IT-sikkerhed 2009: I baghjulet af finanskrisens allestedsnærværende sparerunder er der opstået et nyt mantra i sikkerhedsindustrien: Differentieret sikkerhed.
Differentieret sikkerhed var således et gennemgående tema på IDC's årlige sikkerhedskonference, der fandt sted tirsdag på Frederiksberg.
Det handler om at dosere sikkerheden på alle niveauer, og derved sætte ind, hvor det er påkrævet og holde igen, hvor det ikke betyder så meget. På den måde bruges pengene mest effektivt, lød budskabet fra talerstolen.
"En sko passer ikke til alle, og sikkerhedspolitikker behøver heller ikke være ens for alle," lød det fra Per Andersen, som er direktør for analysehuset IDC, der er på vej med helt nye tal for sikkerhedsmarkedet.
"Samtidig kan det gøre sikkerheden billigere," vurderede han.
I forbindelse med dokumenthåndtering og lagring af data har man i flere år anvendt et tankesæt om, at virksomhedens data skal klarificeres for derved at gemme de data, der er vigtige på en måde, der gør dem nemt tilgængelige. De data, der er knap så presserende, kan stuves godt af vejen. Derved kan man spare på storage-udgifterne.
Denne filosofi har nu bredt sig til sikkerhedsbranchen.
For at gøre sikkerheden mindre omkostningsfuld skal de danske it-afdelinger niveaudele sikkerheden, som man også kender det fra NTFS-adgangsrettigheder i netværket.
Den medarbejder, der benytter følsomme data fra mobile enheder, skal eksempelvis dækkes solidt ind, mens kontormusen behøver en knap så høj mur omkring sig.
Det er dog ikke kun personer og data, de skal behandles forskelligt.
Også de applikationer, der går gennem virksomhedens firewall skal forskelsbehandles. Kun de applikationer, der er nødvendige, og som man stoler på, skal have adgang til firmaernes hellige haller.
Samtidig er det indhold, der afvikles i applikationerne en gyldig grund til hjemsendelse. På den måde kan man gardere sig overfor ondsindet kode, der er placeret på ellers tilforladelige websider.
Sikkerhed er stadig vigtigst
Selv om finanskrisen har tvunget it-folket til at spare på budgetterne, er sikkerheden stadig det område, der vejer tungest hos it-cheferne.
IDC offentliggør i oktober en ny undersøgelse, hvor analysehuset har spurgt it-bosserne om, hvad de vil investere deres penge i.
It-chefernes top 7-investeringsliste ser ifølge IDC således ud:
1. Sikkerhed
2. Mobile løsninger
3. Grøn it
4. ERP
5. Unified communications
6. Web 2.0
7. Virtualisering
"Sikkerhed er stadig det vigtigste, og det er ikke så underligt, da det er et element i flere af de øvrige områder som eksempelvis virtualisering og mobile løsninger," fortæller Per Andersen fra IDC, der står bag undersøgelsen.
Men truslerne vokser også, og angrebene bliver hele tiden mere professionelle, siger han. Og tilføjer, at selv om der mangler empirisk materiale, vil finanskrisen givetvis anspore til større kriminalitet, fordi flere kan føle sig fristet til at score hurtige penge i en presset situation.
Så selv om sikkerhedsbranchen har fået en solid kindhest på 10 procent af krisen, så er der stadig lys for enden af tunnellen.
Facebook er en udfordring
En af de udfordringer, der plager it-cheferne, er danskernes overvældende trang til at anvende sociale tjenester som Facebook, Twitter og YouTube.
"Web 2.0, eller sociale tjenester om man vil, udvisker grænserne mellem arbejde og fritidsliv," lød det fra Per Andersen.
"I denne åbne kultur handler om at dele så mange informationer som muligt og kommunikere på kryds og tvære. Det stiller store krav til it-sikkerheden," sagde han.
Et andet fokusområde for sikkerheds-drengene i it-afdelingen er ifølge IDC de mobile enheder.
"Vi er godt i gang med de mobile enheder, men i de kommende år vil sikkerhedsfolket blive præsenteret for ny software, anderledes enheder og kommunikationsformer, hvilket betyder, at gamle sikkerhedsrutiner skal ændres," sagde Per Andersen.
Porno har ikke skylden
Det er dog langt fra nye udefrakommende trusler, der er det eneste problem.
De helt fundamentale ting i netværket bærer nemlig stadig skylden for to ud af tre sikkerhedsepisoder.
"Manglende ændring af standard-passwords og manglende opdateringer er stadig et massivt problem for sikkerheden," fortalte Thomas Raschke, der bærer titlen senior product marketing manager i sikkerhedsfirmaet Verizon Business.
Ifølge ham er der desuden et andet menneskeligt sikkerhedsproblem, nemlig kedsomhed og deraf følgende uopmærksomhed.
"Store angreb kommer ikke to gange om ugen. Der kan gå år imellem, eller måske sker det aldrig. De lange ventetider uden problemer kan sænke koncentrationen i it-afdelingen, hvilket betyder, at paraderne sænkes, og man blotter sig" sagde han.
Et andet kneb, der benytter sig af uopmærksomhed og tillid, er de kilder, hvorfra blandt andet phishing-angreb bliver foretaget.
De fleste angreb rettes nemlig fra helt legitime sider. Sikkerhedsfirmaet Fortinet har analyseret trafikken hos store 50 firmaer med mere end 50 digitale filialer, og den måling viste, at P2P- og pornosiderne ikke er de største syndere.
"Legitime auktionssider og bannerreklamer udnyttes til langt de fleste phishing-angreb," sagde Matias Cube, nordeuropæisk direktør for Fortinet.
"Pornosider og Pirate Bay har langt færre af disse problemer."
Det kan skyldes virksomhedernes politik overfor medarbejderne, der forbyder dem at anvende disse tjenester, men er samtidig en indikation om, at underverdenen udnytter de brands, der har brugernes tillid for at opnå en bedre datahøst, lød det fra Matias Cube.
