Teknik, hosting & e-handelsløsninger

Svar: Laissez-faire om IT-sikkerhed

albert@computernoerderne.dk — Tue, 21 May 2024 14:11:22 GMT

Hej Ulrich

Ca. 4 måneder efter din reaktion har jeg fundet tid til at svare på den - og ved samme lejlighed på Martin Thorborgs reaktion, og igen din reaktion på Thorborg :D

Du har helt ret i, at man ikke behøver ligne Fort Knox, Pentagon eller Alcatraz. Det handler først og fremmest om at være bedre stillet end de andre, for der er mange hackere der plukker de lavthængende frugter.

Når det er sagt, så skal man også tænke på, hvor meget ens system betyder for andre: jo flere mennesker bruger ens system (fordi de skal eller fordi de vil - det gør ikke forskel), desto mere er man forpligtet til at tage IT-sikkerhed seriøst.

Det bekræftes ved at se på NIS2 - en lovgivning der kommer til at træde i kraft formentligt i 2025. Den forpligter alle (semi)-offentlige institutioner til et markant højere IT-sikkerhedsansvar end der er tilfældet i dag. Det gælder også alle virksomheder, der er underleverandør til det offentlige - bare at man er klar over det.

Og for en ordens skyld: IT-sikkerhed er ikke kun firewalls og routere. Teknik kan beskytte en og ens system til en meget lille grad. Det vigtigste er awareness, dvs. kendskab til hvordan hackere arbejder, hvad man kan gøre når der sker noget uventet, hvad man skal gøre når der sker noget uønsket, og ikke mindst hvordan man kan blive trænet i at opdage faresignaler. Derudover er konstant overvågning key: en firewall og antivirus er intet værd hvis det bliver holdt øje med.

Så for alle, der har en router med firewall (læs: næsten alle mennesker): tillykke med det. Har du nogen sinde kigget i den?

---

Hej Martin,

Du har ret i, at "The Power Of Now" ikke synes at være eksisterende når det kommer til cybersecurity. Og ja, det er dødkedeligt at snakke om cybersecurity. Det er derfor at når jeg kommer forbi hos virksomheder for at fortælle om IT-sikkerhed, at det ikke er kedelige fakta og opløftede pegefingre og "or else"-dommedagsprofetier.

Så for at reagere på din udfordring: saml de involverede i alle dine små virksomheder, og lav en fælles-arrangement, hvor alle betaler en lille del, så holder jeg gerne et oplæg med debatrunde, hvordan vi kan samle det hele. Det svarer lidt til, at 10 huse i et villakvarter har en lidt større græsplæne, men ingen af dem er stor nok til at det kan betale sig at købe en havetraktor: så køb en sammen med alle husejere i kvarteret.

Du har også ret i, at der ikke er små virksomheder der har både kapital og viden til at sikre sig. Men det viden har de heller ikke brug for! De skal have kendskab (som jeg skrev i min reaktion på Ulrich) hvordan en hacker arbejder, hvad man kan gøre når der sker noget uventet, hvad man skal gøre når der sker noget uønsket, og ikke mindst hovrdan man kan blive trænet i at opdage faresignaler. Ingen behøver at vide hvordan du holder øje med din trafik, hvordan du segmenterer dit netværk, og hvordan du sætter en IDS op. Det kan du overlade til mig eller (hvis jeg ikke tager fejl) Ulrich, eller en anden IT-sikkerhedsekspert. Husk: vi bliver først dyr, hvis du venter indtil skaden er sket.

For nylig snakkede jeg med en IT-chef i en vestjysk kommune. Han ville meget gerne have en etisk hacker på besøg der kiggede efter huller i systemet. Kommunedirektionen afviste planen. Og hvorfor? Fordi de gerne vil kunne sige "wir haben es nicht gewusst", når de bliver hacket.

Til sidst:

Martin Thorborg:

Driver du en almindelig virksomhed med lidt mail og en hjemmeside, så ja, men driver du en virksomhed hvor du selv udvikler software, så er det en helt anden sag.

Der er jeg delvist enig i med dig. Du kan stadigvæk outsource overvågning af en IDS til en virksomhed der ikke laver (meget) andet. Selv hvis du udvikler software, er der dele af virksomheden som ikke er meget anderledes end virksomheder der ikke udvikler software. Og de dele skal stadigvæk beskyttes. Og der er outsourcing absolut en god mulighed.

Du ringer bare - 70 2000 33

Svar: Laissez-faire om IT-sikkerhed

Martin Thorborg — Fri, 12 Jan 2024 22:46:49 GMT

Ulrich Jørgensen:

Du har ret i at mange synes IT-sikkerhed er kedeligt og besværligt, men heldigvis er der andre der synes det er vildt spændende.
Jeg er til gengæld ikke enig i at det behøver at være besværligt og dyrt at få et fornuftigt niveau af sikkerhed.
Det er selvfølgelig meget afhængigt af hvilke type virksomhed man har, samt hvilke produkter man sælger, og hvem man sælger dem til.

Det er for de fleste virksomheder muligt at outsource IT-sikkerhed, og få meget sikkerhed for relativt få midler.

Der er visse ting man bliver nød til at være involveret i, men alt det løbende tunge arbejde kan udføres af en leverandør.

Driver du en almindelig virksomhed med lidt mail og en hjemmeside, så ja, men driver du en virksomhed hvor du selv udvikler software, så er det en helt anden sag.

Svar: Laissez-faire om IT-sikkerhed

Martin Thorborg — Fri, 12 Jan 2024 21:30:59 GMT

Ulrich Jørgensen:

Du har ret i at mange synes IT-sikkerhed er kedeligt og besværligt, men heldigvis er der andre der synes det er vildt spændende.
Jeg er til gengæld ikke enig i at det behøver at være besværligt og dyrt at få et fornuftigt niveau af sikkerhed.
Det er selvfølgelig meget afhængigt af hvilke type virksomhed man har, samt hvilke produkter man sælger, og hvem man sælger dem til.

Det er for de fleste virksomheder muligt at outsource IT-sikkerhed, og få meget sikkerhed for relativt få midler.

Der er visse ting man bliver nød til at være involveret i, men alt det løbende tunge arbejde kan udføres af en leverandør.

Driver du en almindelig virksomhed med lidt mail og en hjemmeside, så ja, men driver du en virksomhed hvor du selv udvikler software, så er det en helt anden sag.

Svar: Laissez-faire om IT-sikkerhed

Ulrich Jørgensen — Fri, 12 Jan 2024 18:38:34 GMT

Du har ret i at mange synes IT-sikkerhed er kedeligt og besværligt, men heldigvis er der andre der synes det er vildt spændende.
Jeg er til gengæld ikke enig i at det behøver at være besværligt og dyrt at få et fornuftigt niveau af sikkerhed.
Det er selvfølgelig meget afhængigt af hvilke type virksomhed man har, samt hvilke produkter man sælger, og hvem man sælger dem til.

Det er for de fleste virksomheder muligt at outsource IT-sikkerhed, og få meget sikkerhed for relativt få midler.

Der er visse ting man bliver nød til at være involveret i, men alt det løbende tunge arbejde kan udføres af en leverandør.

Svar: Laissez-faire om IT-sikkerhed

Martin Thorborg — Fri, 12 Jan 2024 17:14:41 GMT

Problemet er, at det er hamrende dyrt og super besværligt at gøre det effektivt, og at der er så mange andre ting man skal gøre ved sin forretning som giver et umiddelbart afkast. Så IT-sikkerhed er lige så kedeligt som at købe en forsikring, man aldrig håber eller tror på man kommer til at bruge.

I Dinero bruger vil millioner af kr. hvert år på det, og vi bliver angrebet hele tiden. Jeg er ikke et øjeblik i tvivl om at nogen af vores konkurrenter på et tidspunkt får problemer. Så ja, det er dødssygt af bruge penge og tid på, men det er bare super vigtigt

Min egen udfordring er, at jeg også har andel i flere små virksomheder, og de har simpelthen ikke pengene til at sikre sig. Du kan gøre lidt af hvert og sikre det sådan nogenlunde, men hvis en middeldygtig hacker vil ind, kryptere dine filer etc så skal der rigtig mange penge til. Og hånden på hjertet, hvilke små virksomheder har både kapital og viden til at sikre sig, for ikke at tale om at det er et bevægeligt mål, som gør at man hele tiden skal bruge penge og ressourcer på det. Så ja jeg forstår godt at mange vender der blinde øje til.

Svar: Laissez-faire om IT-sikkerhed

Ulrich Jørgensen — Fri, 12 Jan 2024 14:16:24 GMT

Tak for at du har startet denne tråd.

Jeg lever af at levere IT-løsning til mindre og mellemstore virksomheder, og jeg oplever lidt det samme som dig, men det er derfor vores opgave er at få oplyst så mange som overhovedet muligt, om hvad der er det rigtige at gøre.

Vi laver gennemgange af virksomheders IT, og påpeger hvor de er i forhold til best practice, og så kommer der automatisk nogle samtaleemner, hvor jeg kan tale om farerne ved ikke at at følge anbefalingerne.

Jeg hører tit "vi er så små, så vi er ikke interessante for hackere", men faktum er at hvis dine data er noget værd for dig, så er de også noget værd for en hacker.

Det gælder om at have bedre sikkerhed end din nabo. Hvis du blot har lås på din dør, og din nabo har dobbelt lås, kameraovervågning og alarm, hvor bliver der så indbrud?
Stil det samme spørgsmål vedr. IT-sikkerhed

De bedste hilsner
Ulrich - Novaram

Alle har ret til ordentlig IT

Svar: Laissez-faire om IT-sikkerhed

albert@computernoerderne.dk — Tue, 12 Dec 2023 19:43:49 GMT

Jeg tror at du rammer plet, og mere end én gang, John

Dit sikkerhedsniveau (og det kan lyde nedladende, men det er det ikke) ligger på højde med hvad der blev anbefalet for 5-10 år siden. Sådan har mange det. Folk er generelt 5-10 år bagud. IT går stærkt, og det tager de fleste mennesker tid til at følge med.

Så ja, jeg burde få fat i små men ikke bittesmå virksomheder. Men løber jeg så ikke ind i samme problem, at de fleste har tilknyttet en ekstern IT-virksomhed som de blind stoler på, og som "nok tager sig af det".

Firmaer der har en Jørgen fra lageret der fikser ting - de findes egentligt ikke mere. Hvis de findes, er det ofte ikke Jørgen fra lageret men Pelle fra direktionen som tror at han kan "det der med computere osv.", for at indrømme at IT er blevet for svært, er ofte for meget forlangt. Jeg kan dog tælle på én hånd hvor mange mennesker der ikke er IT-uddannet, jeg har mødt og som kunne fortælle mig hvordan TCP/IP, protokollen vi alle bruger, virker...

Og tak for en god grin: "jeg kan heller ikke". Du har vist spottet en af mine svagheder. Men jeg har opdaget at ChatGPT her er en god hjælp :) Jeg skal bare bruge det, og det gør jeg helt klart ikke her, lol.

I øvrigt, hvis jeg forstår dit sidste afsnit korrekt: jeg vil aldrig gå ind i et system uden tilladelse for at vise hvad jeg kan. Der er strenge regler her: jeg må scanne passiv, det vil sige uden at forcere eller ændre noget, men jeg må ikke gå ind i et system uden at ejeren har givet mig sin udtrykkelig tilladelse.

Jeg kan forholdsvis nemt åbne din bil (med en vis sandsynlighed). Jeg må finde frekvensen din fjernbetjener bruger til at kommunikere med bilen, men jeg må ikke åbne din bil. Jeg må fortælle at jeg har luret din pinkode når jeg står bag dig i supermarkedet, og give dig koden, men jeg må ikke bruge pinkoden. Heller ikke hvis du giver mig dit dankort.

Svar: Laissez-faire om IT-sikkerhed

Cookie - John Hannover — Tue, 12 Dec 2023 18:58:04 GMT

albert@computernoerderne.dk:

Tusind tak, John. Jeg er faktisk meget glad for din reaktion.
Nu kan jeg naturligvis ikke måle din viden om IT og i særdeleshed IT-sikkerhed, men hvis jeg går med på din egen vurdering om at du er en novice, så er din reaktion en fantastisk afspejling af hvad der sker:

For det færste: Microsoft kan ikke lukke alle huller. Det svarer til at dit hus har nogle huller (døre og vinduer), ellers ville du ikke kunne bruge dit hus. Men indbrudstyve kan også bruge døre og vinduer, så det eneste man kan gøre, er at sikre de huller, der er nødvendige. Samtidig at de sikringer ikke forhindrer andre processer og formål til at fungere som de skal. Med andre ord: at lukke et hul i Outlook er ikke nødvendigvis vejen frem. Måske er der andre huller der skal lukkes. Og det er også her tilfældet: hvis det hul i Outlook bliver lukket, vil Outlook ikke kunne fungere. Så derfor skal man lukke en bestemt port i sin router (nærmere betegnet TCP port 445 udadgående). Så kan hullet i Outlook stadigvæk udnyttes, men hackeren kommer ingen vegne med det.

For det andet: det, at du ikke er et mål er en udbredt misforståelse: Du som "almindelig" borger har adgang til en række systemer, betalt eller ej. Det hackere ikke. Jeg har gennem de sidste 2 år ofte fået mails om at nogen vil betale mig til at lægge en bestemt tekst op på Amino: det vækker ikke så meget mistanke hvis jeg lægger en besked på Amino, end en der aldrig har været her før.
Flere af mine kunder har oplevet (som jeg også skrev i et tidligere oplæg, som fejlagtigt blev flyttet til "Et godt tilbud") at deres personlige Facebook-konto blev hacket. De mennesker tænkte sikkert også at de ikke var nogen mål. Indtil de betalte for annoncer, målrettet USA, gennem deres Business Manager, oprettet af den hacker, der ændrede deres brugernavn og adgangskode på Facebook. En af mine kunders navn blev ændret til володимир зеленський - Volodymyr Zelensky på Ukrainsk - og der blev lavet annoncer i USA som om de kom fra Zelensky.
Sæt nu at jeg var blevet forment adgang til Bilka i Esbjerg, og en sikkerhedsvagt holder øje med om Albert van Harten kommer ind. Han ved jo hvordan jeg ser ud. Men hvad nu hvis jeg ligner John Hannover på en prik ... Så ville min accent måske afsløre mig, men han hører mig ikke når jeg bare går forbi ham ...

For det tredje: Din sammenligning med en regnskabsansvarlige er meget passende. Bortset fra at der er forskel mellem en bogholder og en revisor, når det kommer an på ansvaret. Hvis jeg har en bogholder der laver en fejl, så kan jeg måske sagsøge ham, men i sidste ende har jeg ansvaret. Hvis je har en revisor, er det en hel anden sag. Men der findes ingen statsautoriserede IT-ansvarlige. Gudskelovogtak - men det er besides the point.

Altså, hvis du er lige som de fleste mennesker, så kan jeg godt forstå at du ikke er imponeret over at Microsoft sender sådan en advarsel ud. Men det burde du. Og alle andre.

Så det næste problem er: hvordan får jeg overbevist folk at de skal gøre noget - ved at få en uafhængig ekstern partner til at gennemgå deres IT-sikkerhed? Der er rigtig mange IT-virksomheder, som kan fikse problemer, men som ikke tænker over IT-sikkerhed. Der er jo forskel mellem IT og IT-sikkerhed.

Albert

du kan sikkert have evigt ret - jeg kommer aldrig til at gå videre end altid have alt opdateret med nyeste patches og min malwarebit og defender - + natlig backup -
Jeg tror mange små virksomheder i alle fald tænker samme og dem tror jeg ikke du kan nå alligevel

De store måske, men hvis først du opnår at være uenig med deres IT chef/mand, så er løbet normalt kørt, for det er den person virksomheden har valgt at stole på, og ikke en der kommer udefra og råber BRÆND.

Jeg tror dit besvær er at finde de som har en vis størrelse, men ikke nogen egentlig IT ansvarlig, det er "Jørgen fra lageret der lige fixer det når noget driller" vil være stillingsbetegnelsen.

Den Jørgen eller den chef kan være modtagelig, men HAR de en IT afd så kommer du generelt ALDRIG forbi den, men må arbejde med den alene

Noget du i alle fald skal, er

Skriv kort (jeg kan heller ikke) - der er ingen der læser mere end 5 linjer
Gå aldrig uden om den ansvarlige på området (IT afd)
Brug ikke mange kræfter på de helt små enkeltmands uden i alle fald lige at teste af, hvad det giver at kontakte den slags i en 50 stk test.
Brug kræfter på alt med fra 2-3 ansatte og op og uden egentlig IT afdeling som første huk
jeg tror ikke du får succes hvis du prøver som etisk hakker at gå ind og kilde chefen under fødderne på hans computer og sige "SE her er jeg i dit system, jeg skal nok gå pænt ud igen, men jeg kan hjælpe dig mod ikke etiske - for det kan ende MEGET galt, hvis ikke du først sidder og har en aftale om - NU skal du bare se.

vh John Hannover

Svar: Laissez-faire om IT-sikkerhed

albert@computernoerderne.dk — Tue, 12 Dec 2023 18:47:47 GMT

Tusind tak, John. Jeg er faktisk meget glad for din reaktion.
Nu kan jeg naturligvis ikke måle din viden om IT og i særdeleshed IT-sikkerhed, men hvis jeg går med på din egen vurdering om at du er en novice, så er din reaktion en fantastisk afspejling af hvad der sker:

For det færste: Microsoft kan ikke lukke alle huller. Det svarer til at dit hus har nogle huller (døre og vinduer), ellers ville du ikke kunne bruge dit hus. Men indbrudstyve kan også bruge døre og vinduer, så det eneste man kan gøre, er at sikre de huller, der er nødvendige. Samtidig at de sikringer ikke forhindrer andre processer og formål til at fungere som de skal. Med andre ord: at lukke et hul i Outlook er ikke nødvendigvis vejen frem. Måske er der andre huller der skal lukkes. Og det er også her tilfældet: hvis det hul i Outlook bliver lukket, vil Outlook ikke kunne fungere. Så derfor skal man lukke en bestemt port i sin router (nærmere betegnet TCP port 445 udadgående). Så kan hullet i Outlook stadigvæk udnyttes, men hackeren kommer ingen vegne med det.

For det andet: det, at du ikke er et mål er en udbredt misforståelse: Du som "almindelig" borger har adgang til en række systemer, betalt eller ej. Det hackere ikke. Jeg har gennem de sidste 2 år ofte fået mails om at nogen vil betale mig til at lægge en bestemt tekst op på Amino: det vækker ikke så meget mistanke hvis jeg lægger en besked på Amino, end en der aldrig har været her før.
Flere af mine kunder har oplevet (som jeg også skrev i et tidligere oplæg, som fejlagtigt blev flyttet til "Et godt tilbud") at deres personlige Facebook-konto blev hacket. De mennesker tænkte sikkert også at de ikke var nogen mål. Indtil de betalte for annoncer, målrettet USA, gennem deres Business Manager, oprettet af den hacker, der ændrede deres brugernavn og adgangskode på Facebook. En af mine kunders navn blev ændret til володимир зеленський - Volodymyr Zelensky på Ukrainsk - og der blev lavet annoncer i USA som om de kom fra Zelensky.
Sæt nu at jeg var blevet forment adgang til Bilka i Esbjerg, og en sikkerhedsvagt holder øje med om Albert van Harten kommer ind. Han ved jo hvordan jeg ser ud. Men hvad nu hvis jeg ligner John Hannover på en prik ... Så ville min accent måske afsløre mig, men han hører mig ikke når jeg bare går forbi ham ...

For det tredje: Din sammenligning med en regnskabsansvarlige er meget passende. Bortset fra at der er forskel mellem en bogholder og en revisor, når det kommer an på ansvaret. Hvis jeg har en bogholder der laver en fejl, så kan jeg måske sagsøge ham, men i sidste ende har jeg ansvaret. Hvis je har en revisor, er det en hel anden sag. Men der findes ingen statsautoriserede IT-ansvarlige. Gudskelovogtak - men det er besides the point.

Altså, hvis du er lige som de fleste mennesker, så kan jeg godt forstå at du ikke er imponeret over at Microsoft sender sådan en advarsel ud. Men det burde du. Og alle andre.

Så det næste problem er: hvordan får jeg overbevist folk at de skal gøre noget - ved at få en uafhængig ekstern partner til at gennemgå deres IT-sikkerhed? Der er rigtig mange IT-virksomheder, som kan fikse problemer, men som ikke tænker over IT-sikkerhed. Der er jo forskel mellem IT og IT-sikkerhed.

Albert

Svar: Laissez-faire om IT-sikkerhed

Cookie - John Hannover — Tue, 12 Dec 2023 18:17:12 GMT

jeg er ren novice - og hvad outloook angår stoler jeg op de flere meddelelser jeg har om CVE-2023-2339

On March 14, 2023, Microsoft released a patch for CVE-2023-23397. CVE-2023-23397 is a vulnerability in the Windows Microsoft Outlook client that can be exploited by sending a specially crafted email that triggers automatically when it is processed by the Outlook client.

Om det så rækker skal jeg ike turde sige, men dels er jeg ikke som sådan firma - dels må jeg stole på providers som MS Outlook og andre MS programmer, sikrer at huller lukkes, når de opdages, og endeligt soler jeg for det øvrige på sund fornuft i kliks - og så Malwarebytes pro kørende med alm defender + backup hver aften til Multicloud af alle betydende filer (men ikke totalt system, men jeg kan finde alle filer i multicloud fra en hver ny computer

Jeg er nok ikke så mange mål heller, så derfor er jeg irrittereet over risiko, uden dog at være så helvedes bekymret.

Firmaer er givet mere udsatte, og der er sikkert masser af huller derude - at de accepterer deres IT mands svar uden at altid hente 3 part anser jeg for helt naturligt, man har en IT ansvarliig helt som en regnskabsansvarlig osv . for at kunne være trygge på det område.

Kan man så bliver slemt overrasket, ja det kan man - men sådan er det lidt at drive virksomhed

vh John Hannover

Svar: Laissez-faire om IT-sikkerhed

albert@computernoerderne.dk — Tue, 12 Dec 2023 17:06:00 GMT

Det kan meget vel være årsagen, tak!
Jeg er klar over at jeg ikke just er en god sælger.

Men alligevel: jeg sendte en mail til en organisation om det der sikkerhedshul Microsoft har advaret om (CVE-2023-23397). Min kontakt svarede, at han havde sendt det videre til deres IT-mand. IT-manden svarede efterfølgede: "Vi har installeret en update i marts, det skulle dække problemet". For det første er det løgn, fordi man fikser ikke dette problem med en update, og for det andet er organisationen jeg skrev til villig til at acceptere det svar fra deres egen IT'er, uden at få en ekstern tredjepart til at vurdere om alt er i orden.

Albert

Svar: Laissez-faire om IT-sikkerhed

Bernard III — Tue, 12 Dec 2023 16:22:35 GMT

Folk er ikke ligeglade. Folk er bare ikke glade for at blive solgt.

Logik er ikke den bedste motivation når et produkt/service skal sælges, ligegyldigt hvor meget man selv mener at man er anerledes. Folk køber med følelserne.

Jeg har selv siddet med forsikringer, inkasso, A-kasse - produkter der beskytter dig imod "hvad-nu-hvis" scenarier, det er ikke ligefrem logikken der får folk til at købe ind i et produkt der skal skabe tryghed, det er i hvert fald min erfaring.

Det lyder som du er god til dit arbejde. Jeg har set mange IT-sikkerhedsvirksomheder der ikke lige frem var særlig dygtige når det kom til sikkerheden, men havde hyret de rigtige sælgere til at afsætte servicen.

Den rigtige sælger kan gøre hele forskellen.

Laissez-faire om IT-sikkerhed

albert@computernoerderne.dk — Tue, 12 Dec 2023 14:11:17 GMT

Nogle gange føler jeg mig som om jeg taler for døvemandsøre. Er det mon, fordi folk ikke aner hvad de skal? Eller er det fordi folk er bedøvende ligeglade, og har en laissez-faire holdning til IT-sikkerhed?

Jeg ved godt at for dem, der er god med en hammer, er alle problemer søm. Og det gør, at jeg ser IT-sikkerhedshuller overalt.
En dag var jeg på Borgerservice hos en af landets kommuner, og der så jeg et netværkskabel, der kom ud af væggen, bare ligge løst under en radiator. De fleste mennesker der har en mening om det, ser det som sjusk. Jeg ser det som et sikkerhedsrisiko. Det var IT-chefen i en pågældende kommune heldigvis også enig i.

Men da jeg skrev til en erhvervsorganisation, at de bør informere deres medlemmer om IT-sikkerhed, sagde direktøren at de ville "se tiden an". De afholder kurser til Instagram, Facebook og TikTok, om den nye regnskabslov, om Microsoft Teams - men IT-sikkerhed, det er ikke noget for dem.

Når jeg påpeger sikkerhedshuller i hjemmesider, overfor virksomheder, så siger de: "Det tager min udbyder sig af". Nej, det gør din udbyder ikke.
Når jeg advarer Amino-brugere om at deres Facebook-konto skal beskyttes, bliver mit indlæg flyttet til "Et godt tilbud". Det er ikke et tilbud, det er ramme alvor!
Når jeg fortæller indehaveren af et website, at sitet lækker data, bliver det afgjort som ingenting.
Når jeg informerer folk om at de skal lave unikke, stærke adgangskoder til deres forskellige tjenester, samt Multifaktorgodkendelse, så siger de: "Det er for svært". Det, der er nemt for dig, er endnu nemmere for en hacker.

Nu har Microsoft i marts 2023 sendt en advarsel ud for ALLE, der bruger Outlook med Exchange (og det gør mange, der har Microsoft 365 for Business): der er en alvorlig sikkerhedsrisiko som relativt nemt kan blive lukket. Men når jeg fortæller folk om den, så trækker de på skulderne.

Ønsker folk virkelig at hackere bare kommer ind i jeres systemer? Er I virkelig lige som republikanere i det amerikanske senat? Ser erhvervsfolk i Danmark og resten af verden ikke sikkerhedsadvarslerne?

Hvorfor er folk så ligeglade med IT-sikkerhed? Eller er jeg bare så ultraforsigtig?

Albert van Harten
Etisk hacker
What The Hack ApS