Stort galleri:Tag med til kåringen af Årets CIO 2021 - og se hvordan Morten Holm Christiansen blev udnævnt

Artikel top billede

Det kan vi lære af Se og Hør-skandalen

Klumme: Brug rollebaseret adgangskontrol og sikkerhedstjek it-folkene, før du ansætter dem

Den betroede medarbejder, der misbruger sin position til at lække fortrolige data.

Det er et scenarie, der kan få det til at løbe koldt ned ad ryggen på enhver sikkerhedsansvarlig.

Hvis skriverierne i medierne holder stik, har en ansat hos IBM misbrugt sin adgang til systemerne hos Nets til at lække oplysninger om, hvor kendte mennesker brugte deres betalingskort.

Oplysningerne landede hos ugebladet Se og Hør, der benyttede dem til at finde frem til kendte og kongelige, der ikke ønskede mediernes opmærksomhed.

Med oplysningerne kunne Se og Hør følge dem både herhjemme og i udlandet.

Jeg har ikke andet kendskab til sagen, end hvad der har været skrevet om den i medierne.

Sagen udvikler sig løbende, utvivlsomt også efter den 1. maj, hvor jeg skrev denne klumme.

Formålet med min klumme er ikke at fortælle om selve sagen, men med afsæt i skandalen at besvare spørgsmålet:

Hvordan kan it-sikkerhedsansvarlige undgå, at deres organisation kommer i en lignende situation?

Rollebaseret adgangskontrol

Et oplagt sted at sætte ind er brugerrettigheder.

Se og Hør-sagen bør få enhver organisation, der behandler fortrolige data, til at tjekke adgangstilladelserne:

Hvem har adgang til hvilke data? Hvad må de gøre med dem? Hvordan bliver adgangen logget? Er der personsammenfald mellem dem, der har adgang, og dem, der tjekker logfilerne?

En god tilgang her er den såkaldte "separation of duties."

Det er et princip, der kræver, at flere personer skal indgå, når bestemte opgaver skal løses.

For eksempel skal en chef skrive under på et udgiftsbilag, før bogholderiet refunderer udgiften til medarbejderen.

I it-sammenhæng etableres "separation of duties" ofte ved hjælp af rollebaseret adgangskontrol.

Det vil sige, at brugere af it-systemet kan tildeles en eller flere roller, som de udfører.

Rollen bestemmer, hvad medarbejderen har adgang til.

Kombiner gerne rollebaseret kontrol med princippet om at give adgang til det nødvendige - og absolut ikke mere.

Systemet virker dog kun, hvis folk rent faktisk er logget ind som sig selv.

Samme svaghed har logningssystemer også: Hvis en bruger logger ind med andens brugernavn og password, er det sværere at opdage misbrug.

Så skal systemerne til at undersøge, om brugeren har logget ind fra en anden computer end normalt, på et usædvanligt tidspunkt eller andet, der virker mistænkeligt.

Her kan biometrisk autentifikation være nyttig:

Når brugeren har logget ind med sit fingeraftryk, er det sandsynligt, at det er den rigtige bruger.

Disse systemer bør man overveje

Suppler med kryptering

Hvis organisationen behandler meget følsomme data, kan der være grund til at supplere styresystemets brugerkontrol med yderligere mekanismer.

For eksempel findes der systemer, der kan kryptere data.

Det har den fordel, at de driftsansvarlige kan tage backup, flytte data mellem disksystemer eller på anden måde arbejde med dem, uden at de kan læse dataene.

Kun medarbejdere udstyret med den rette krypteringsnøgle kan læse og skrive data.

Det er også muligt at sikre data ved at opsplitte dem.

For eksempel kan man sikre, at en medarbejder kan se alle transaktioner tilknyttet et bestemt kreditkort, men ikke har mulighed for at slå ejerens navn op uden særlig tilladelse.

Endelig giver systemer til DLP (Data Loss Prevention) forskellige metoder til at styre, hvad medarbejdere må gøre med data.

De kan for eksempel genkende et kreditkortnummer og forhindre, at det videresendes i en ekstern mail eller kopieres over på en USB-nøgle.

Vurder menneskene

Sikkerhed opstår i en kombination mellem teknik, mennesker og processer.

Så de teknologier, jeg nævner her, kan aldrig stå alene.

Processen med at vurdere de mennesker, man ansætter til at arbejde med data, er derfor meget vigtig.

Her skal virksomheder lære, at it-systemer har bagveje.

Jo dybere ned i teknikken, man graver sig, desto lettere er det ofte at få fat i data.

Driftsfolkene skal i sagens natur have adgang til at arbejde med data på det tekniske niveau.

Derfor skal de også sikkerhedstjekkes lige så grundigt som dem, der arbejder med de samme data på det forretningsmæssige niveau.

Det tror jeg, mange virksomheder overser. De opfatter måske mere en driftsmedarbejder som et kontorbud.

Men lige som gamle dages kontorbud kunne kigge i de interne kuverter, som blev sendt rundt i virksomheden, kan vore dages driftsfolk se fortrolige data, hvis virksomheden ikke har indført nogle af de mekanismer, jeg nævner ovenfor.

Derfor er det vigtigt at være grundig med at sikkerhedsvurdere kandidater til ledige stillinger.

Når ansvaret for databehandlingen lægges ud til en ekstern leverandør via outsourcing, bliver det endnu vigtigere at få styr på datasikkerheden.

Her skal kravene til sikkerhed skrives ind i kontrakten via målbare SLA'er (service level agreement).

Men igen - det menneskelige element er afgørende. Så outsourcingleverandøren skal være lige så god til at sikkerhedstjekke sine medarbejdere, som man selv er.

Teknikken mangler

Vi har allerede en række systemer, der skal sikre, at regler om it-sikkerhed bliver overholdt.

Desværre er de tit mere fokuseret på, at processer og dokumentation er i orden, end at de også virker i praksis.

Den slags kontrol bør suppleres med en teknisk gennemgang.

Her skal man tjekke, at de kontroller som står opført i ringbindene, også er implementeret i it-systemerne og arbejdsprocesserne.

Vi har brug for, at andre end jurister og revisorer står for kontrollen med informationssikkerheden.

Måske skulle vi overveje at lægge ansvaret for denne tekniske gennemgang over til Datatilsynet - og så tilføre dem de nødvendige ressourcer til at løse opgaven.

Desværre er der ingen patentløsning, der garanterer mod lækager. Men ved at kombinere processer og teknologier, kan man mindske risikoen for en ny Se og Hør-skandale.

DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team.

I samarbejde med tilsvarende CERT'er over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT udsender advarsler og tager imod henvendelser om sikkerhedsrelaterede hændelser på internettet. DKCERT er en organisation i DeIC, DTU.

Shehzad Ahmad opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Daxiomatic ApS
Salg, udvikling, implementering og servicering af software til ERP

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Webinar: Tør du håndtere cyberberedskabet på egen hånd?

Der er akut behov for at øge visibilitet, indsigt og overblik, hvis man som virksomhed skal have en chance for at afværge og minimere skaden ved cyberangreb. Trusselsbilledet udvikler sig imidlertid så hastigt, at opgaven let vokser selv større virksomheder, med en eller flere dedikerede IT-sikkerhedsansvarlige, over hovedet. Bliv klogere på dette seminar.

22. september 2021 | Læs mere


GDPR i dagligdagen: Vedligeholdelse og tilsyn

Det er efterhånden ved at være noget tid siden, at vi blev introduceret til GDPR, og alle organisationer har med tiden fået styr på dataflow og håndteringen af persondata i organisationen. Mange valg har skulle træffes og det har krævet mange ressourcer. Få overblik over de seneste nye tiltag og udmeldinger fra Datatilsynet samt overblik over de seneste regler, og hvordan du håndterer dem.

23. september 2021 | Læs mere


Årets CISO 2021

I både offentlige og private organisationer er der behov for at uddanne, rekruttere og fastholde de bedste it-sikkerhedsfolk, fordi sikkerhedsudfordringerne konstant forandres. Derfor sætter vi fokus på best practice inden for it-sikkerhed, og vi vil samtidig fremhæve de personer i Danmark, der gør et ekstra stykke arbejde for at styrke den digitale sikkerhed. Vi hylder derfor årets CISO 2021 på denne konference.

05. oktober 2021 | Læs mere






Premium
Kæmpe it-problemer i det danske skattevæsen: Har kun kortlagt it-beredskabet for syv ud af 230 it-systemer
Statsrevisorerne skyder en sønderlæmmende kritik af Skatteministeriets it-beredskab af sted. It-beredskabet for kritiske forretningsprocesser "er utilfredsstillende og utilstrækkeligt," lyder det. I værste fald kan det ende med, at staten ikke kan opkræve skatter og afgifter, udbetale løn, SU, sociale ydelser og pension.
CIO
“Der har simpelthen været for få gråhårede medarbejdere involveret i den her udviklingsproces. Folk der ved, hvad der skal til”
"Vi havde ansat nogle unge mennesker i sandaler og med langt skæg for at bryde med det traditionelle it-setup. De her vakse unge mennesker fik også ret hurtigt bygget en supersmart applikation til virksomheden. Men den brager ned, da vi ruller den ud, og den fylder cirka 1,5 procent af alle transaktioner."
Job & Karriere
35-årig kvinde gik amok på hjemmekontoret efter fyring: ”De fjernede ikke min adgang, så jeg slettede p-drevet lol”
En 35-årig kvinde står anklaget for at have slettet 21,3 gigabyte data fra fællesdrevet efter, at hun blev fyret. Nu risikerer hun op til 10 års fængsel.
White paper
En opskrift på succes: Automatisér, byg videre på den eksisterende infrastruktur – og sæt kurs mod skyen
Læs hvordan en koncern satsede på en adoptiv, clouddreven fremtid – med udgangspunkt i standardisering, fleksibiitet og den eksisterende infrastruktur.