtil nu har ført til de to domme; Schrems I og Schrems II, der skrottede Privacy Shield-ordningen som overførselsgrundlag. Samtidig fastslog de, at virk-
Maximillian Schrems (tv.) blev forleden interviewet online af journalist på Computerworld, Jakob Schjoldager.
somheder ikke må overføre personoplysninger til blandt andet USA, fordi der ikke er mulighed for at få prøvet sin sag ved den amerikanske domstol. Han kom også med sin egen analyse af, hvordan fremtiden ser ud på cloud-området på den anden side af Schrems II. Det var Computerworlds journalist og vært for arrangementet Jakob Schjoldager, der interviewe-
de den juridiske aktivist. Kan autoriteter i USA bruge FISA til at få eksempelvis Amazon Web Services i Irland eller Tyskland til at give dem adgang til deres data? “AWS er super interessant af flere årsager. Da Snowden stod frem, var de ikke engang på dagsordenen. Ingen hostede ved Amazon i 2007, og de gik under radaren hos mange. Man talte om Microsoft og Google dengang. AWS var ikke en del af det. I dag har AWS en gennemsigtighedsrapport, der fremhæver, at de behandler data under FISA 702, så det er givet, at de er en del af systemet, og det siger de selv.” Foreign Intelligence Surveillance Act – eller FISA-loven – som den amerikanske stat vedtog i 1978, fastlægger procedurer for fysisk og elektronisk overvågning og indsamling af data fra udlandet. Det kan være om udenlandske magter eller agenter for udenlandske magter, der mistænkes for spionage eller terrorisme. Og afsnit 702 i FISA er en vedtægt, der tillader både indsamling, brug og formidling af elektronisk data, der er gemt af amerikanske internetudbydere – eksempelvis Google, Facebook, Amazon og Microsoft. I modsætning til ”traditionel” FISA-overvågning kræver afsnit 702 ikke, at overvågningsmålet er en mistænkt terrorist, spion eller anden agent for en fremmed magt. Afsnit 702 kræver kun, at målene er ikke-amerikanske personer beliggende i udlandet, og at et ”væsentligt formål” med overvågningen er at skaffe ”udenlandsk efterretningsinformation”. Det vil sige, at det primære formål med overvågningen kan være noget helt andet. Hvad med de andre cloud-leverandører? ”Der er en del andre leverandører, der ikke har disse gennemsigtighedsrapporter. Det er interessant, at de virksomheder, der er transparente omkring det [deres databehandling, red.] ved vi, at vi
Vi har selv data og medlemmer og kender til problemstillingen internt. Og vores omstilling efter Schrems II-dommen tog omtrent 10 minutter. Vi har ingen underleverandører fra USA. Det har gjort livet meget lettere. Maximillian Schrems
ikke kan bruge. Og de, der ikke er transparente omkring det, ved vi ikke, om udleverer data eller ej [til eksempelvis statsovervågning, red.].” Bliver cloud i EU nogensinde godt nok? Er der nogen alternativer I EU vi kan bruge, hvis vi ikke må bruge de amerikanske cloud-leverandører mere? Max Schrems svarer ubekymret. Hans egen organisation NOYB, der arbejder for Europa-fokuserede privacy-rettigheder, benytter sig udelukkende af europæiske cloud-udbydere, fortæller han. ”Vi er selv en organisation, der står med de samme udfordringer som alle andre. Vi har selv data og medlemmer og kender til problemstillingen internt. Og vores omstilling efter Schrems II-dommen tog omtrent 10 minutter, fordi vi i forvejen hoster ved europæiske leverandører. Vi har ingen underleverandører fra USA. Det har gjort livet meget lettere.” Der er flere fordele ved at fravælge de store cloud-leverandører, hvis man ikke allerede har gjort det, mener Schrems. “Måske betaler vi – jeg ved ikke
– 10 euro mere om måneden for vores server, men så har jeg i det mindste nogen, jeg kan ringe til, der faktisk tager telefonen. Og for det andet er hele det her compliance-problem væk, og det er noget, virksomheder ofte er nødt til at tænke over. Af tekniske grunde kan det virke billigere at hoste hos en amerikansk leverandør. Men hvis du er nødt til at kontakte advokatfirmaer for at gøre det nogenlunde legalt, så ender du alligevel med at bruge flere penge, og du giver dig selv mere hovedpine. Så jeg mener, at der er et godt argument for at hoste hvad du kan i Europa.” Max Schrems erkender, at det kan være svært at finde europæiske alternativer, der er lige så gode som de amerikanske giganter lige nu. Men han påpeger, at denne omstilling netop er en mulighed for europæiske cloud-leverandører til at ”catch up”, når nye kunder giver dem chancen. Hvad er din egen personlige holdning, når det kommer til at overføre data til USA? Vil du foretrække, at vi i EU kun benytter os af EU-virksomheder og stopper med at samarbejde med de store cloud-providere? “For at være ærlig, så håber jeg, at vi får – i det mindste mellem de vestlige demokratier – en verden, hvor vi af gode grunde kan stole på hinanden, og hvor vi basalt set kan sige, at vi som europæere også har rettigheder, når vi tager til USA. Jeg er overbevist om, at dét er den langsigtede løsning.” Det er tech-giganteren, der skal skubbe på for forandringen Mens mistilliden i dag stikker en kæp i hjulet for de store globale samarbejder, så peger Maximillian Schrems på, at de globale forretninger er et vitalt onde for de amerikanske tech-giganter. Derfor kan de ikke bare ignorere de krav, som de møder fra Fortsættes side 33
Computerworld nr. 2 • 26. februar 2021
31
fokus sikkerhed
Schrems II kan få alvorlige konsekvenser for it-sourcing Outsourcing-aftaler kan blive mere komplicerede efter EU-domstolen har kendt privacy shield ugyldigt. Det fastslår it-advokat Martin Folke Vasehus. Af Jakob Schjoldager
E
U-domstolens afgørelse i den såkaldte Schrems II-sag har skabt stor tvivl og forvirring i det
meste af EU. Afgørelsen har nemlig skabt tvivl om brugen af cloud-tjene-
32
Computerworld nr. 2 • 26. februar 2021
ster, hvor data bliver sendt til USA. Men afgørelsen kan også få konsekvenser for it-outsourcingaftaler, som danske virksomheder har med lande uden for EU. Det forklarer it-advokat og stifter af ComplyCloud, Martin Folke Vasehus. ”Hvis en virksomhed får
”view-only” eller anden remote adgang til personoplysninger, så overfører du persondata i lovens forstand til det land, virksomheden kommer fra,” siger han til Computerworld. ”Det betyder, at man skal kunne stå på mål for, at det pågældende land sikrer det samme databeskyttelsesniveau som i EU. Dette er sikret, hvis det pågældende land overholder de fire europæiske essentielle garantier, eller hvis man kan implementere supplerende foranstaltninger, der sikrer sådan et databeskyttelsesniveau,” siger han.
Tvivlen hos mange er opstået, efter Det Europæiske Databeskyttelsesråd er kommet med sine anbefalinger til, hvordan man skal tolke EU-dommen. ”Humlen i det, der er kommet fra rådet, handler om, at der kræves, at hvis du sender oplysninger til et tredjeland, så skal de data anonymiseres, så de ikke kan tilgås i det land, hvis det er et usikkert tredjeland,” siger Martin Folke Vasehus. ”Derfor har du et problem, hvis du outsourcer en funktion, der har adgang til persondata, medmindre du på en eller an-
den måde kan leve op til de her essentielle garantier,” siger han. De samme krav er der altså, hvis der er tale om it-outsourcing, hvor en del af virksomhedens it-drift altså bliver varetaget udenfor EU. Schrems II har givet flere forhindringer Martin Folke Vasehus udelukker ikke, at virksomheder fortsat kan bruge it-outsourcing i samme omfang som tidligere, men Schrems II har sat en række forhindringer op. ”Pointen er, at hvis du sender data til et usikkert tredjeland så skal du sikre dig, at de efterretningstjenester i landet, der kan få adgang til den data, ikke kan bruge det til noget, fordi det er krypteret, eller der ikke er en rigtig sammenhæng i data,” siger Martin Folke Vasehus og tilføjer: ”Jeg vil da sige, at det er imponerende, hvis man kan komme frem til en konklusion om, at der i store outsourcing-lande som Indien er samme beskyttelsesniveau som i EU.” Det helt store problem, når det gælder it-outsourcing, er ifølge
Hvis man vil outsource it-drift til et usikkert tredjeland i dag, skal man foretage en konsekvens analyse, og hvis man er 100 procent sikker på, at den er lovlig, kan man bare gøre det. Men det er svært at garantere noget efter Schrems II. Martin Folke Vasehus It-advokat
it-advokaten, at der ikke er nogle klare definitioner af, hvilke lande uden for EU man kan sende persondata til. ”En af de helt centrale problematikker med Schrems II er, at du ikke kan finde en objektiv vurdering af, om et land er sikkert. Det handler heller ikke om den konkrete sag. Det er op til den enkelte selv at vurdere, om sikkerheden i det land er god nok.”
Max Schrems på besøg hos Computerworld:
Kan give problemer for nye aftaler Virksomheder, der allerede har outsourcet en del af sin it-drift, behøver dog ikke være bekymret, lyder det fra it-advokaten. Det er straks mere vanskeligt for de virksomheder, der overvejer, om en del af deres it-drift skal outsources. ”Hvis man allerede har outsourcet en del af sin it-infrastruktur efter GDPR, så har man allerede foretaget en konsekvensanalyse af det. Men hvis jeg skal til at gøre det, så skal jeg foretage en analyse af, hvilket overførselsgrundlag jeg skal benytte mig af,” siger Martin Folke Vasehus. ”Hvis man vil outsource it-drift til et usikkert tredjeland i dag, skal man foretage en konsekvensanalyse, og hvis man er 100 procent sikker på, at den er lovlig, kan man bare gøre det. Men det er svært at garantere noget efter Schrems II.” Så længe, man ikke selv kan garantere for, om en outsourcing-aftale lever op til loven, så er det en mulighed at forhøre sig hos Datatilsynet. Men selvom det lyder tillokkende, så er det dog ikke noget, som Martin Folke Vasehus nødvendigvis ville anbefale. ”Alternativt kan man sende analysen i høring hos Datatilsynet. Der risikerer man at svaret indeholder forbehold, som vil få konsekvenser for den business case, man har med outsourcingen,” forklarer Martin Folke Vasehus.
deres europæiske kunder og samarbejdspartnere. ”USA er – når det kommer til fundamentale rettigheder – meget nationalistiske. Deres egne borgere har rettigheder, og vi andre har ikke. Medmindre vi finder en løsning på dét, og jeg håber, den amerikanske industri vil skubbe på, for at gå i den retning, for også at beskytte sine egne vitale interesser om at gøre forretning på globalt plan, så vil vi aldrig finde os selv i situation, hvor det er muligt.” USA har fået en ny præsident. Ser du det som realistisk, at USA kommer til at ændre reglerne så de er kompatible med GDPR? ”Det store, interessante spørgsmål er, hvor meget den amerikanske industri vil skubbe på. [...] Og så kan jeg se, at man i USA stadig har en debat om, hvorvidt Europa har tænkt sig at håndhæve de her love. Det er godt og fint, hvis EU’s højesteret siger, at det er ulovligt at sende data til USA, men ærligt talt, så er der jo ikke udstukket en eneste bøde i forhold til overførsels-problemet.” I januar i år, besluttede Irlands databeskyttelseskommission at færdigbehandle Max Schrems klage over Facebooks internationale dataoverførsler inden for de nærste måneder. Klagen, som startede hele misæren tilbage i 2013, kan i sidste ende tvinge SoMe-giganten til at suspendere datastrømme fra EU til USA. ”Facebook fortsætter med at overføre data, selv om selskabet efter 7,5 år har været gennem seks eller syv domstole, der har slået fast, at overførslerne er ulovlige. Så realiteten er, at en stor del af disse industrier bare siger ”fuck it”. Det er rart, at vi har nogle regler, men hvis ingen håndhæver dem, så kommer virksomhederne ikke til at indordne sig efter dem, og det fører til mindre pres på USA til at ændre noget som helst.” Og Schrems er ikke i tvivl om, hvem der skal få bolden til at rulle først: ”Jeg tror, det bliver interessant at holde øje med. Det første, vi behøver, er en kraftig håndhævelse af loven i Europa. Så vil vi få en reaktion fra den amerikanske industri. Derfra vil vi se en reaktion fra de amerikanske politikere. Det er det mest realistiske scenarie.”
Sådan ser vores cloudfremtid ud i Europa efter Schrems II-dommen Fortsat fra side 31
Håber ikke på flere Schrems-domme Vi har Schrems I og II. Kan vi forvente flere Schrems-domme i fremtiden? ”Jeg håber det ikke.” Max Schrems ler, i det han svarer. ”Nej, vi arbejder i NOYB på andre dele af loven. Jeg tror, at overførselsdebatten er klar, men der sker så mange andre overtrædelser af brugeres rettigheder og så mange andre områder, som vi fokuserer på lige nu. Jeg håber ikke, at vi får brug for Schrems tre, fire eller fem, for ærligt talt håber jeg, at jeg får afsluttet dette, inden jeg går på pension.”
Computerworld nr. 2 • 26. februar 2021
33
fokus sikkerhed
Sundhedssektorens overgang til cloud giver store it-sikkerhedsproblemer Ligesom alle andre lægger også sundhedssektoren flere og flere it-services i clouden. Men sikkerheden følger ikke med, viser ny rapport. Af Ditte Vinterberg Weng
M
an kan måske dårligt forestille sig et mere uheldigt tidspunkt at udfordre sikkerheden i sundhedssektoren end under en pandemi. Ikke destro mindre er dét, hvad der er sket - som følge af selv samme pandemi. Coronapandemien har globalt set har fået 88 procent af organisationerne i sundhedssektoren til at accelerere brugen af cloudteknologi. Men den øgede vandring af services til clouden udfordrer sundhedsvæsnets sikkerhed. Det viser en ny rapport fra cybersikkerhedsvriskomheden Trend Micro. Det store flyttearbejde af it-services til clouden er igangsat
- også i sundhedssektoren - for at gøre det daglige arbejde mere praktisk, give medarbejdere mul-
Her ser vi ofte, at workloads ikke er beskyttet af sikkerhedssoftware, fordi brugeren enten ikke har overvejet det, eller ikke har et sikkerhedsprodukt, der er cloudvenligt. Jesper Mikkelsen Cybersikkerhedsspecialist hos Trend Micro i Danmark
gihed for at arbejde hjemmefra, sænke omkostninger og få større it-agilitet. Men men men ... sundhedssystemet kan ikke følge med på sikkerhedssiden. Manglende kompetencer I rapporten kortlægges en række udfordringer, som sundhedssektoren er stødt ind i, der har fået sikkerheden i branchen til at bævre. Rapporten, der bygger på tal fra en uafhængig survey blandt 2.565 virksomheder i 28 lande - herunder Danmark - viser, at 43 procent af de adspurgte organisationer oplever mangel på it-kompetencer som en barriere for at indføre sikkerhedsløsninger i cloudmiljøet. Hertil kommer, at 34 procent oplever udfordringer med det løbende vedligeholdelsesarbejde. Og 32 procent peger på håndtering af sårbarheder og fejlkonfiguration, som udgør problemer i sikkerheden. Også de økonomiske ressourcer, der er til rådighed til en sådan omstillinger, spænder ben for virksomhederne - da øgede omkostninger til eksempelvis drift og uddannelse også må medregnes i projketet. Tre typiske sikkerhedsproblemer i cloud Fejlkonfiguration opstår, når en bruger enten glemmer at ændre en services standardindstillinger eller indstiller dem, så sikkerhedsniveauet bliver for lavt. ”Det resulterer i svagheder i datasikkerheden, som hackere kan udnytte til at få adgang til brugerens data,” forklarer Jesper
34
Computerworld nr. 2 • 26. februar 2021
Mikkelsen, der er cybersikkerhedsspecialist hos Trend Micro i Danmark. En anden væsentlig udfordring er sikkerheden omkring de såkaldte cloud workloads - det kan være virtuelle servere, applikationer, services og databaser, der kører i clouden. ”Her ser vi ofte, at workloads ikke er beskyttet af sikkerhedssoftware, fordi brugeren enten ikke har overvejet det, eller ikke har et sikkerhedsprodukt, der er cloudvenligt,” siger Jesper Mikkelsen. Et tredje sikkerhedsproblem er situationer, hvor en softwareudvikler af cloudservices genbruger kode, der kommer fra andre applikationer. Her kan udvikleren risikere at genbruge kode, som indeholder malware, og som derfor bliver en del af applikationen. ”Malwaren giver herefter hackeren bag den ondsindede kode mulighed for at få adgang til de data, brugere af cloudservicen lægger op, og for at udnytte servicen til andre kriminelle aktiviteter.” Hvem har ansvaret for sikkerheden? Dykker man ned i bevidstheden om ansvar, er der en ansvarsfordelingsmodel mellem cloududbyderen og kunden, man kalder ”The Shared Responibility Model” - ’det delte ansvar’-model. Modellen handler om, at selvom selve cloudtjenesten er sikker, så er den enkelte virksomhed, der bruger tjenesten, selv ansvarlig for at sikre sine egne data. Her mener kun 40 procent af virksomhederne, at de har overblik over deres ansvarsrolle i forhold til denne model.
Integrer elektroniske fakturaer i SAP Concur med et innovativt og tidsbesparende værktøj Hos mySupply er vi specialister når det gælder udvikling af integrationsløsninger indenfor software. Hvad enten I søger en enkel eller advanceret løsning, kan vi i fællesskab løse opgaven.
Rejser, udgifter og fakturaer kan samles og administreres i SAP Concur. Med mySupply’s integration indlæses faktura og kreditnotaer, der er modtaget i forskellige formater via NemHandel eller Peppol infrastrukturen. Alle virksomheder er unikke og kræver derfor ofte individuelle løsninger. Hos mySupply er vi specialister i at udarbejde netop den løsning, der passer til jeres virksomhed, og dette var også tilfældet i samarbejdet med COWI. Som et led i at udskifte faktureringsgodkendelsessystem til SAP Concur havde COWI brug for en samarbejdspartner, der kunne løfte opgaven, da der skulle bygges nye interfaces. Med en anbefaling fra SAP Concur blev samarbejdet med mySupply indledt.
mySupply er en af landets førende konsulentvirksomheder af løsninger til elektronisk handel og systemintegrationer. Når det drejer sig om produkter og ydelser inden for eletronisk handel eller udveksling af elektroniske forretningsdokumenter, kan du altid rådføre dig hos os. Læs mere på www.mysupply.dk eller ring +45 96961070 Vi hjælper dig til en enklere og mere effektiv løsning.
mySupply ApS • Peter Løths Vej 2 • 9440 Aabybro Tlf. +45 9696 1070 • info@mysupply.dk • www.mysupply.dk
“...fra starten af var vi godt på bølgelængde med, hvad problemstillingen var, og hvad der skulle til for, at den kunne løses. Og så er det gået derfra. Der har ikke været nogle sten i samarbejdet, men der har været masser af sten undervejs, som har skulle løses, men det er blevet håndteret professionelt og godt, og vi har fået både god rådgivning og nogle gode løsninger ind over” Head of Section, Jesper Søborg
Med 90 års erfaring er COWI en førende rådgivningsvirksomhed, der med eksperter indenfor ingeniørkunst, miljø og samfundsøkonomi skaber 360° løsninger for deres kunder. FAKTA Integration til SAP Concur
• Elektroniske fakturaer modtages, konverteres og oprettes automatisk • Integration til NemHandel og Peppol infrastrukturen eller VANS-operatører for modtagelse af elektroniske faktura • Konvertering af alle former for elektronisk dokumentformat som OIOUBL, EHF, SveFaktura, Peppol-BIS, EDIFACT, mv. • Automatisk oprettelse af bilag fra faktura • Automatisk determinering af leverandør i SAP Concur • Automatisk determinering af medarbejder, der skal godkende faktura • Direkte integration med VAX 360 for udveksling af dokumenter
reportage
Hos Dubex’s forsvarscenter gælder det om at opdage faren så tidligt som muligt. Den vigtigste opgave er at fange alt det, som almindelige firewalls ikke opfanger. Fotos: Dubex og Ditte Vinterberg Weng.
Kom med ind bag metaldøren til nyt cyberforsvarscenter:
”Vi overvåger jo alt data, de overhovedet har” I branchen, hvor computerne er lige så skattede medarbejdere som de it-kyndige specialister, er et nyt forsvarscenter opstået. Det er Dubex, der giver selskabets analyseenhed et ekstra ben. Tag med Computerworld på besøg i de søborgske sikkerhedslokaler. Af Ditte Vinterberg Weng
36
Computerworld nr. 2 • 26. februar 2021
Cyber Defence Centerets inkomne alarmer ligger i niveauer fra lav til høj prioritering. Enheden sender rundt regnet 20 alarmer videre til kunder om dagen. Hovedvægten er på de medium til alvorlige udslag.
”V
i overvåger jo alt data, de overhovedet har.” Dubex-medstifteren Jacob Herbst, fortæller om arbejdet med logning og overvågning for selskabets kunder, mens vi går ned ad gangene i sikkerhedsvirksomhedens hovedkvarter i Søborg. Vi drejer til højre og går gennem et rum, hvor loftslamperne tænder, idet vi træder ind. Men
lyset når aldrig helt ned i lokalet trods den korte afstand fra loftet. For enden af det fire-fem skridt lange lokale, banker Jacob Herbst på en metaldør. Rundt om dørhåndtaget er der sat klistermærker med billeder af små tegneserie-vira, der minder alle om at spritte af. Et højlydt urværk, jeg ikke kan få øje på, mens vi står der, tæller præcist ni sekunder. Så ruller den tunge skydedør besværet til side ved håndkraft, og bag den står cyber security analysten Daniel Handler og byder os velkommen.
Dét, Dubex-stifteren har inviteret pressen indenfor i, er sikkerhedsvirksomhedens nylancerede Cyber Defence Center. Centeret har til opgave ikke kun at opspore og alarmere kunder om trusler og mulige angreb. Det skal også sammen med kunden kunne reagere på de sikkerhedssituationer, der opstår. På forhånd har afdelingen forberedt sig, inden Computerworlds journalist skulle dukke på. Det handler ikke kun om mundbind og rigelige mængder håndsprit, som naturligvis også er en del
af oplevelsen. Alle skærme i lokalet er støvsuget for følsomme oplysninger – og er det så længe, jeg opholder mig i lokalet. Forsvar er et spørgsmål om sekunder Selve forsvarscenteret er et aflangt rum, der til daglig består af 12 medarbejdere og omtrent 56 computerskærme. Det er kun halvdelen af medarbejderne, der møder ind på kontoret for tiden. Resten Fortsættes side 38
Computerworld nr. 2 • 26. februar 2021
37
reportage
Kom med ind bag metaldøren til nyt cyberforsvarscenter:
”Vi overvåger jo alt data, de overhovedet har”
Fortsat fra side 37
arbejder hjemmefra. Hassan Kallas, der er Chief Services Officer i Dubex er en af de fremmødte i dag. Han rejser sig fra sin plads i det bagerste venstre hjørne af lokalet, da vi kommer ind. Han bekræfter, at man fra det nye Cyber Defence Center overvåger al data, der løber gennem de virksomheder, selskabet har i kundeporteføljen. Dubex installerer fysisk udstyr hos kunden, der kopierer strømmen af logningsdata til servere hos Dubex. Centeret har bemanding på 24 timer i døgnet, og hver eneste sten vendes i de indkomne datamængder i den konstante søgen efter mistænkelig adfærd. Jo mere data, jo bedre et overblik får de, fortæller Kallas. ”Alt, der kan tændes som maskine, lægger spor.” Data og observationer kommer ind i det, Hassan Kallas kalder nær realtid, som betyder, at der er nogle millisekunders forsinkelse på. Den tid betyder meget, for i det øjeblik, en angriber går i gang med sit arbejde, kan det være et spørgsmål om minutter – eller sekunder – før det kan være så sent at reagere, at det allerede har fået fatale konsekvenser. Der skal for eksempel ”ikke mange sekunder til, fra man smider en maskine ud på nettet, til den bliver angrebet af folk, der gerne vil misbruge den,” fortæller Hassan Kallas. Fjendens våben Dubex tilbyder services som
38
Computerworld nr. 2 • 26. februar 2021
MDR (Managed Detection and Response), Managed SIEM, trusselsvarslinger, phishingtest, penetrationstest, Red Team-øvelser, sårbarhedsscanninger, Incident Response samt en lang række sikkerhedsservices.
I virksomhedens overvågningsprogrammer opdateres der hele tiden med forskellige mekanismer, der skal få systemet til at gøre udslag, når det ser noget, der ligner eksempelvis malware, ransomware eller orme. Og metoden til det er at blive klog af skade. Ens egen eller andres. Hver gang, man får ny information om, hvordan en type orm eller anden skadelig software viser sin adfærd, opdaterer man systemet til at kigge efter dén adfærd. Man lærer altså systemet – usecase for usecase – hvordan nye trusler også kan se ud. Viden om nye trusler og deres
ageren kommer ind i centeret gennem forskellige kanaler samt eksterne og interne kilder. ”Alle disse informationer er ekstremt vigtige,” siger Hassan Kallas. ”Hvis vi ikke har dem, har vi ikke noget herinde.” Hver gang nye usecases kommer til, vil den nye viden naturligt nok også tilføre flere alarmer, der kommer ind i centeret. Når ulven kommer Og netop det store antal alarmer giver et helt særligt ansvar. Når Dubex sender alarmer ud til kunderne, skal man være sikker på, at det er alarmer, der er ”noget kød på”, som Jacob Herbst
Jacob Herbst (billedet) stiftede Dubex sammen med Klaus Kongsted og Gorm Mandsberg tilbage i 1997
Hassan Kallas, Chief Services Officer, har været hos Dubex i mere end seks år.
formulerer det. Ellers ender man i en Peter-og-ulven-problematik, hvor for mange falske alarmer kan bedøve kundens modtagelighed for at reagere. Netop den uopmærksomhed vil i sidste ende gøre forsvarscenterets hovedopgave til det rene sisyfosarbejde. På den måde er centerets eget forarbejde med alarmerne afgørende for, at selve centerets eksistens har mening, når de næste skridt skal tages. Kallas fortæller, at centerets mål er, at kun to procent af de alarmer, som centeret sender ud til kunderne, er dét, man betegner som ”falske positive” – altså
Et højlydt urværk, jeg ikke kan få øje på, mens vi står der, tæller præcist ni sekunder. Så ruller den tunge skydedør besværet til side ved håndkraft.
en reel usædvanlig adfærd, som eksempelvis kan være forårsaget
af kundens egne medarbejdere. De sidste 98 procent skal være alarmer, som kunden skal kunne se meningen i at reagere på. En glidende overgang med en specifik skæringsdato Den officielle lanceringsdato for Cyber Defence Centeret var 21. januar 2021, men egentlig har overgangen til at blive et forsvarscenter været en langsom udvikling, forklarer Hassan Kallas. Det er i realiteteten Dubex’ Security Analytics Center (SAC), der blev oprettet for cirka fem år siden, som i januar blev omdøbt
til Cyber Defence Center. Og forskellen fra før navneskiftet til efter har i en periode været til at overse. Men startede man for fem år siden i analysecenteret, så ved man, at arbejdsopgaverne på få år blev flere og mere presserende. Historien om Cyber Defence Centeret er nemlig også historien om den generelle udvikling i behovet for cybersikkerhed i det danske erhvervsliv. Cybersikkerhed har været i en rivende udvikling, og den alvor, som virksomhederne går til området med i dag, er modnet meget, siden Jacob Herbst sammen med medstifterne Klaus Kongsted og Gorm Mandsberg tilbage i 1997 startede Dubex. Herbst husker, hvordan det dengang var svært bare at overbevise virksomhederne om, at en almindelig firewall var nødvendigt. ”Dengang skulle der lig på bordet, før man reagerede.” I dag er virksomhederne blevet bedre til at lære af andre i branchens fejl. Godt hjulpet på vej af medierne, mener Hassan Kallas. Historier om angreb og virksomheder, der er blevet langt ned, har fyldt mere de seneste år. Men hvorfor give et center, der i forvejen var godt i gang med ikke bare analysearbejde, men også hjælp til kunderne om at reagere på de indkomne alarmer, et nyt navn og kalde det en relancering? Hvorfor ikke bare fortsætte som hidtil? For Jacob Herbst handler det om, at stadig flere skal få øjnene op for risikoen ved at være en virksomhed i et digitalt erhvervsliv. ”Hvis vi ikke gjorde et stort nummer ud af det, ville det ikke give genklang helt op i bestyrelseslokalerne. Og det er der, beslutningerne om virksomhedens sikkerhed bliver taget.” Den tunge metaldør ruller igen i bag Jacob Herbst og jeg, og vi står igen i rummet, hvor lyset ulmer lige under loftet.
Computerworld nr. 2 • 26. februar 2021
39
arbejdsmarked
Vivino kan ansætte udviklere til 30 procent lavere løn i Danmark Den danske vin-app Vivino har netop fået tilført næsten en milliard kroner i en ny kapital, og en del af den kapital skal bruges på at ansætte flere udviklere i København. Ifølge Vivino er København ikke en dyr by, hvis du sammenligner med eksempelvis San Francisco. Af Jacob Ø. Wittorff
K
øbenhavn har ry for at være en dyr by, der nødvendiggør et højt lønniveau. Men ifølge Vivino-stifteren Heini Zachariassen, der står foran at skulle udvide selskabets kontor i København betragteligt, så holder det ikke helt stik. “København er ikke en dyr by, hvis du kommer fra San Francisco,” siger han til Computerworld og uddyber: ”Vi er også fantastisk glade for talentmassen i Danmark, og samtidig er det ikke svært at tiltrække talenter fra udlandet. Vi er 25 nationaliteter ansat i København, og vi synes, at man får rigtig god value for money i forhold til San Francisco.” 30 procent lavere løn Vivino ansætter primært “product engineers” i København, og Heini Zachariassen vurderer, at lønniveauet for dem er 30 procent lavere end i San Francisco. Han påpeger dog, at det kan være svært at forudse lønudviklingen på den anden side corona-pandemien. “Men jeg tror, at det er sandsynligt, at lønniveauet i Californien vil falde på grund af Covid-19, mens jeg til gengæld tror, at det forbliver stabilt i
40
Computerworld nr. 2 • 26. februar 2021
København,” siger han. Det er desuden Vivinos erfaring, at medarbejderne i København er kendetegnet ved at være mere loyale end dem i Californien. De bliver ganske enkelt længere i jobbet, forklarer Heini Zachariassen. Produktet udvikles i København Det meste af Vivinos app er udviklet i København, og det er også stadigvæk her, at en meget stor del af produktudviklingen foregår. På globalt plan har Vivino i dag 200 personer ansat, og knap halvdelen sidder i Danmark. Efter at Vivino for nylig fik tilført næsten én milliard kroner
Det er desuden Vivinos erfaring, at medarbejderne i København er kendetegnet ved at være mere loyale end dem i Californien.
i ny kapital, planlægger selskabet at hyre minimum 100 personer mere. Heini Zachariassen forventer at halvdelen af de nye ansættelser vil finde sted i København. Flere kvadratmeter på Amager Selskabets kontor i København ligger i Startup Village på Njalsgade i København, og her har vin-appen i de seneste måneder udvidet antallet af kvadratmetre ganske markant. “Siden efteråret er vi gået fra én etage til tre etager. Det betyder, at vi har plads til at vokse lidt i endnu,” siger han. Ifølge Heini Zachariassen betyder hjemmearbejdsrevolution under coronakrisen dog, at selskabet måske får brug for mindre plads pr. ansat i de kommende år. “Vi er ikke helt sikre på, hvordan vi kommer til at arbejde i fremtiden. Ja, vi kommer til at have kontorer, og vi kommer også til at være mange mennesker. Men jeg føler mig ikke overbevist om, at du i fremtiden behøver at have 100 kontorpladser, hvis du har 100 ansatte. Jeg kunne godt forestille mig, at 100 ansatte i fremtiden måske kun vil kræve 70 kontorpladser,” siger han. Opruster med kunstig intelligens-satsning En stor del af de folk, som Vivino nu kommer til at ansætte, skal ifølge Heini Zachariassen udvikle selskabets anbefalelsesalgoritme, der præsenterer brugerne for nye vine, som matcher deres præferencer. Anbefalingerne sker på baggrund af de vine, som brugerne
Det meste af Vivinos app er udviklet i København, og det er også stadigvæk her, at en meget stor del af produktudviklingen foregår.
tidligere har drukket og givet gode anmeldelser. “Vi har samlet data om 13 millioner forskellige vine. Vi har data om stort set alle vine i verden, og de data skal kobles til vores mere end 50 millioner brugere. For når vi kender vinen rigtig godt, og vi også kender din smag rigtig godt, har vi også mulighed for levere gode anbefalinger til dig,” forklarer han. Heini Zachariassen vurderer, at anbefalesalgortimer bliver stadig mere afgørende for virksomheder, der som Vivino er en markedsplads for vin. “Det bliver ufatteligt vigtigt for rigtig mange virksomheder, og vi er jo netop sat i verden for hjælpe folk med at finde bedre vine. Det der samtidig er helt specielt for os er, at vi har en masse data, som ingen andre i verden har. Oven på de data har vi mulighed for at bygge noget rigtig spændende kunstig intelligens,” siger han.
Computerworld nr. 2 • 26. februar 2021
41
strategi
Her er de store vækstområder i 2021:
Efter smertelige år for NNIT skal væksten tilbage på sporet Med datterselskabet Scales som brohoved landede NNIT for nyligt en kæmpe Dynamics 365-kontrakt med Norlys. Nu sætter NNIT sejlene yderligere ind på energi- og forsyningssektoren, der skal være en af de fokusindustrier, der skal bringe væksten tilbage for NNIT. Af Alexander Haslund
N
NIT har lagt to udfordrende og stormfulde år bag sig, hvor selskabets økonomi har været hårdt ramt af store, eksisterende aftaler, der er blevet tabt på gulvet med faldende omsætning og afskedigelser af medarbejdere som de benhårde konsekvenser. Men for NNIT står 2021 i optimismens og vækstens tegn.
42
Computerworld nr. 2 • 26. februar 2021
”Jeg er glad for, at 2020 er lagt bag os, og vi nu kan begynde på et nyt år,” fortalte Per Kogut i slutningen af januar, der kunne melde, at NNIT efter flere års tilbagegang nu forventer omsætningsvækst på mellem et til fire procent for 2021. Men hvor skal væksten komme fra hos NNIT, der dels har mistet momentum hos kernekunden Novo Nordisk, dels har set store, vigtige aftaler, blandt andet
med Pandora, forsvinde ud af bagdøren? Foruden et fast greb i NNIT’s hjemmemarkedet især inden for life science kommer den fremtidige vækst navnlig til at afhænge af NNIT’s evner inden for en række industrier. Navnlig bliver energi- og forsyningssektoren en af de centrale arenaer for NNIT i den kommende tid. Det fortæller NNIT’s medlem af koncernledelsen Jacob Hahn Michelsen, der er direktør for private & public, til Computerworld. ”En central del af NNIT’s vækstagenda for Danmark er, at vi bliver mere og mere relevante inden for en række af vores fokusindustrier. Her er blandt andet energi- og forsyningssektoren et meget vigtigt område for
os, hvor vi har høje ambitioner og forventninger,” siger han og fortsætter:
Vi forventer, at en god del af væksten inden for vores enterprisesegment vil komme fra energi- og forsynings sektoren. Jacob Hahn Michelsen Direktør for private & public, NNIT
Torben Rytt forlader central rolle i Siteimprove efter 14 år Den danske milliard-succes Siteimprove siger farvel til Torben Rytt, der har været chief growth officer og topchef for den amerikanske afdeling. Hans indflydelse har været livsændrende, lyder det fra stifter Morten Ebbesen. ”Vi forventer, at en god del af væksten inden for vores enterprise-segment vil komme fra energi- og forsyningssektoren.” Her skal NNIT’s vækst komme fra Trods de højre forhåbninger til øget vækst i energi- og forsyningssektoren pointerer Jacob Hahn Michelsen, at life sciences fortsat udgør den vigtigste vækstmotor for NNIT både national og internationalt. Og samtidig vil NNIT have et skarp fokus på strategiske løsninger i markedet, som NNIT omtaler som ’winning solutions’. Derudover bliver en vigtig del af svaret på vækst hos NNIT over de kommende år selskabets evne til at tage opskriften fra storkunden Novo Nordisk og life science-industrien og kopiere den til fokusindustrier som finans, den offentlige sektor, de helt store virksomheder og altså energi- og forsyningsområdet. ”Drevet af vores historie med Novo Nordisk har temaet for NNIT altid været fokus på driftsstabilitet, sikkerhed, dokumentation og compliance. Det har været vores udgangspunkt og røde tråd i forhold til at gå ind i andre sektorer,” siger Jacob Hahn Michelsen. Stor aftale indgået med Norlys NNIT’s fokus på energi- og forsyningssektoren begyndte for et par år siden, men har siden fået flere nøk opad. For kort tid siden underskrev NNIT med datterselskabet Scales i front en Microsoft Dynamics 365-aftale med den store energi-
og telekoncern Norlys til et større tocifret millionbeløb. I den forbindelse udtalte Jacob Hahn Michelsen, at energi- og forsyningssektoren er ”et erklæret fokusområde for NNIT.” Netop typer af kunder som Norlys, der er resultatet af fusionen mellem SE og Eniig, ser NNIT-direktøren gerne der kommer endnu flere af. ”Vi har set en større konsolidering i energi- og forsyningsmarkedet, hvor forskellige selskaber med legacy systemer konsoliderer sig og for alvor sætter gang i en digitaliseringsrejse. Der vil vi gerne ind og spille en rolle både i forhold til digitaliseringen ud mod kunderne, men også omkring strømlining af processer og opsætningen af en forretningskritisk drift og it-sikkerhed,” siger han og fortsætter: ”Vi håber at kunne lande flere aftaler inden for sektoren. Vi har allerede en spændende pipeline og håber også på at kunne udbygge vores eksisterende engagementer.” Inden for sektoren har NNIT i dag blandt andet aftaler med Radius og og HOFOR. Skal NNIT sikre den fornødne vækst i sektoren, er der en række konkurrenter i markedet, som NNIT i 2021 skal ud og slå. Det er blandt andet it-leverandører som KMD og EG, fortæller Jacob Hahn Michelsen, der aner konkurrence på flere niveauer. ”Konkurrentlandskabet er egentlig på tre niveauer. Der er den digtiale rejse og brugeroplevelsen, hele infrastrukturdelen og selve forretningsoperationen. Vores styrke er, at vi dækker hele den leverancemodel.”
Af Jacob Ø. Wittorff
K
nap et halvt år efter, at danske Siteimprove blev solgt til kapitalfonden Nordic Capital, forlader selskabets vækstdirektør og tidligere direktør for den amerikanske forretning, Torben Rytt, nu den danske milliardsucces. Torben Rytt indledte sin karriere hos selskabet i 2007, hvor han med base i Minneapolis i den amerikanske stat Minnesota blev salgschef for selskabets afdeling på det amerikanske marked, hvor selskabet i dag henter cirka 60 procent af sin omsætning. Senere blev Torben Rytt administrerende direktør for den amerikanske forretning, og i de seneste år har han haft titlen som chief growth officer for Siteimprove. Torben Rytt, der stadigvæk er bosiddende i Minnesota, skriver i et opslag på LinkedIn, at han nu vil bruge sin tid på at sin kones forretning inden for indretningsarkitektur samt engagere sig i startup-miljøet i Minnesota. Stifter: Du har været livsændrende I en kommentar på LinkedIn ønsker Siteimproves stifter og topchef, Morten Ebbesen, held og lykke fremover: ”Jeg har lært meget af dig, når det gælder visioner for produktet, omgang med andre menensker og det at sætte en klar vision for forretningen i Minneapolis. På den anden side har jeg lært dig at drikke rosévin, så lad os drikke en god flaske ved Minnetonka-søen næste gang, jeg er i byen,” skriver han og tilføjer: ”For mig er det ikke et farvel, men et stort, stort tak for alt det, som du har gjort for mig, for Siteimprove og de ansatte i Minneapolis. Din indflydelse har været livsændringer for mange fantastiske mennesker, og vi skylder dig vores dybeste respekt og taknemmelighed.” Fire milliarder værd Nordic Capital overtog i september 70 procent af aktierne i Siteimprove, mens de resterende 30 procent stadigvæk tilhører Morten Ebbesen, hans bror Niels Ebbesen og kapitalfonden Summit Partners. Kilder har over for Finans vurderet, at opkøbet sker til en pris, der værdisætter selskabet til fire milliarder kroner. Udover Siteimprove så ejer Nordic Capital, der betragtes som en af de største kapitalfonde i Norden, også Conscia.
Computerworld nr. 2 • 26. februar 2021
43
handson
Apple Watch SE har de sensorer ombord, som de fleste får brug for
Apple Watch SE er det snusfornuftige alternativ Apples alternativ til sit fine, men dyre, Watch Series 6 ender med at blive den model, som fortjener den varmeste anbefaling. Af Niels de Boissezon
A
pple har indtil videre haft held med sine SE-modeller. Det skulle nemlig vise sig at være populært hos forbrugerne at tilbyde en prisreduceret model, som giver adgang til Apples frodige økosystem af apps og funktioner. Med Watch SE kopierer Apple den opskrift og anvender den på mærkets smartwatch-portefølje.
Jeg kan allerede nu afsløre, at det kommer der et glimrende produkt ud af. Watch 6, Watch 5 eller SE? Når uret er slukket, er der intet, der røber, at der ikke er tale om den dyrere Watch series 6. Urkassen er lavet af samme børstede aluminium og afgiver samme kvalitetsindtryk. SE-uret tilbyder dog slet ikke de dyrere finishes, som Series 6
Når uret er slukket, er der intet, der røber, at der ikke er tale om den dyrere Watch series 6 44
Computerworld nr. 2 • 26. februar 2021
fås i. Altså er der ingen højglanspolerede stål eller guldbelagte modeller at få her. Den mest iøjnefaldende forskel er dog skærmen. Eller rettere den slukkede skærm, for på både Series 5 og 6 kan skærmen altid være tændt. Urskiven lyser naturligvis altid op, når man vender den mod sig eller trykker på den. På nyeste Series 6 lyser den endda lidt kraftigere op. Man skulle tro, at det ikke ville være noget stort afsavn, men da der altid er den korte tøven mellem, at man aktiverer uret, og at det senere vågner op, vil man have svært ved at gå tilbage Fortsættes side 46
Det har vist sig populært hos forbrugerne at tilbyde en prisreduceret model, som giver adgang til Apples frodige økosystem af apps og funktioner.
handson
Computerworld nr. 2 • 26. februar 2021
45
handson
Apple Watch SE er det snusfornuftige alternativ Fortsat fra side 44
kroner i forhold til Series 5.
fra en Watch 5 eller 6 model til en SE. Køberne af SE-modellen vil dog sikkert ikke vide bedre. Hvad de til gengæld vil kunne glæde sig over er, at de har sparet omkring 1.000 kroner i forhold til Watch Series 6 og 500
Marginale forskelle Ud over forskellene i skærmenes evner byder Watch SE på lidt færre sensorer end i både Series 5 og 6. Man skal undvære en dedikeret EKG-måler og sidstnævntes iltmætningsmåler. Hvor brugbar begge dele dog er, kan diskuteres, for målenøjagtigheden og anvendeligheden af begge features er tvivlsom. Så har jeg faktisk mere fidus
Apple Watch SE har et pænt display, som dog lige skal aktiveres, før uret viser klokken.
46
Computerworld nr. 2 • 26. februar 2021
Fortsættes side 48
Uret byder på samme materialekvalitet som sine dyrere Applesøskende.
FIKENHED RADEON GRA ÆRME K TIL TRE 4K-S
SHUTTLE® XPC DA320
AMD RYZEN AM4
RADEON VEGA
HDMI 2.0
REMOTE POWER ON
OPERATION
TRIPLE DISPLAY
SHUTTLE GOES AMD RYZEN™
Til AM4-CPUer op til 65 W TDP (f.eks AMD Ryzen 3400G) Op til 32 GB DDR4 SO-DIMM hukommelse Plads til 2,5"-HDD/SSD og NVMe-SSD 1× HDMI 2.0a, 2× DisplayPort 1.2, samt VGA 6× USB 3.2 Gen 1 (5 Gbit), 2× USB 2.0 1× M.2-2280, 1× M.2-2230 2× Gigabit Ethernet, 2× COM-Port Kortlæser VESA-beslag
dkk 1.344,–*
Med denne flade mini-PC, der kun måler 4,3 cm, går Shuttle igen ind i AMD-processorenes verden. DA320 er en Barebone fra “XPC slim”-serien og den understøtter de nyeste AMD Ryzen CPU'er i AM4-sokkel og op til 32 GB RAM. Som alle Shuttle-produkter i 1,3-liter-format, betragtes denne løsning også som særlig robust. At satse på AMD-processorer garanterer høj computerkraft, især når det kommer til grafikacceleration. Også det separat tilgængelige tilbehør, og frem for alt prisen, løfter begejstringen af DA320. Yderligere info på: WWW.SHUTTLE.EU/DA320
* Anbefalet forhandlerindkøbspris hos de officielle Shuttle-distributører. Vist tilbehør medfølger ikke i leveringen. Med forbehold for fejl og ændringer.
DK_a4_Computerworld_Shuttle-DA230.indd 1
11.01.2021 10:36:42
handson
Apple Watch SE er det snusfornuftige alternativ
Dette er smart-uret, som de fleste bør vælge, når valuta for pengene tælles med.
skærmen dog også slukkes for at forlænge driftstiden. SE-uret springer også over, når det gælder hurtigopladning, men igen er forskellene små i forhold til Series 6. Begge ure er så længe om at tanke op, at man er bedst tjent ved at lade dem stå natten over. Kom ind i folden Som smartwatch er Apple Watch SE fuldt ud lige så kapabel som sine søskende. Og dermed er man fuldbyrdet medlem af Apples rige Watch-økosystem. Alene det gør Watch SE til et af de mest interessante køb i Apples portefølje. Man får en veludstyret træningsmakker med en effektiv pulsmåler, GPS og musikafspiller. Og smartwatch-funktionerne er der en overflod af, mens uret grundlæggende fungerer som en effektiv forlængelse af mobiltelefonen. Apple Watch SE ender derfor med at være den model, som jeg vil give den varmeste anbefaling i hele Watch-kollektionen. Prisen er der, hvor de fleste kan være med og uret kan (stort set) det samme som Apples dyrere modeller.
Apple Watch SE Dommen:
Fortsat fra side 44
til mindre besungne fordele i Series 6 som det indbyggede kompas-funktion, forbedrede altimeter eller den øgede vandtæthed, Inde i motorrummet byder S6 på flere kræfter qua sin stærkere
48
Computerworld nr. 2 • 26. februar 2021
S6-processor, men den yder blot 20 procent mere, hvilket sjældent bemærkes i praksis. Både Series 6 og SE er nu kvikke i brug. Når det kommer til driftstiden, er SE og Series 6 nærmest identiske – de holder begge strøm døgnet ud, men ingen af dem kan holde strøm i to døgn
Når uret er sat på vågeblus, er det et stykke skindød elektronik at se til.
Plus: •
Prisvenligt Apple Watch
•
Kvik i brug
•
Glimrende sensorer
Minus:
på pålidelig vis. SE synes dog at holde længere, givetvis på grund af, at dennes skærm ikke lyser konstant – på Series 6 kan
•
Middelmådig driftstid
Karakter:
Digitale seminarer til it-professionelle GRATIS deltagelse Computerworlds How To seminarer tager et aktuelt, teknologisk emne under kærlig behandling. Som deltager kan du forvente:
Ny viden om en teknologi/løsning. Inspiration til hvordan produkter/ løsninger anvendes.
Digitale How To webinarer:
Hvilke fordele de giver og ikke mindst, hvad er udbyttet.
02. MARTS 2021 AI og machine learning i praksis: Fokus på teknologi og best practice.
Trends og nyheder.
03. MARTS 2021 It-sikkerhedskontroller og -processer.
Hvad er vigtigt? Og hvad er faldgruber? Debat og mulighed for at tale med leverandører.
Læs mere og tilmeld dig på >>
computerworldevents.dk Ønsker du at vide mere om et partnerskab, kontakt Maibritt Møller Bryding på mmo@cw.dk eller telefon +45 2728 4041.
16. MARTS 2021 Inspiration til dit næste skridt med Microsoft Dynamics 365. 05. MAJ 2021 Emerging tech: Få styr på containerne, kubernetes og docker. 18. MAJ 2021 Vælg den rigtige infrastruktur og it-arkitektur.
Se alle vores kommende events og tilmeld dig på: www.computerworldevents.dk
computerworldevents.dk
OPINION
Af Thomas Madsen Leder af SAP Data Lab, København
Stil krav til din leverandør – det kan da ikke skade
F
or virksomhederne har det seneste år været én stor alarmklokke i forhold til globale supply chains. Den globale optimering af processer er udfordret. Man får en dims fra Kina, samler noget i Indien og sælger det så videre på det globale marked. Alt sammen udviklet i Danmark og overvåget fra hovedkontoret. Ikke alene forsyningskæderne har vist skrøbelighed. Vi har oplevet gigantiske udsving i udbud, efterspørgsel og kanaler i takt med virusudbrud og myndighedsindgreb. Konsekvenserne for os hver især på det personlige plan er meget forskellig – og udførligt beskrevet. Samlet set har vi mennesker demonstreret meget stor forandringsevne, men billedet er ikke helt det samme for vores virksomheder. Business Transformation-as-aService Tænk, hvis man kunne købe den samlede nye forretningsproces og implementere den hurtigt. Næsten som en turnkey-løsning. Vi kunne kalde det Business Transformation-as-a-Service. I disse tider ville det være et bugnende marked med en voldsom efterspørgsel. Verdens forandringstempo er skruet meget højt op, og virksomheder er igen og igen blevet tvunget til at redesigne arbejdsprocesser og genopfinde forretningsmodeller. En række faktorer muliggør
50
Computerworld nr. 2 • 26. februar 2021
Leverandørsiden skal ikke kun vise et menukort frem til virksomheden. Leverandøren skal vide, hvad der vil være rigtigt at vælge for den enkelte virksomhed.
faktisk dette komplette ”pakkeindkøb” af en ny forretningsproces. Den vigtigste er overgangen til cloud-løsninger, fordi virksomheder dermed opnår standardisering og en formindsket kompleksitet. Den næstvigtigste er den procesintelligens, som dataun-
derstøttelse og algoritmer giver os. Og den tredje er naturligvis leverandører, som kan pakketere hele herligheden og understøtte deres kunder gennem hele transformationsrejsen. Cloud har ikke løst opgaven I praksis har cloud ikke løst opgaven for virksomhederne. Selv om mange benytter et væld af cloud-løsninger, så er it-afdelingen in-house stadig stor. Kompleksiteten og integrationsvanskelighederne til legacy systemer indebærer, at it-folkenes opgave flytter sig mod vurdering, arkitektur-valg og design-problemstillinger. Krisen har nok vist, at de virksomheder, som var længst med at modernisere, simplificere, standardisere og uniformere deres it-landskab, havde den største manøvrefrihed til at forandre sig. Andre har døjet med
en stor it-gæld og har måttet klare forandringerne mere adhoc og mere kortsigtet. Transformationens sherpa Business Transformation-as-a-Service kan kun lade sig gøre, hvis data, proces og software hænger ultratæt sammen og kører på en moderne platform i skyen. Leverandør-siden skal ikke kun vise et menukort frem til virksomheden. Leverandøren skal vide, hvad der vil være rigtigt at vælge for den enkelte virksomhed. Leverandørerne skal både kende kundens forretning og branche i dybden OG have et færdigt batteri af løsninger (migreringsproces, arkitektur, datamodel, readiness checks – Og hvad har vi...) liggende klar på hylden. Virksomhederne bør fokusere på forretningsprocesser og ikke på teknologikomponenter. Kunden sætter målene og leverandøren har midlerne. Det bedste vil givetvis være holde sig til én, for så er der kun én der har ansvaret. Simpelt og klart. Hvorfor ikke i én samlet pakke med én kontrakt, der både indeholder forretningsmæssig og teknisk rådgivning, platforme, værktøjer og support? Det er vejen til at få en stærk forretningspartner på sin side. En sherpa, som viser vej over Mount Everest og både kender virksomheden og har management-erfaringen, branche-forståelsen og it-ekspertisen til at udstikke kursen. Stil kravet til din leverandør – det kan da ikke skade.
Medarrangør
Arrangør
GRATIS LIVE KONFERENCE • 23., 24. & 25.MARTS • ONLINE Computerworld Digital Summit Days: Tre dage med unik viden og inspiration til dig og din digitale organisation. Den 23., 24. og 25. marts kan du igen sætte dig godt til rette i kontorstolen og blive inspireret, når nogle af Danmarks bedste CIOs, digitale chefer og leverandører går live i det professionelle Summit-studie. Vi lover at det bliver både flot, fagligt og interaktivt. På Computerworld Summit har hver dag sit eget emne:
DAG 1: DEN DIGITALE FORRETNING
DAG 2: DEN DATA- OG CLOUDDREVNE FORRETNING
DAG 3: DEN INTELLIGENTE FORRETNING
Hør KEYNOTE Peter Svarre tale om ”Ansvarlig kunstig intelligens - en forretningsmulighed.”
Hør KEYNOTE Jens Erik Thorndahl, Adm. Direktør, Danish Cloud Community
Hør KEYNOTE Thomas Okke Frahm tale om ” De 3 vigtigste ting jeg har lært, ved at drive digitalisering i store virksomheder.”
Hør KEYNOTE Morten Bilgrav Mathiasen, Senior Vice President IT, CIO, Norlys
TILMELDING PÅ CWSUMMIT.DK Partnere på Computerworld Digital Summit Days:
all about documents
Sammen. Vi vil, at I skal kunne arbejde sikkert, effektivt og digitalt. Hos os finder I alt inden for IT samlet ét sted - produkter, tjenester, løsninger og specialistkompetencer, så I kan træffe det rette valg for jeres virksomhed. Vi tror, at det kan være rart at have en partner, man kan sparre med. Vi er med jer hele vejen fra behov til installation og bæredygtigt genbrug. I er måske godt på vej på jeres digitale rejse og ved, hvad I vil have. Eller så har I brug for hjælp til at finde den rette løsning.
dustin.dk