Artikel top billede

Digital sikkerhed: Det er da meget godt med processer - men du får ikke god sikkerhed uden god teknologi

Klumme: Organisation og processer er vigtige, men informationssikkerheden halter, hvis vi ikke udnytter de tekniske sikkerhedsprodukter.

Sikkerhedspolitik. ISO 27001. Ledelsesinvolvering.

Nogle gange kan det virke som om, informationssikkerhed udelukkende handler om regler, procedurer og organisation.

Men det er en misforståelse. Tekniske redskaber spiller stadig en vigtig rolle.

Faktisk er det ikke muligt at sikre informationer uden brug af teknologi.

Det seneste år har vi hørt om flere sager, hvor fortrolige persondata kom i de forkerte hænder.

Hos en af landets regioner havde alle autoriserede personalegrupper adgang til alle data om de patienter, regionen behandlede.

Piccoliner, præster og musikterapeuter kunne læse data om alle patienter, der blev behandlet.

Det lyder som et tilfælde, hvor der ikke var styr på, hvem der skulle have adgang til hvad.

Politikker er ikke nok

Det kan man prøve at styre med politikker: Regionen kan angive i ansættelsesaftalen, hvilke data hver enkelt type bruger har lov til at se.

Det hører med. Men det er ikke nok.

Regler og politikker er vigtige. Men de skal suppleres med tekniske tiltag, der gør det sværere at omgå dem.

Det aktuelle tilfælde handler om adgangskontrol.

Det er en af de ældste og mest gennemprøvede teknikker inden for informationssikkerhed: Begræns teknisk, hvad en bruger har adgang til.

Det kan være på filniveau: Brugeren med dette brugernavn må kun tilgå filer i disse mapper.

Eller det kan være på databaseniveau: Brugeren må kun tilgå disse felter i disse tabeller.

Adgangskontrol burde ikke udgøre en udfordring, når man udvikler et system til behandling af personfølsomme data.

Standard har kontroller

Jeg vil gerne understrege, at der ikke er tale om en konflikt mellem regel-tilgangen og den tekniske tilgang. Tværtimod.

ISO 27001-standarden har et helt afsnit med såkaldte kontroller.

Nogle af dem handler om regler og procedurer, men andre er praktiske teknologier, der kan bruges til at sikre, at en regel bliver håndhævet i praksis.

Adgangskontrol er et vigtigt element.

Men hvad nu, hvis den svigter, og de ansatte snager i data om patienter, de ikke har brug for at vide noget om?

Her er der brug for en anden teknisk kontrol: Logning.

Logning giver os mulighed for at følge op på, om reglerne bliver overholdt.
Hvis adgangskontrollen ikke er finmasket nok til at forhindre misbrug, kan loggen vise os, om misbrug finder sted.

Logning er vigtig. Det ved hackere også.

Det er ikke tilfældigt, at hackere gerne slår logningen fra som noget af det første, når de har kompromitteret et system.

Det sletter deres spor, så det bagefter er vanskeligt at afgøre, hvilke skader de har forårsaget.

Kig i logfilen

Så en logfil er et rigtig nyttigt redskab. Men det kræver, at den bliver brugt.

Rigtig mange organisationer kigger kun i logfilerne, når der er et problem. Så bliver loggen brugt til at finde ud af, hvornår problemet opstod og under hvilke omstændigheder.

Det er fint. Men det er ikke nok.

Skal loggen tjene et sikkerhedsmæssigt formål, skal den også analyseres, selvom der ikke er en umiddelbar anledning til det.

Loggen giver et overblik over, hvad der foregår i et it-system. Når vi kigger på det billede, kan vi opdage problemer.

Måske er der mange mislykkede forsøg på at logge ind på en bestemt tjeneste.

Det kan være anledning til at undersøge, hvor de forsøg stammer fra. Hvis de kommer ude fra internettet, skal man måske overveje at begrænse adgangen til login-systemet.

Nogle gange kan en log direkte vise, at et system er blevet kompromitteret. Logfilen fra en webserver kan afsløre en transaktion, der udnytter en sårbarhed til at inficere serveren.

De tre elementer

Informationssikkerhed opstår i en kombination mellem mennesker, procedurer og teknologi. Alle tre elementer skal være til stede, for at vi kan opnå den grad af sikkerhed, vi ønsker.

Vores valg af sikkerhedsniveau afhænger altid af en risikovurdering.

Her spiller rammeværker som ISO 27001 en vigtig rolle. De kan hjælpe os med at udvikle vores sikkerhedspolitik.

Men derefter skal teknologien i spil: Firewalls, adgangskontrol, antivirus, logovervågning, IDS (Intrusion Detection System) og hvad producenterne ellers tilbyder af værktøjer.

Så mit budskab er: Den ledelsesmæssige og organisatoriske del af sikkerhedsarbejdet er vigtig, men kan ikke stå alene.

Der skal konkret teknologi til at håndhæve reglerne og implementere politikkerne i praksis.

DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team, der håndterer sikkerhedshændelser på forskningsnettet. I samarbejde med tilsvarende organisationer over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT er en organisation i DeIC, DTU.

Henrik Larsen opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
IT Relation A/S
Outsourcing, hosting, decentral drift, servicedesk, konsulentydelser, salg og udleje af handelsvarer, udvikling af software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere


How to Sikkerhed: Awareness, email fraud og phishing

Man kan aldrig vide sig sikker, for uanset hvor godt man sikrer sig mod hackerangreb og anden svindel, vil hacker næsten altid være et skridt foran. De går efter organisationernes svageste led i håbet om at kunne snyde sig til data, penge eller andet værdifuldt. Få derfor konkrete bud på, hvordan du kan gribe opgaven an og understøtte et effektivt awareness-niveau i din organisation med enkel, men velfungerende, teknologi.

17. november 2021 | Læs mere


Microsoft 365: Gør klar til store prisstigninger

For første gang i mange år hæver Microsoft til foråret priserne på enterprise-udgaverne af Microsoft 365, som er meget udbredte i danske organisationer. Hør om mulighederne i Microsoft 365-pakkerne. Og hør, hvordan du med god license management har mulighed for at trimme dit setup, inden prisstigningerne på op til 25 procent træder i kraft 1. marts 2022.

19. november 2021 | Læs mere