Artikel top billede

Digital sikkerhed: Det er da meget godt med processer - men du får ikke god sikkerhed uden god teknologi

Klumme: Organisation og processer er vigtige, men informationssikkerheden halter, hvis vi ikke udnytter de tekniske sikkerhedsprodukter.

Sikkerhedspolitik. ISO 27001. Ledelsesinvolvering.

Nogle gange kan det virke som om, informationssikkerhed udelukkende handler om regler, procedurer og organisation.

Men det er en misforståelse. Tekniske redskaber spiller stadig en vigtig rolle.

Faktisk er det ikke muligt at sikre informationer uden brug af teknologi.

Det seneste år har vi hørt om flere sager, hvor fortrolige persondata kom i de forkerte hænder.

Hos en af landets regioner havde alle autoriserede personalegrupper adgang til alle data om de patienter, regionen behandlede.

Piccoliner, præster og musikterapeuter kunne læse data om alle patienter, der blev behandlet.

Det lyder som et tilfælde, hvor der ikke var styr på, hvem der skulle have adgang til hvad.

Politikker er ikke nok

Det kan man prøve at styre med politikker: Regionen kan angive i ansættelsesaftalen, hvilke data hver enkelt type bruger har lov til at se.

Det hører med. Men det er ikke nok.

Regler og politikker er vigtige. Men de skal suppleres med tekniske tiltag, der gør det sværere at omgå dem.

Det aktuelle tilfælde handler om adgangskontrol.

Det er en af de ældste og mest gennemprøvede teknikker inden for informationssikkerhed: Begræns teknisk, hvad en bruger har adgang til.

Det kan være på filniveau: Brugeren med dette brugernavn må kun tilgå filer i disse mapper.

Eller det kan være på databaseniveau: Brugeren må kun tilgå disse felter i disse tabeller.

Adgangskontrol burde ikke udgøre en udfordring, når man udvikler et system til behandling af personfølsomme data.

Standard har kontroller

Jeg vil gerne understrege, at der ikke er tale om en konflikt mellem regel-tilgangen og den tekniske tilgang. Tværtimod.

ISO 27001-standarden har et helt afsnit med såkaldte kontroller.

Nogle af dem handler om regler og procedurer, men andre er praktiske teknologier, der kan bruges til at sikre, at en regel bliver håndhævet i praksis.

Adgangskontrol er et vigtigt element.

Men hvad nu, hvis den svigter, og de ansatte snager i data om patienter, de ikke har brug for at vide noget om?

Her er der brug for en anden teknisk kontrol: Logning.

Logning giver os mulighed for at følge op på, om reglerne bliver overholdt.
Hvis adgangskontrollen ikke er finmasket nok til at forhindre misbrug, kan loggen vise os, om misbrug finder sted.

Logning er vigtig. Det ved hackere også.

Det er ikke tilfældigt, at hackere gerne slår logningen fra som noget af det første, når de har kompromitteret et system.

Det sletter deres spor, så det bagefter er vanskeligt at afgøre, hvilke skader de har forårsaget.

Kig i logfilen

Så en logfil er et rigtig nyttigt redskab. Men det kræver, at den bliver brugt.

Rigtig mange organisationer kigger kun i logfilerne, når der er et problem. Så bliver loggen brugt til at finde ud af, hvornår problemet opstod og under hvilke omstændigheder.

Det er fint. Men det er ikke nok.

Skal loggen tjene et sikkerhedsmæssigt formål, skal den også analyseres, selvom der ikke er en umiddelbar anledning til det.

Loggen giver et overblik over, hvad der foregår i et it-system. Når vi kigger på det billede, kan vi opdage problemer.

Måske er der mange mislykkede forsøg på at logge ind på en bestemt tjeneste.

Det kan være anledning til at undersøge, hvor de forsøg stammer fra. Hvis de kommer ude fra internettet, skal man måske overveje at begrænse adgangen til login-systemet.

Nogle gange kan en log direkte vise, at et system er blevet kompromitteret. Logfilen fra en webserver kan afsløre en transaktion, der udnytter en sårbarhed til at inficere serveren.

De tre elementer

Informationssikkerhed opstår i en kombination mellem mennesker, procedurer og teknologi. Alle tre elementer skal være til stede, for at vi kan opnå den grad af sikkerhed, vi ønsker.

Vores valg af sikkerhedsniveau afhænger altid af en risikovurdering.

Her spiller rammeværker som ISO 27001 en vigtig rolle. De kan hjælpe os med at udvikle vores sikkerhedspolitik.

Men derefter skal teknologien i spil: Firewalls, adgangskontrol, antivirus, logovervågning, IDS (Intrusion Detection System) og hvad producenterne ellers tilbyder af værktøjer.

Så mit budskab er: Den ledelsesmæssige og organisatoriske del af sikkerhedsarbejdet er vigtig, men kan ikke stå alene.

Der skal konkret teknologi til at håndhæve reglerne og implementere politikkerne i praksis.

DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team, der håndterer sikkerhedshændelser på forskningsnettet. I samarbejde med tilsvarende organisationer over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT er en organisation i DeIC, DTU.

Henrik Larsen opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
EG Danmark A/S
Udvikling, salg, implementering og support af software og it-løsninger til ERP, CRM, BA, BI, e-handel og portaler. Infrastrukturløsninger og hardware. Fokus på brancheløsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Digital vækst 2024

På Digital Vækst 2024 bringer vi danske virksomheders organisation, forretning og data i spil samt spejler dem i det, som teknologipartnerne bringer til fadet. Konferencen bliver tætpakket med dygtige digitale ledere og frontkæmpere fra ind- og udland. De har én opgave på dagsordenen: At inspirere dig til at træffe de rigtige forretningsmæssige, teknologiske og strategiske valg i 2024, som kan sikre vækst for dig.

19. marts 2024 | Læs mere


Cyber Threats 2024: Sådan arbejder de IT-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

20. marts 2024 | Læs mere


AI Impact Day: Har du styr på risiko og governance – og er du klar til AI Act?

AI og Machine Learning har for længst gjort sit indtog i centrale, kritiske forretningssystemer, og både udviklere, platformleverandører og koncerner er begyndt at udforske mulighederne. På dette eksklusive event dykker vi ned i AI's indflydelse på fremtidens forretnings- og IT-drift. Men vi ser også på, hvordan du mest effektivt arbejder med governance og risikostyring på dine AI-projekter.

21. marts 2024 | Læs mere