Billedet viser en FOD 5503 clamp on-kobler, som ved at krumme en optisk fiber ganske lidt kan opsnappe en kopi af de data, der overføres gennem fiberen. Indgrebet giver ingen afbrydelse i trafikken og dæmper kun signalet så lidt, at det er meget vanskeligt eller umuligt for brugeren af fiberen at afsløre.

Er nogen med på en lytter af dit fiber-netværk? Så nemt er det

Klumme: Selv om man ikke skulle tro det, og selv om man i en del år mente, at fiberkabler var umulige at aflytte, så har der de seneste 10 år eksisteret udstyr, der med største lethed er i stand til at genskabe en fuldstændig kopi af det, der overføres.

Denne klumme er et debatindlæg og er alene udtryk for skribenternes synspunkter.

I de seneste uger er stadig flere afsløringer dukket op om, at udenlandske efterretningstjenester - måske i mere eller mindre samarbejde med danske myndigheder - kan have lyttet med på vigtig dansk datatrafik.

Det må få mange danske virksomheder til at overveje, om de er "med på en lytter," eller om sikkerhedsskruen nu skal strammes.

Fiber og internet
Når danske virksomheder kobler sig på internettet, sender mail, overfører filer eller opdaterer websteder, så sker det via fiberkabler mellem lande og kontinenter.

I disse kabler overføres en enorm mængde trafik - mange terabit per sekund - og det er netop disse kabler, som er mistænkt for at være udsat for aflytning.

Selv om man ikke skulle tro det, og selv om man i en del år mente, at fiberkabler var umulige at aflytte, så har der de seneste 10 år eksisteret udstyr, der med største lethed er i stand til at genskabe en fuldstændig kopi af det, der overføres.

Ikke alene er det muligt, men det udstyr, der skal til, er forholdsvis simpelt og udnytter, at der slipper en lille smule af fiberens lys ud af kablet, når det bøjes.

Det lys, som slipper ud forstærkes op og kan så opsamles og sendes videre til filtrering og dataanalyse.

Som internet-kunde har man ingen mulighed for at påvirke hvilke kabler og hvilke veje, ens data sendes rundt i nettet, og faktisk har teleselskabet næsten lige så lidt indflydelse.

Når data har forladt det danske net, så sørger andre selskaber for transporten, og hele vejen frem til målet overføres data i et ukendt antal fiberforbindelser, som potentielt alle kan have ekstra medlytning fra diverse myndigheder.

Beskyt dine data
I dag findes der næppe nogen dansk virksomhed, som ikke er klar over, at egne data skal beskyttes, og vi har set, hvor galt det kan gå, hvis selv store virksomheder sløser med sikkerheden og angribes af hackere som kræver "løsepenge" for at frigive de data, som man har ødelagt ved at kryptere harddiske.

Senest gik det ud over amerikanske Garmin, og også danske virksomheder har været mål for sådanne ransomware angreb, eksempelvis Danish Agro

Derfor bruges der med god grund mange ressourcer på at sikre data, og heldigvis forstår virksomhederne nu alvoren.

Alligevel ser jeg ofte eksempler på, at virksomheder - også blandt dem der har datasikkerhed helt øverst på it-agendaen - er mere tøvende, når det gælder sikker transmission af data, og det er faktisk lidt af et problem - ja, rent faktisk er det et stort problem.

Teleselskabet er ikke din beskytter
Danske teleselskaber og bredbåndsudbydere kan i dag levere rigtigt kraftige internet-forbindelser til erhvervskunder og private.

I en sådan leverance indgår typisk udbyderens udstyr, f.eks. en fiberopkoblet router, som med passende installation sikrer virksomhedens livslinje til den digitale verden.

Og her slutter så leverandørens forpligtelser. Selv om udbyderen er forpligtet til en bestemt oppetid, en vis båndbredde og forsinkelse i overførslen, så gives der ingen garanti for, hvordan de øvrige omstændigheder i "produktet" er.

Det er med andre ord kundens egen hovedpine at sikre, at ingen kan få fat i virksomhedens - eller kundernes - fortrolige data, og i mange tilfælde sker det relativt smertefrit. Web browsere bruger i dag nærmest altid HTTPS så data mellem PC og server krypteres, og det samme gælder opkoblinger til mailservere og andre tjenester i nettet.

Problemet ligger et andet sted
Jeg ser typisk svagheder i virksomhedens egne interne forbindelser, for eksempel mellem filialer eller til medarbejderes hjemmearbejdspladser.

Selv om netværket er bas lås og slå, og godt beskyttet på alle arbejdssteder, så overlader mange virksomheder til teleselskabet at sørge for den sikre transport - og det er galt.

Virksomheden har ansvaret for alt data - uanset om det ligger på en server i huset, eller er på vej fra en filial til en anden, eller på vej til en medarbejder uden for huset.

Jeg møder fortsat mange virksomheder som bruger eksempelvis VPN-tunneller i offentlige MPLS-net i den tro, at data i dem er krypteret, og jeg møder lige dele skepsis og mistro, når jeg gennemgår sikkerhedsmekanismerne (eller rettere manglen på samme) i MPLS.

For selv om VPN-tunnellerne sørger for en præcis aflevering af data, så er alt, hvad der overføres, klartekst og kan dermed aflyttes på et hvilket som helst sted i nettet.

Hjemmearbejdspladsen, som kobles op m

ed ADSL, Coax eller fiber er ikke stort bedre. Internet-forbindelsen er ukrypteret, og det, der foregår i hjemmet, er ligeledes ukrypteret på lokalnetkablerne. På WiFi kan der sættes kryptering på forbindelserne men det er ikke en fuldstændig garanti imod aflytning, og påvirker ikke det der sendes ud af huset - det er fortsat ukrypteret.

Er der en nemmere løsning?
Internet-routere af en vis størrelse og pris indeholder enten krypteringsmuligheder som standard eller kan udstyres med krypteringsmoduler mod en merpris.

Her benyttes typisk IPSec, der er en internet-standard til sikring af trafik på netværkslaget, det vil sige uafhængigt af hvilke applikationer, som anvendes.

IPSec kræver manuel opsætning, som omfatter oprettelse (køb) af autoriserede nøgler (med mindre man bruger sine egne ikke-signerede). Det er en proces, som ikke er den store barriere for den trænede it-afdeling, men som kan være en både dyr og besværlig løsning at rulle ud i en større installation, og som kan være vanskelig at vedligeholde på en sikker måde i navnlig mindre virksomheder.

Man kan også vælge at bruge dedikerede krypteringsbokse, som anbringes mellem routeren og ens eget net.

Fordelen ved sådanne bokse er, at de typisk ikke kræver ekstern sikkerhedskonfiguration da nøgler og andre nødvendige parametre er indbygget i boksene.

Sådanne bokse var tidligere forbeholdt militære anvendelser, men de findes nu også i "civile" udgaver, som betyder, at man - uden forhåndsviden - kan etablere et sikkert net.

Sådanne bokse har i øvrigt typisk en sikkerhed som er mere robust end det der ses i civile routere, for eksempel kan de ikke omkonfigureres udefra, og de destruerer nøglerne, hvis boksene forsøges åbnet.

Det trusselsbillede som Center For CyberSikkerhed - CFCS - i dag tegner for Danmark, bør efter min mening betyde, at alle virksomheder bør overveje at indføre sikker kommunikation overalt i egne netværk internt som eksternt.

Merprisen er beskeden i forhold til de potentielle omkostninger et angreb mod infrastrukturen kan medføre, og desto længere man venter desto mere udsat gør man sig selv - for de kriminelle går altid efter de svageste ofre først.

Den seneste Cybertrussels vurdering fra CFCS kan ses her.

Neutral sikkerhed
Når virksomheder beskytter egne data på vej til og fra og igennem "skyen" med kryptering - hvad enten den er indbygget i applikationer, routere eller ligger i separate boxe - bliver man sikkerhedsmæssigt neutral i forhold til et hvilket som helst netværk.

Og da man som virksomhed ingen indflydelse har på teleselskabernes eller internettets leverandører, er en sådan neutral tilgang til datasikkerhed den eneste rigtige og reelle mulighed.

Og hvad "skyen" angår, så kan den få lov til fortsat at bestå af alle mulige sikre og usikre leverandører og forbindelser.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.






Premium
Knowit overtager konsulenthuset Creuna: 80 danske Creuna-medarbejdere følger med i købet
Konsulenthuset Knowit køber Creuna, der i de senere år har landet dundrende underskud. Ambitionen er nu at blive Nordens førende leverandør af datadrevet CX. 80 danske Creuna-medarbejdere følger med i købet.
Computerworld
Det nye MitID er et tigerspring for bedre cybersikkerhed
Klumme: Det nye MitID er en enestående mulighed for et markant løft af it-sikkerheden i danske kommuner. Med baggrund i udfasningen af det nuværende NemID kan de samtidig forbedre og styrke deres it-systemers værn overfor cyberangreb.
CIO
Podcast: Hos Viking Life-Saving Equipment er it gået fra at være backend til at være noget, som kunderne spørger aktivt efter
Podcast, The Digital Edge: Viking leverer en stadig større del af deres produkt som en tjeneste. Som en del af tjenesten tager Viking ansvar for sikkerheden ved at levere, dokumentere og vedligeholde det nødvendige sikkerhedsudstyr. Hør hvordan Henrik Balslev senior digital director hos Viking har løftet den opgave.
Job & Karriere
Regner din ferie væk? Brug tiden på at søge en af disse otte stillinger, der er ledige netop nu
Det sjasker ned over hele Danmark. Du kan bruge de våde sommerdage på at søge et af disse otte job, der er ledige lige nu.
White paper
Sådan sikrer du hovednøglen til jeres data
80% af alle ransomwareangreb skyldes misbrug af privilegerede brugeradgange. Ved at begrænse og overvåge adfærden på de privilegerede konti samt kontrollere mængden af tildelte rettigheder kan du mindske skaden ved hackerangreb mod din virksomhed og i visse tilfælde helt blokere dem. Internt kan du bruge kontrollen med brugeradgange til at dokumentere, hvem der bevæger sig i hvilke systemer, og hvad der foregår derinde. Privilegeret brugerstyring har de seneste to år stået øverst på Gartners Top10-liste over it-sikkerhedsprojekter, der bør få højeste prioritet. Alligevel er teknologien kun så småt ved at finde fodfæste i Danmark. Det kan viden om åbenlyse gevinster, relativ kort implementeringstid og yderst rimeligt budget være med til at ændre på. I dette whitepaper folder vi temaet privilegeret brugerstyring ud og placerer teknologien i det væld af prioriteringer, som CISO’en hver dag skal foretage.