Certifikat-teatret: I betaler millioner for ISO-stempler på ulovlige it-systemer.
De fleste virksomheder jager blændende ISAE-erklæringer og ISO 27001-certifikater for at have ryggen fri. Men hvad nytter et fint papirstempel, hvis den underliggende software og hosting, I bruger, reelt er ulovlig? Hvis jeres data ligger i Microsoft 365, Google Workspace eller på standard iOS/Android-telefoner, har amerikanske myndigheder og eksterne administratorer altid en teknisk bagdør. Vi laver en it-teknisk audit, der tjekker virkeligheden – ikke papirerne.
Stop med at underskrive i blinde – Book en reel it-audit
Hvorfor ISO-certifikater og "egne krypteringsnøgler" er falsk tryghed.
Virksomheder bruger formuer på eksterne jurister og revisorer, der skal godkende deres compliance. De kigger på ISO 27001-stempler og ISAE-erklæringer. Men her er den rå sandhed: En ISO-auditør tjekker kun, om I har en politik for jeres it-sikkerhed. De tjekker ikke kildekoden. De tjekker ikke, at den amerikanske CLOUD Act tvinger tech-giganterne til at give efterretningstjenester adgang i baggrunden.
Hvorfor ISO-certifikater og "egne krypteringsnøgler" er falsk tryghed.
Virksomheder bruger formuer på eksterne jurister og revisorer, der skal godkende deres compliance. De kigger på ISO 27001-stempler og ISAE-erklæringer. Men her er den rå sandhed: En ISO-auditør tjekker kun, om I har en politik for jeres it-sikkerhed. De tjekker ikke kildekoden. De tjekker ikke, at den amerikanske CLOUD Act tvinger tech-giganterne til at give efterretningstjenester adgang i baggrunden.
Hvad vi undersøger (Når vi kigger bag om giganternes markedsføring)
01. Administrator-bagdøre & Password-audit
Proprietære (lukkede) systemer har altid en master-adgang. Vi undersøger, hvem der reelt har administrator-rettigheder i jeres nuværende setup. Hvis jeres it-partner eller en systemudbyder kan nulstille jeres adgangskoder med et klik, betyder det, at de (og de hackere, der rammer dem) teknisk set kan læse alle jeres direktionsmails og fortrolige filer i cleartext, når de vil.
02. Certifikat vs. Lovligheds-Tjek (ISO-illusionen)
Vi piller jeres ISAE-erklæringer og ISO-papirer fra hinanden og holder dem op mod den reelle lovgivning. Vi kortlægger, hvor jeres jurister har overset, at jeres "SaaS-compliance" reelt falder til jorden, fordi leverandørkæden ender hos amerikanske cloud-monopoler underlagt ulovlig masseovervågning.
03. App-aflytning & Telemetri-skanning (iOS vs. Jolla)
Standard iOS- og Android-telefoner er designet til dataindsamling. Hver eneste app, jeres medarbejdere installerer, høster data, kontakter og lokationer i baggrunden. Vi scanner jeres mobile infrastruktur og viser jer, hvorfor standard-smartphones er en tikkende spionage-bombe for ledelsen – og hvordan uafhængige alternativer som Jolla/SailfishOS lukker hullet.
Hvad vi undersøger (Når vi kigger bag om giganternes markedsføring)
01. Administrator-bagdøre & Password-audit
Proprietære (lukkede) systemer har altid en master-adgang. Vi undersøger, hvem der reelt har administrator-rettigheder i jeres nuværende setup. Hvis jeres it-partner eller en systemudbyder kan nulstille jeres adgangskoder med et klik, betyder det, at de (og de hackere, der rammer dem) teknisk set kan læse alle jeres direktionsmails og fortrolige filer i cleartext, når de vil.
02. Certifikat vs. Lovligheds-Tjek (ISO-illusionen)
Vi piller jeres ISAE-erklæringer og ISO-papirer fra hinanden og holder dem op mod den reelle lovgivning. Vi kortlægger, hvor jeres jurister har overset, at jeres "SaaS-compliance" reelt falder til jorden, fordi leverandørkæden ender hos amerikanske cloud-monopoler underlagt ulovlig masseovervågning.
03. App-aflytning & Telemetri-skanning (iOS vs. Jolla)
Standard iOS- og Android-telefoner er designet til dataindsamling. Hver eneste app, jeres medarbejdere installerer, høster data, kontakter og lokationer i baggrunden. Vi scanner jeres mobile infrastruktur og viser jer, hvorfor standard-smartphones er en tikkende spionage-bombe for ledelsen – og hvordan uafhængige alternativer som Jolla/SailfishOS lukker hullet.
Open Source é r den eneste vej til ægte, auditerbar compliance.
Hele fundamentet for at kunne sige, at man har "styr på sine data", falder til jorden, så længe virksomheden bruger lukket, proprietær software. Lukket kode i Microsoft- og Google-økosystemer er en beskyttet forretningshemmelighed. Det betyder, at ingen uvildig ekspert nogensinde må eller kan tjekke, hvad programmerne reelt gør med jeres data i baggrunden.
Open Source é r den eneste vej til ægte, auditerbar compliance.
Hele fundamentet for at kunne sige, at man har "styr på sine data", falder til jorden, så længe virksomheden bruger lukket, proprietær software. Lukket kode i Microsoft- og Google-økosystemer er en beskyttet forretningshemmelighed. Det betyder, at ingen uvildig ekspert nogensinde må eller kan tjekke, hvad programmerne reelt gør med jeres data i baggrunden.
De spørgsmål jeres it-leverandører og jurister ikke kan svare på
Hvis vores virksomhed er ISO 27001-certificeret, er vores data og compliance så ikke 100% i orden?
Nej. ISO 27001 er en ledelsesstandard. Den beviser, at I har processer for, hvordan I håndterer sikkerhedshændelser, og at I har låst døren til serverrummet. Men en ISO-certificering forholder sig overhovedet ikke til kildekoden i de programmer, I bruger, eller om jeres amerikanske cloud-udbydere er underlagt CLOUD Act. Du kan teknisk set godt få en flot ISO-certificering på et it-setup, der er lodret ulovligt under EU’s GDPR-regler om datasuverænitet. Det er ren papir-compliance.
Microsoft siger, vi har "Customer Key" (vores egne krypteringsnøgler). Kan de så overhovedet læse vores mails?
Ja, det kan de. "Customer Key" betyder blot, at dataene er låst, når de ligger helt stille på harddisken i deres datacenter. Men i det sekund, du sender en mail, eller en kollega åbner et dokument, skal Microsofts serverer køre antivirus-scanning, spam-filtrering og søgeindeksering. For at kunne gøre det, tvinges systemet til at dekryptere jeres data og læse dem i "cleartext" i serverens arbejdshukommelse. I det øjeblik er dataene sårbare over for amerikansk myndighedsovervågning, uanset hvem der ejer selve nøglen.
Hvorfor er de apps, vi installerer på vores iPhones og Android-telefoner, et compliance-problem?
Fordi både iOS og Android er lukkede systemer bygget til kommerciel datamining. Selvom du slår "Privatliv" til, opsamler selve styresystemet og de installerede apps konstant metadata: Hvem ringer du til, hvornår gør du det, og hvor befinder enheden sig? Disse metadata er guld værd for Big Tech og sendes direkte underlagt CLOUD Act til USA. Det er derfor, europæiske løsninger som Jolla/SailfishOS er unikke: De kører på fri kode, skærer telemetrien fuldstændig væk og isolerer apps, så jeres forretningshemmeligheder ikke siver ud i smug.
De spørgsmål jeres it-leverandører og jurister ikke kan svare på
Hvis vores virksomhed er ISO 27001-certificeret, er vores data og compliance så ikke 100% i orden?
Nej. ISO 27001 er en ledelsesstandard. Den beviser, at I har processer for, hvordan I håndterer sikkerhedshændelser, og at I har låst døren til serverrummet. Men en ISO-certificering forholder sig overhovedet ikke til kildekoden i de programmer, I bruger, eller om jeres amerikanske cloud-udbydere er underlagt CLOUD Act. Du kan teknisk set godt få en flot ISO-certificering på et it-setup, der er lodret ulovligt under EU’s GDPR-regler om datasuverænitet. Det er ren papir-compliance.
Microsoft siger, vi har "Customer Key" (vores egne krypteringsnøgler). Kan de så overhovedet læse vores mails?
Ja, det kan de. "Customer Key" betyder blot, at dataene er låst, når de ligger helt stille på harddisken i deres datacenter. Men i det sekund, du sender en mail, eller en kollega åbner et dokument, skal Microsofts serverer køre antivirus-scanning, spam-filtrering og søgeindeksering. For at kunne gøre det, tvinges systemet til at dekryptere jeres data og læse dem i "cleartext" i serverens arbejdshukommelse. I det øjeblik er dataene sårbare over for amerikansk myndighedsovervågning, uanset hvem der ejer selve nøglen.
Hvorfor er de apps, vi installerer på vores iPhones og Android-telefoner, et compliance-problem?
Fordi både iOS og Android er lukkede systemer bygget til kommerciel datamining. Selvom du slår "Privatliv" til, opsamler selve styresystemet og de installerede apps konstant metadata: Hvem ringer du til, hvornår gør du det, og hvor befinder enheden sig? Disse metadata er guld værd for Big Tech og sendes direkte underlagt CLOUD Act til USA. Det er derfor, europæiske løsninger som Jolla/SailfishOS er unikke: De kører på fri kode, skærer telemetrien fuldstændig væk og isolerer apps, så jeres forretningshemmeligheder ikke siver ud i smug.
Er det ikke på tide at få rådgivning, der tjener jeres interesser?
Lad os tage kampen mod Big Tech sammen. Det er ikke bare it – det er et strategisk valg for jeres virksomheds fremtid og bundlinje.
Book en uforpligtende afklaring af jeres reelle it-risikoEr det ikke på tide at få rådgivning, der tjener jeres interesser?
Lad os tage kampen mod Big Tech sammen. Det er ikke bare it – det er et strategisk valg for jeres virksomheds fremtid og bundlinje.
Book en uforpligtende afklaring af jeres reelle it-risiko