Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 29. august 2003.
Brugersikkerhed: Det er bedre at sikre brugeren end systemet, fordi brugerne til enhver tid hopper over, hvor sikkerhedsgærdet er lavest, viser al erfaring.
Brugerne er det svage punkt i enhver it-installation. Det er nemmere at sikre brugeren end de enkelte komponenter i en installation. Al erfaring viser, at brugeren til enhver tid hopper over, hvor gærdet er lavest, også selvom det kompromitterer sikkerheden.
Det fastslår Niels Anqvist, medstifter af it-firmaet Neanco. Computerworld har sat Niels Anqvist stævne sammen med Jesper Lundorf, direktør i Netværk Danmark og med en fortid i Politiets Efterretningstjeneste, PET. De to beskæftiger sig til daglig med mange aspekter af it-sikkerhed via deres medlemskab i brancheforeningen Dansk-IT.
- At tilføre mere sikkerhed gavner ikke brugervenligheden - tværtimod, så det er forståeligt nok, at brugeren som regel er det sikkerhedsmæssigt svage punkt i de fleste systemer, siger Niels Anqvist.
I princippet er det den ideelle situation, hvis it-chefen kan umyndiggøre brugeren, så systemets sikkerhedsprocedurer ikke kræver en aktiv indsats fra brugerside. Det vil give bedre muligheder for, at systemsikkerheden ikke kompromitteres, pointerer de to.
- Begrebet menneskelig firewall findes i den fysiske verden. Det kan være naboovervågning, hvor beboerne i et kvarter holder øje med usædvanlige aktiviteter. Det gælder om at observere, hvis der sker noget usædvanligt, så når politiet dukker op i anledning af for eksempel et indbrud, så kan beboernes observationer være lige præcis den brik, politiet mangler, forklarer Jesper Lundorf.
Udviklingen i den digitale verden er gået hurtigere end i den fysiske verden. Her mangler de fleste den naturlige skepsis, som får folk i den fysiske verden til at lægge mærke til hændelser, der stikker ud fra det vante.
Mangler forståelsen
Mange mangler en helt basal forståelse for at færdes i den digitale verden. Udviklingen er gået for stærkt, og snebolden har vokset sig så stor, at brugerne mister overblikket. De, der er ansvarlige for sikkerheden, ender med at springe fra isflage til isflage, og når de ikke gør det, så slukker de ildebrande og har slet ikke overskud til at se længere frem. I den
fysiske verden er vi nået dertil, at stort set alle, der kører bil, har et kørekort. I den digitale verden er der masser uden kørekort. De opfører sig indimellem uansvarligt uden at skænke det en tanke. Måske forlader de billedligt talt bilen uden at lukke vinduerne.
Anqvist og Lundorf går så vidt som til at foreslå, at emnet sikkerhed bliver taget op allerede i børnehaven, hvor det kan leges ind gennem spil og lege. Det handler om at lære at være anderledes observant.
- Herhjemme og i resten af Europa kommer it-sikkerhed i anden eller måske snarere tredje række for it-branchen. Samtidig er virksomhederne ikke gode til at stille krav til leverandørerne om mere brugervenlige og mindre komplekse løsninger. De store leverandører har langt fra et holistisk syn på sikkerheden, siger Niels Anqvist og fortsætter:
- Vender vi tilbage til bilen, så svarer det til, at kunderne køber hjul et sted, sæder et andet sted, skærme hos en tredje leverandør og læderindtræk hos en fjerde, men indtrækket passer desværre ikke til sæderne, så der skal her - og en række andre steder - postes masser af konsulentkroner i projektet, før det overhovedet begynder at ligne en bil, siger han.
Det er din skyld
Dertil kommer, at de fleste producenter er eksperter i at skyde skylden på hinanden. Når automatgearet går i stykker, siger producenten, at han er uden skyld: "Det er olieproducentens skyld, at gearkassen går i stykker", lyder det.
På samme måde med it-systemer. Det er altid en andens skyld. Og bedre bliver det ikke, før brugerne og deres organisationer bliver hårde i filten og stiller ufravigelige krav om bedre integration og samarbejde mellem forskellige platforme og teknologier.
Konklusion: Producenterne gør muligvis deres bedste, men det er ikke godt nok, så længe skolebørn kan hacke deres systemer. Derudover skal brugerne i langt højere grad oplyses, informeres og involveres. Hvis ikke brugerne er helt på det rene med, hvor, hvorfor og hvordan sikkerheden fungerer i virksomheden, så falder det hele på gulvet. Fordi brugerne altid hopper over, hvor gærdet er lavest. Så meget er sikkert.
Billedtekst:
- Vi kan sagtens lære børnene de grundlæggende regler i trafikken, men vi kan ikke lære dem at gradbøje reglerne. Ja, der er grønt lys, men se dig for alligevel, fordi ikke alle respekterer dit grønne lys, forklarer Jesper Lundorf og Niels Anqvist, der foreslår, at emnet sikkerhed både i trafikken og bag
skærmen tages op allerede i børnehaven. Foto: Torben Klint
Boks:
Fra reception til netværk
Gennemgang af en virksomheds it-sikkerhed kan gribes an på mange måder. Her et eksempel fra it-sikkerhedsfirmaet Netsecure. Når Netsecure udfører et sikkerhedsreview, kan det bestå af disse elementer:
¥ Gennemgang af arkitektur, dokumentation og netværkstegninger.
¥ Gennemgang og review af firmaets sikkerhedspolitik og eventuelle beredskabsplan.
¥ Interview med ledelsen om dens forretningsmæssige tilgang til it-sikkerhed. Hvor væsentligt er it for virksomhedens drift?
¥ Scanning af de systemer, der er synlige fra internettet. En traditionel sårbarhedsscanning.
¥ Scanning af interne systemer for sårbarheder. Hvor sårbart er netværket for angreb indefra eller fra eksterne servere, der bliver kompromitteret?
¥ Fysisk gennemgang af virksomheden. Der kigges efter trådløse net, screensavers, makulatorer, låse på døre, alarmer med mere.
¥ Test for social engineering. Kan man ved en opringning få et password? Kan man gå uhindret igennem receptionen og få adgang til en pc?
I dialog med kunden sammensætter Netsecure et testforløb, der harmonerer med det ønskede sikkerhedsniveau. Testforløbet afsluttes med en rapport, der sammenfatter alle testresultaterne og kommer med konkrete og prioriterede anbefalinger til tiltag. De tiltag, der giver meget sikkerhed for forholdsvis få midler, prioriteres højt. Eksempelvis screensavers på alle pc'er eller en makulator til kasserede, fortrolige dokumenter. Man kan gøre meget for få midler.
Endelig gennemgår Netsecure rapportens konklusioner med it-chefen og/eller den sikkerhedsansvarlige og foreslår en fælles præsentation for ledelsen, så den er orienteret om forholdene og kan beslutte, hvad der skal gøres. I mange tilfælde er det økonomien, der begrænser sikkerhedstiltagene, fordi der ikke er lavet en beregning af konsekvenserne ved at lade stå til.
Eventuelt kan Netsecure installere software til sikkerhedsadministration således, at virksomheden fremover kan overvåge, om dens systemer lever op til det sikkerhedsniveau, der er besluttet. Der findes en række teknologier til dette, men det er vigtigt, at man først ved, hvor man står sikkerhedsmæssigt - og hvor man er på vej hen.