Usikre webkameraer rammer også virksomheder: Sådan kan du undgå det

Klumme: Dårlig sikkerhed på forbrugerelektronik er både et problem for private brugere og virksomheder.

Webkameraer med fri udsigt til familiens badeværelse. Harddiske med FTP-adgang til personlige papirer og fotos.

Medierne har de seneste uger flydt over med eksempler på dårlig informationssikkerhed i danske hjem.

Kameraer er sat på internettet kun beskyttet af den adgangskode, de blev leveret med.

NAS-bokse (Network-Attached Storage) åbner for FTP, og pludselig kan hele verden se de filer, der ligger på dem.

Det udgør alvorlige problemer for de personer, det går ud over.

Men jeg frygter, at problemet ikke er begrænset til privatpersoner. Der er utvivlsomt masser af små og mellemstore virksomheder, der har lignende problemer.

Det skyldes, at grænsen mellem forbrugerelektronik og professionelt it-udstyr er flydende.

Billigt udstyr frister
For en lille virksomhed er det fristende at købe en trådløs router eller NAS-boks beregnet til hjemmemarkedet. Der er penge at spare, og de kan jo det samme - ser det da ud til.

Når det gælder de grundlæggende funktioner, er det rigtig nok. Men netop inden for sikkerhed kan der være forskel på professionelt grej og forbrugerelektronikken.

For eksempel er det ikke altid helt ligetil at koble et NAS-system til virksomhedens centrale brugerstyring.

Så skal man til at oprette brugere og passwords to steder - med alle de risici for fejl og forglemmelser, det medfører.

Gennemgå tjekliste
Er du it-ansvarlig i en mindre virksomhed, er det en ide at gennemgå alt jeres udstyr med sikkerhedsbrillerne på.

• Kan man kun konfigurere routeren fra lokalnetsiden?
• Er passwordet til administrationsgrænsefladen ændret?
• Er der lukket for UPnP (Universal Plug and Play) i jeres NAS?
• Er webkameraer sikret med adgangskoder?
• Er der sikre adgangskoder til alle brugerkonti på webkameraer, routere, NAS og andet udstyr?

De samme punkter kan du roligt også gennemgå i dit hjem. Men der er forskel på konsekvenserne: I hjemmet er det dine private data, der risikerer at komme i forkerte hænder.

I virksomheden gælder det data om dine produkter - og ikke mindst dine kunder.

Det ændrer risikovurderingen: Nu skal du også overveje, hvilke konsekvenser det får, hvis kundedata bliver lækket og misbrugt til identitetstyveri og lignende.

Brugere eller producenter
Den nylige opmærksomhed på problemet afføder et naturligt spørgsmål: Hvad kan vi gøre ved dette sikkerhedsproblem?

Der er to steder at sætte ind: Hos brugerne og producenterne.

Umiddelbart er der mest at hente ved at få producenterne til at ændre på deres produkter.

Hvis de indbygger sikkerhed i produkterne, skal brugerne ligefrem gøre en aktiv indsats for at gøre dem usikre.

Et eksempel er standardkodeord: Producenterne kan levere produkter med unikke kodeord i stedet for dem, man kan finde med hurtig søgning på nettet.

De kan også kræve, at brugeren ændrer password, når man logger på første gang.

Endelig kan de konfigurere systemerne til som standard at minimere risikoen for angreb: Slå UPnP fra, fjerne adgangen til administrationssystemet fra internet-interfacet og generelt lukke for tjenester, der ikke er afgørende for funktionaliteten.

Mærkningsordning
Jeg kan godt lide tanken. Men jeg tror desværre, den ikke er særlig realistisk.

Vi taler her om udstyr, der konkurrerer på prisen. Og det fremstilles af virksomheder i områder med lave arbejdslønninger og fokus på produktiviteten.

En asiatisk producent af trådløse routere til privatmarkedet vil ikke ændre på opsætningen, medmindre der kommer et klart krav fra markedet.

En mulighed kunne være at indføre en mærkningsordning. Udstyr med et vist sikkerhedsniveau kunne få et særligt mærke - noget i stil med det nordiske svanemærke.

Så der er altså nogle muligheder for at sætte ind på producentsiden. Men så længe pris er en afgørende parameter ved valg af produkter, får det ikke den store effekt.

Informer forbrugerne
Derfor er der brug for at gøre noget på forbrugersiden.
Her handler det i første omgang om information.

Brugerne skal have at vide, hvordan de sikrer et nyt apparat.

Og de skal forstå, hvordan sikkerheden fungerer: For eksempel at et kamera ikke er beskyttet, selvom det sidder på et trådløst net, der er beskyttet med adgangskode og kryptering.

Efterhånden som stadig flere apparater kommer på nettet, vokser sikkerhedsudfordringerne.

Vi er nødt til at uddanne brugerne, da det har lange udsigter at få producenterne til at sikre deres udstyr. Derfor er det også godt, at medierne nu tager emnet op.

DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team, der håndterer sikkerhedshændelser på forskningsnettet. I samarbejde med tilsvarende organisationer over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT er en organisation i DeIC, DTU.

Henrik Larsen opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Flere dybdegående Computerworld artikler

3 Morgen-briefing: Ny data science-uddannelse på Syddansk Universitet / Fire danske forskningsartikler optaget på ledende AI-konferencer / Dansk softwareselskab vil fordoble væksten i flere år / Twitter mister brugere men hæver omsætningen

Ny data science-uddannelse på Syddansk Universitet. Tre milliarder online transaktioner på to år og tre måneder. Fire danske forskningsartikler optaget på ledende AI-konferencer. Dansk softwareselskab vil fordoble væksten i flere år. Twitter mister brugere men hæver omsætningen.

GlobalConnect køber den danske Cisco-partner Netteam: Flere opkøb på vej
Morgen-briefing: Apple betaler kassen hver måned til Amazon / Huawei: Vi har 40 underskrevne 5G-kontrakter / Netflix afviser at dræbe sexlysten
Ugen i tech: Førerløs bus er klar til at trille i København / OnePlus 7 Pro bliver en realitet: Får ’banebrydende skærm’ / Apples kommende 6K skærm får lovende teknologi ombord
"Jeg kigger instinktivt efter blod, for jeg er sikker på, at jeg er blevet skudt. Jeg ved, at jeg er ved at dø"
8 Overblik: Så meget betaler danske virksomheder i løn til it-medarbejderne - se listerne her
1 Apple og Qualcomm indgår forlig i kæmpestrid: Apple føjer sig og indvilger i at betale - nu er vejen banet for 5G-iPhone
Morgen-briefing: MobilePay kan blive valgkampens hemmelige våben / Omada-stifter fylder 50 år / Dansk fin-tech virksomhed retter sigtekornet med det norske marked / Kapitalfond køber op i Simcorp


Premium
EG-direktør præsenterer første regnskab efter frasalg: "Vi har overgået vores egne forventninger - det har hjulpet til, at vi blev solgt for 3,7 milliarder"
Interview: EG har for første gang aflagt regnskab udelukkende for software-forretningen. Det sker efter, at serviceforretningen blev solgt fra i februar 2019. Selskabet leverer over egne forventninger "på alle væsentlige parametre," forklarer topchef Mikkel Bardram.
Computerworld
Overblik: Så meget betaler danske virksomheder i løn til it-medarbejderne - se listerne her
Overblik: Der er meget stor forskel på løn-niveauet for it-medarbejderne i de danske virksomheder. Få overblikket over, hvor lønnen er højest og lavest her.
CIO
SAP's nye nordiske direktør: "De seneste uger har jeg besøgt en del kunder her i Norden - og alle talte om at vende tilbage til en eller anden form for standard."
Det store ryk til cloud brød med mange års it-konsolidering og skabte komplicerede it-miljøer. Men nu peger kundernes kompas den anden vej, fortæller erfaren SAP-boss efter nordisk rundrejse.
Job & Karriere
"Vi var fem mennesker, der fik 400 millioner kroner, et lokale på 12 m2 og et stempel fra Undervisningsministeriet. Det kalder jeg mit første start-up. Det blev til IT-Universitetet. "
"Da jeg var færdig med PhD´en så var vi fem mennesker, der fik 400 millioner kroner, et lokale på 12 m2 og et stempel fra Undervisningsministeriet. Så skulle vi bare have et nyt universitet op og køre på seks måneder. Det kalder jeg mit første start-up. Det blev til IT-Universitetet."
White paper
Hvad gør du? Printsikkerhed er en trussel for din virksomhed!
Du tænker nok: Er printere virkelig så stort en sikkerhedstrussel? På mange måder ja, for i en tid med konstante angreb, er en printer et nemt og ofte overset mål. Blandt andet viser undersøgelsen i dette whitepaper, at der er 68% større sandsynlighed for at printere er kilden til en ekstern trussel eller brist, end der var i 2016, og hele 118% større sandsynlighed for sker internt. Med dette in mente er det overraskende, at kun 30% af de adspurgte it-professionelle anerkender at printere udgør en sikkerhedsrisiko. Læs dette whitepaper og bliv klar over hvad det er du skal være opmærksom på.