Søg

DK-CERT: Du kan sagtens undgå at miste data

Bedre kontrol med brugt udstyr, partnere og applikationssikkerhed mindsker risikoen for tab af fortrolige data, skriver Shehzad Ahmad, leder af DK-CERT, i denne måneds klumme om it-sikkerhed.

27. juni 2008 kl. 14.31
Artikel top billede
Shehzad Ahmad Shehzad Ahmad Head of it security, IF

Delstaten Kansas sælger sine gamle computere, når den ikke længere skal bruge dem.

For nylig var 15 pc'er klar til salg. Før de nåede ud af døren, blev de dog undersøgt en ekstra gang.

På syv af dem fandt man fortrolige oplysninger. En af dem havde således en fil, der indeholdt 2.856 sygesikringsnumre (USA's svar på cpr-nummeret).

Hvis pc'erne ikke var blevet udsat for det ekstra tjek, ville de fortrolige oplysninger være endt hos uvedkommende.

Efter at der kom lovkrav om offentliggørelse af den slags sager, hører vi jævnligt om dem.

Virksomheder og myndigheder mister fortrolige data, som kunder og samarbejdspartnere har betroet dem.

Man kan sagtens gøre noget

Men sådan behøver det ikke være. Det viser en undersøgelse, som teleselskabet Verizon Business har udarbejdet.

Den har analyseret 500 sager med tab af data.

Det viser sig, at kunne tabet have været undgået i 87 procent af sagerne, hvis man blot havde taget "rimelige forholdsregler."

Slet diskene

En rimelig forholdsregel kan for eksempel være, at man har en fast procedure for salg af brugt udstyr.

En pc må ikke blive solgt, før dens disk er blevet slettet med et effektivt sletningsprogram.

En anden oplagt forholdsregel er, at alle bærbare pc'er skal udstyres med krypterede harddiske.

På den måde kan uvedkommende kun få adgang til data, hvis de kan gætte adgangskoden. Det mindsker risikoen for datatab som følge af tyveri.

Undersøgelsen fra Verizon viser også noget andet interessant: Kun i 18 procent af sagerne skyldtes datatabet virksomhedens egne medarbejdere. Langt de fleste sager var startet af folk udefra.

Hertil skal det dog siges, at undersøgelsen handler om sager, som Verizons sikkerhedsfolk er blevet hyret til at efterforske.

Derfor er sagsmaterialet ikke nødvendigvis repræsentativt.

I nogle tilfælde kan virksomheder opdage en uærlig medarbejder og selv tage affære uden at inddrage andre.

Pas på partnerne

Samarbejdspartnere var involveret i 39 procent af sagerne.

Det viser den øgede risiko, som det medfører, at virksomheder i dag fungerer i netværk med tætte relationer med mange partnere.

Flere af disse sager var af typen, hvor en samarbejdspartner havde adgang til et system, som en udefrakommende angriber så misbrugte.

Til at beskytte mod den slags kan man indføre skrappere kontrol med sikkerheden ikke kun i ens egen organisation, men også hos partnere.

Og man kan bruge systemer til at styre oprettelse og nedlæggelse af brugerkonti, så gamle konti ikke står åbne, længe efter at et samarbejde er ophørt.

I sager hvor tab af data skyldtes bevidste forsøg, udgjorde hackerangreb 59 procent.

39 procent af hackerangrebene var rettet mod applikationslaget, mens 23 procent var rettet mod operativsystemet eller systemplatformen.

18 procent af hackerangrebene udnyttede kendte sårbarheder, som der fandtes sikkerhedsrettelser til.

Fem procent udnyttede hidtil ukendte sårbarheder. Og 15 procent brugte en bagdør, der tidligere var blevet installeret.

Tallene viser, at hvor angreb for nogle år siden typisk var rettet mod operativsystemet og tjenester som FTP og NetBIOS, er de nu rykket op til applikationslaget. Og det er svært at beskytte.

Systemsoftware kommer fra nogle få leverandører, mens applikationer ofte er udviklet eller tilrettet af den enkelte virksomhed.

[b]Opdater systemer[7b]
En interessant detalje angående sårbarheder: 18 procent af angrebene udnyttede altså velkendte sårbarheder, som virksomhederne kunne have været beskyttet imod, hvis de havde holdt deres systemer opdateret.

Og ingen af angrebene var rettet mod sårbarheder, der var rettet inden for den seneste måned før angrebet.

Man behøver altså ikke nødvendigvis opdatere samme dag, som en opdatering udkommer.

Det er mere vigtigt, at man holder alle systemer opdateret, ikke kun udvalgte.

Mit råd lyder: Skriv en sikkerhedspolitik og implementer den. Så vil jeres virksomhed have mindre risiko for at miste fortrolige data.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.

DK-CERT's leder, Shehzad Ahmad, opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Årets CIO 2026

    Event: Årets CIO 2026

    Andre events | Kongens Lyngby

    Vi samler Danmarks stærkeste digitale ledere til en dag med viden og visioner. Årets CIO 2026 fejrer 21 års jubilæum, og NEXT CIO sætter spotlight på næste generation. Deltag og bliv inspireret til at forme fremtidens strategi og eksekvering.

    4 juni 2026 | Gratis deltagelse

    Region Midtjylland

    Er du vores nye it-supportertalent? Bliv lærling i Digitalisering og It i Region Midtjylland

    Midtjylland

    TV2

    Identity & Access Management Automation Engineer til IAM-teamet

    Fyn

    Ennova A/S

    Senior Developer

    Midtjylland

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Cyberdivisionen søger en IT-supporterelev til lokal IT servicecenter i Ballerup

    Københavnsområdet

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Jakob Dirksen, SVP, Nordic Customer Delivery & Operations hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Infrastructure Delivery & Operations. Han skal fremover især beskæftige sig med at lede Infrastructure Delivery & Operations, der har til opgave at drive og udvikle fibernetværket på tværs af virksomheden. Forfremmelse

    Jakob Dirksen

    GlobalConnect

    Khaled Zamzam, er pr. 1. marts 2026 ansat hos Immeo som Consultant. Han er nyuddannet i Informationsteknologi fra DTU. Nyt job

    Khaled Zamzam

    Immeo

    Immeo har pr. 1. februar 2026 ansat Claes Justesen som Principal. Han kommer fra en stilling som Director hos Valtech. Nyt job

    Claes Justesen

    Immeo

    Immeo har pr. 9. marts 2026 ansat Henrik Søndergaard Andersen som Lead UX Specialist. Han kommer fra en stilling som UX Strategist og Platformsansvarlig hos Dansk Industri. Han er uddannet i Digital Design og Kommunikation fra IT Universitetet. Nyt job

    Henrik Søndergaard Andersen

    Immeo

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Microsofts største Copilot-ordre nogensinde: Udruller Copilot til 743.000 ansatte - forventer markante forbedringer
    2 Google-ansatte i fælles opråb: Vil have topchef Sundar Pichai til at gribe ind
    3 Guide: Sådan bør du skifte mellem ChatGPT, Claude og Gemini
    4 Morgen-briefing: I dag kan vigtig it-lov fra EU blive godkendt / App kan alligevel ikke anvendes til roadpricing herhjemme / Schweizere ved at bygge verdens største batteri
    5 Om en måned ændrer Microsoft markant i vilkår for brug af Copilot GitHub - indfører ny betalingsmodel
    6 Holstebro Kommune holder sine data langt væk fra tech-giganter: Her er løsningerne, som kommunen anvender i stedet
    7 Midt i en hardware-krise er det faktisk blevet sjovt at shoppe skærm
    8 It-system skaber kaos i europæiske lufthavne

    Se seneste uge