Sikkerhedspolitik. ISO 27001. Ledelsesinvolvering.
Nogle gange kan det virke som om, informationssikkerhed udelukkende handler om regler, procedurer og organisation.
Men det er en misforståelse. Tekniske redskaber spiller stadig en vigtig rolle.
Faktisk er det ikke muligt at sikre informationer uden brug af teknologi.
Det seneste år har vi hørt om flere sager, hvor fortrolige persondata kom i de forkerte hænder.
Hos en af landets regioner havde alle autoriserede personalegrupper adgang til alle data om de patienter, regionen behandlede.
Piccoliner, præster og musikterapeuter kunne læse data om alle patienter, der blev behandlet.
Det lyder som et tilfælde, hvor der ikke var styr på, hvem der skulle have adgang til hvad.
Politikker er ikke nok
Det kan man prøve at styre med politikker: Regionen kan angive i ansættelsesaftalen, hvilke data hver enkelt type bruger har lov til at se.
Det hører med. Men det er ikke nok.
Regler og politikker er vigtige. Men de skal suppleres med tekniske tiltag, der gør det sværere at omgå dem.
Det aktuelle tilfælde handler om adgangskontrol.
Det er en af de ældste og mest gennemprøvede teknikker inden for informationssikkerhed: Begræns teknisk, hvad en bruger har adgang til.
Det kan være på filniveau: Brugeren med dette brugernavn må kun tilgå filer i disse mapper.
Eller det kan være på databaseniveau: Brugeren må kun tilgå disse felter i disse tabeller.
Adgangskontrol burde ikke udgøre en udfordring, når man udvikler et system til behandling af personfølsomme data.
Standard har kontroller
Jeg vil gerne understrege, at der ikke er tale om en konflikt mellem regel-tilgangen og den tekniske tilgang. Tværtimod.
ISO 27001-standarden har et helt afsnit med såkaldte kontroller.
Nogle af dem handler om regler og procedurer, men andre er praktiske teknologier, der kan bruges til at sikre, at en regel bliver håndhævet i praksis.
Adgangskontrol er et vigtigt element.
Men hvad nu, hvis den svigter, og de ansatte snager i data om patienter, de ikke har brug for at vide noget om?
Her er der brug for en anden teknisk kontrol: Logning.
Logning giver os mulighed for at følge op på, om reglerne bliver overholdt.
Hvis adgangskontrollen ikke er finmasket nok til at forhindre misbrug, kan loggen vise os, om misbrug finder sted.
Logning er vigtig. Det ved hackere også.
Det er ikke tilfældigt, at hackere gerne slår logningen fra som noget af det første, når de har kompromitteret et system.
Det sletter deres spor, så det bagefter er vanskeligt at afgøre, hvilke skader de har forårsaget.
Kig i logfilen
Så en logfil er et rigtig nyttigt redskab. Men det kræver, at den bliver brugt.
Rigtig mange organisationer kigger kun i logfilerne, når der er et problem. Så bliver loggen brugt til at finde ud af, hvornår problemet opstod og under hvilke omstændigheder.
Det er fint. Men det er ikke nok.
Skal loggen tjene et sikkerhedsmæssigt formål, skal den også analyseres, selvom der ikke er en umiddelbar anledning til det.
Loggen giver et overblik over, hvad der foregår i et it-system. Når vi kigger på det billede, kan vi opdage problemer.
Måske er der mange mislykkede forsøg på at logge ind på en bestemt tjeneste.
Det kan være anledning til at undersøge, hvor de forsøg stammer fra. Hvis de kommer ude fra internettet, skal man måske overveje at begrænse adgangen til login-systemet.
Nogle gange kan en log direkte vise, at et system er blevet kompromitteret. Logfilen fra en webserver kan afsløre en transaktion, der udnytter en sårbarhed til at inficere serveren.
De tre elementer
Informationssikkerhed opstår i en kombination mellem mennesker, procedurer og teknologi. Alle tre elementer skal være til stede, for at vi kan opnå den grad af sikkerhed, vi ønsker.
Vores valg af sikkerhedsniveau afhænger altid af en risikovurdering.
Her spiller rammeværker som ISO 27001 en vigtig rolle. De kan hjælpe os med at udvikle vores sikkerhedspolitik.
Men derefter skal teknologien i spil: Firewalls, adgangskontrol, antivirus, logovervågning, IDS (Intrusion Detection System) og hvad producenterne ellers tilbyder af værktøjer.
Så mit budskab er: Den ledelsesmæssige og organisatoriske del af sikkerhedsarbejdet er vigtig, men kan ikke stå alene.
Der skal konkret teknologi til at håndhæve reglerne og implementere politikkerne i praksis.
DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team, der håndterer sikkerhedshændelser på forskningsnettet. I samarbejde med tilsvarende organisationer over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT er en organisation i DeIC, DTU.
Henrik Larsen opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.
