Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter
For nylig stod Solarwinds topchef, Sudhakar Ramakrishna, frem og forklarede, at årsagen til en af verdenshistoriens største hackersager var en praktikant, der havde anvendt et password, der var for nemt at afkode.
Tænk at vælge at give en praktikant skylden. Det kan ikke være rigtigt.
Men både CNN og Computerworld, der begge står som formidlere af historien, er jo seriøse og anerkende medier, så der er med garanti kød på historien, som du kan læse her: Brugte passwordet solarwinds123 – nu giver Solarwinds tidligere topchef praktikanten skylden
Men det her er simpelthen for dumt.
For det første er det meget ufint at skyde skylden på en medarbejder – praktikant eller fastansat. Uanset om medarbejderen har begået en fejl eller ej, så vil det altid være ledelsens ansvar og dermed ledelsen, der bør tage skylden.
Det er vel ledelsens skyld
Man kan også argumentere for, at det et eller andet sted er ledelsens skyld.
Uden at forklejne medarbejderne viden og kompetencer, så er it-sikkerhed ikke nødvendigvis en kernekompetence hos alle.
Derfor må man forvente, at ledelsen uddanner sine medarbejdere i sikker it-adfærd, og konstant holder dem ajour med hensyn til det aktuelle trusselsbillede.
Det kan jo ikke være meningen, at det er medarbejdernes eget ansvar at finde ud af dos and don’ts i cyberspace.
Arbejdspladsen ender på den måde med at blive et minefelt, hvilket ikke kan være befordrende for arbejdsglæden og kreativitet.
Selv når uddannelse og information er på plads, bør der i enhver organisation alligevel være plads til fejltagelser og en høj grad af åbenhed omkring dem.
Det er en kendt sag, at jo hurtigere et brud bliver opdaget, jo bedre kan man nå at begrænse omfanget af bruddet.
Så en politik om, at man rækker hånden op og giver besked, hvis man er kommet til at klikke på et link, åbne en fil eller opdager, at ens computer opfører sig underligt, vil være anbefalelsesværdig i stort set alle organisationer.
Hvor er risikovurderingen?
En anden ting ved denne historie, der undrer mig, er, at man tilsyneladende slet ikke har foretaget en risikovurdering af sine data og/eller systemer.
Hvis et databrud kan få så vidtrækkende konsekvenser, at det for eksempel kommer til at ramme dine kunder, ja så må der siges at være tale om forretningskritiske data - altså ikke data, man kan behandle på en så lemfældig måde, at man lader ’ikke-it-sikkerhedsmedarbejdere’ få adgang til dem.
Hvorfor har man overhovedet givet en praktikant adgang til disse data – ja endda bedt vedkommende om at generere det password, der giver andre adgang til dem?
Selv den dygtigste og mest tech-savvy praktikant er stadig ikke ansat i virksomheden og må derfor betragtes som en ’fremmed’ uden fast tilknytning til virksomheden.
Uanset hvor gerne man vil give praktikanten meningsfyldte arbejdsopgaver, så virker det fuldstændig forrykt at sætte virksomheden datasikkerhed over styr og endda påføre sine kunder skade.
Tænk også på den stakkels praktikant. Hvilket traume må det ikke være at skulle gå videre ud i erhvervslivet med det gigantisk ar på sjælen, det er at have været den person, der indirekte var årsag til, at et af verdenshistoriens største hackerangreb ramte netop hans/hendes praktikplads.
Man skal være temmelig hårdhudet for at børste den af sine skuldre og komme videre.
Det er ikke en fair behandling af nogen, men i særdeleshed ikke af en helt ung og utrænet praktikant, der er i marken for at gøre sine første erfaringer i erhvervslivet.
Der bør være et stort skilt med ’adgang forbudt for ikke-it-sikkerhedsmedarbejdere’ på døren ind til it-afdelingen.
Det her lyder lidt som en virkelig dårlig forklaring på fadæsen.
Jeg har naturligvis ikke indsigt til at vide, hvor tæt denne forklaring ligger på sandheden, Men jeg tør godt gætte på, at det sandsynligvis ikke er den fulde forklaring.
Det begrænser jo andre virksomheders mulighed for at lære af denne hændelse, men de kan naturligvis på bagkant af dette sikre, at de ikke giver praktikanter adgang til deres kritisk data, hvilket dog næppe er et særlig udbredt problem.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.