Søg

Digital sikkerhed: Det er da meget godt med processer - men du får ikke god sikkerhed uden god teknologi

Klumme: Organisation og processer er vigtige, men informationssikkerheden halter, hvis vi ikke udnytter de tekniske sikkerhedsprodukter.

28. august 2015 kl. 14.30
Artikel top billede
Henrik Larsen Henrik Larsen Chef for DKCERT

Sikkerhedspolitik. ISO 27001. Ledelsesinvolvering.

Nogle gange kan det virke som om, informationssikkerhed udelukkende handler om regler, procedurer og organisation.

Men det er en misforståelse. Tekniske redskaber spiller stadig en vigtig rolle.

Faktisk er det ikke muligt at sikre informationer uden brug af teknologi.

Det seneste år har vi hørt om flere sager, hvor fortrolige persondata kom i de forkerte hænder.

Hos en af landets regioner havde alle autoriserede personalegrupper adgang til alle data om de patienter, regionen behandlede.

Piccoliner, præster og musikterapeuter kunne læse data om alle patienter, der blev behandlet.

Det lyder som et tilfælde, hvor der ikke var styr på, hvem der skulle have adgang til hvad.

Politikker er ikke nok

Det kan man prøve at styre med politikker: Regionen kan angive i ansættelsesaftalen, hvilke data hver enkelt type bruger har lov til at se.

Det hører med. Men det er ikke nok.

Regler og politikker er vigtige. Men de skal suppleres med tekniske tiltag, der gør det sværere at omgå dem.

Det aktuelle tilfælde handler om adgangskontrol.

Det er en af de ældste og mest gennemprøvede teknikker inden for informationssikkerhed: Begræns teknisk, hvad en bruger har adgang til.

Det kan være på filniveau: Brugeren med dette brugernavn må kun tilgå filer i disse mapper.

Eller det kan være på databaseniveau: Brugeren må kun tilgå disse felter i disse tabeller.

Adgangskontrol burde ikke udgøre en udfordring, når man udvikler et system til behandling af personfølsomme data.

Standard har kontroller

Jeg vil gerne understrege, at der ikke er tale om en konflikt mellem regel-tilgangen og den tekniske tilgang. Tværtimod.

ISO 27001-standarden har et helt afsnit med såkaldte kontroller.

Nogle af dem handler om regler og procedurer, men andre er praktiske teknologier, der kan bruges til at sikre, at en regel bliver håndhævet i praksis.

Adgangskontrol er et vigtigt element.

Men hvad nu, hvis den svigter, og de ansatte snager i data om patienter, de ikke har brug for at vide noget om?

Her er der brug for en anden teknisk kontrol: Logning.

Logning giver os mulighed for at følge op på, om reglerne bliver overholdt.
Hvis adgangskontrollen ikke er finmasket nok til at forhindre misbrug, kan loggen vise os, om misbrug finder sted.

Logning er vigtig. Det ved hackere også.

Det er ikke tilfældigt, at hackere gerne slår logningen fra som noget af det første, når de har kompromitteret et system.

Det sletter deres spor, så det bagefter er vanskeligt at afgøre, hvilke skader de har forårsaget.

Kig i logfilen

Så en logfil er et rigtig nyttigt redskab. Men det kræver, at den bliver brugt.

Rigtig mange organisationer kigger kun i logfilerne, når der er et problem. Så bliver loggen brugt til at finde ud af, hvornår problemet opstod og under hvilke omstændigheder.

Det er fint. Men det er ikke nok.

Skal loggen tjene et sikkerhedsmæssigt formål, skal den også analyseres, selvom der ikke er en umiddelbar anledning til det.

Loggen giver et overblik over, hvad der foregår i et it-system. Når vi kigger på det billede, kan vi opdage problemer.

Måske er der mange mislykkede forsøg på at logge ind på en bestemt tjeneste.

Det kan være anledning til at undersøge, hvor de forsøg stammer fra. Hvis de kommer ude fra internettet, skal man måske overveje at begrænse adgangen til login-systemet.

Nogle gange kan en log direkte vise, at et system er blevet kompromitteret. Logfilen fra en webserver kan afsløre en transaktion, der udnytter en sårbarhed til at inficere serveren.

De tre elementer

Informationssikkerhed opstår i en kombination mellem mennesker, procedurer og teknologi. Alle tre elementer skal være til stede, for at vi kan opnå den grad af sikkerhed, vi ønsker.

Vores valg af sikkerhedsniveau afhænger altid af en risikovurdering.

Her spiller rammeværker som ISO 27001 en vigtig rolle. De kan hjælpe os med at udvikle vores sikkerhedspolitik.

Men derefter skal teknologien i spil: Firewalls, adgangskontrol, antivirus, logovervågning, IDS (Intrusion Detection System) og hvad producenterne ellers tilbyder af værktøjer.

Så mit budskab er: Den ledelsesmæssige og organisatoriske del af sikkerhedsarbejdet er vigtig, men kan ikke stå alene.

Der skal konkret teknologi til at håndhæve reglerne og implementere politikkerne i praksis.

DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team, der håndterer sikkerhedshændelser på forskningsnettet. I samarbejde med tilsvarende organisationer over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT er en organisation i DeIC, DTU.

Henrik Larsen opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.

Mere om samme emne

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    Netcompany A/S

    Network Engineer

    Nordjylland

    ABENA

    SAP S/4HANA Finance Consultant (FICO)

    Sydjylland

    TV2

    Informationssikkerhedskonsulent til TV 2

    Københavnsområdet

    Region Midtjylland

    Tester med teknisk flair til national it-løsning - LUNA

    Midtjylland

    Se flere it-stillinger
    Cyber Security Festival 2025

    Event: Cyber Security Festival 2025

    Sikkerhed | København

    Mød Danmarks skrappeste it-sikkerhedseksperter og bliv klar til at planlægge og eksekvere en operationel og effektiv cybersikkerhedsstrategi, når vi åbner dørene for +1.200 it-professionelle. Du kan glæde dig til oplæg fra mere end 50 talere og møde mere end 30 leverandører over to dage.

    4. & 5. november 2025 | Gratis deltagelse

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    Signifly har pr. 1. august 2025 ansat Anders Kirk Madsen som Tech Lead. Anders skal især beskæftige sig med at hjælpe Signiflys offentlige og private kunder med at styrke forretningen gennem teknisk solide løsninger. Anders kommer fra en stilling som Business Architect hos SOS International. Nyt job

    Anders Kirk Madsen

    Signifly

    Immeo har pr. 1. oktober 2025 ansat Malthe Søgaard Sørensen som Consultant. Han kommer fra en stilling som Software udvikler hos Rohde & Schwarz. Han er uddannet Computer Scientist fra Aalborg Universitet. Nyt job

    Malthe Søgaard Sørensen

    Immeo

    Adeno K/S har pr. 22. september 2025 ansat Steen Riis-Petersen som ServiceNow Expert. Han kommer fra en stilling som Senior Manager hos Devoteam A/S. Nyt job

    Steen Riis-Petersen

    Adeno K/S

    Norriq Danmark A/S har pr. 1. september 2025 ansat Niels Bjørndal Nygaard som Digital Product Lead. Han skal især beskæftige sig med designe og implementere effektive IT-løsninger. Han har tidligere beskæftiget sig med at være digital consultant og project Manager hos Peytz & Co. Nyt job

    Niels Bjørndal Nygaard

    Norriq Danmark A/S

    Se mere fra navnenyt

    Mest læste

    1 Hackere siger, at de har angrebet DSV med succes: "Vi behandler sagen med stor alvor"
    2 Sådan har danske Naviair udskiftet sine servere, flyttet fra Windows til Linux og opgraderet sit SAP-system i et hug
    3 De rettede en simpel parabol mod himlen og blev chokerede: Dine data kan flyde ukrypteret rundt i rummet
    4 Du bliver nødt til at tage truslen fra teenageværelset alvorligt
    5 Microsoft har opdaget hele 175 sårbarheder i sine løsninger: Du skal opdatere nu
    6 Nomineret til Årets CISO 2025: Pia Klinge fra GN Store Nord sov næsten ikke i 14 dage under cyberangreb - nu er det ikke længere hackere, hun frygter mest
    7 Nu begynder retssagen, der kan ryste ERP-verdenen
    8 Microsoft får ledende rolle i stort open source-samarbejde: Vil omskrive firmware

    Se seneste uge