Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 13. december 2002.
Bedre forsvar! Bedre forsvar! lyder dagens it-kampråb. Men tykkere firewalls, super-antivirus og uigennemtrængelig kryptering er ubrugelige mod den rigtige fjende. Det er nemlig virksomheden selv.
Sikkerhed
Meget passende kunne der på it-chefens bord stå et skilt med teksten 'Vi har mødt fjenden, og det er os selv'.
Citatet stammer fra den amerikanske kulttegneserie Pogo og er egentlig en kommentar om, hvem det er, der bringer os i uføre, men citatet er også relevant, når vi taler om it-sikkerhed.
Og den reelle sikkerhedsdebat bør begynde langt inden for firewallen. For de fleste seriøse sikkerhedseksperter er enige om, at den største it-sikkerhedstrussel kommer fra virksomhedens egne ansatte.
Derfor starter al sikkerhed med at definere en sikkerhedspolitik. Intern som ekstern. Når den er på plads, kan man bruge redskaber som antivirus, firewalls og kryptering.
Selv om medierne ofte skildrer hackere som en form for it-autonome, hvis største ambition er at slette enhver harddisk, er dette ren Hollywood-fiktion.
Fjenden sidder indenfor
I virkeligheden er de største problemer ansatte i virksomheden, der for eksempel tager kundedatabasen med på en cd, når de bliver fyret. Eller ansatte, der direkte medvirker til industrispionage på alle planer.
Disse interne sikkerhedsproblemer er bare ikke så sexede som de frådende hackere, men ifølge Computer Associates og FBI står de interne angreb for mellem 60 til 80 procent af al it-kriminalitet, målt i værdi.
Over for de problemer hjælper ingen firewall eller antivirus.
Men for mange virksomheder er problemet, at personalefunktionen ikke ved nok om it, og at it-funktionen er fokuseret på teknologi.
Derfor slipper teknologibudskaberne fra fabrikanterne af sikkerhedssoftware let igennem, og sikkerhed bliver til et it-ord uden organisatorisk indhold.
Revisorer på banen
Det har fået revisions-virksomhederne til at gå ind på markedet. For Deloitte & Touche, KPMG, Prince WaterhouseCoopers rådgiver i forvejen virksomhederne om deres økononomi, hvilket betyder, at springet til også at rådgive om it-sikkerhed ikke er så stort, fordi en væsentlig del af en virksomheds aktiver ligger i form af data på it-systemernes diske. Og lige revisorerene finder langt mere lydhøre ører i direktionen end en it-konsulent.
Kuren er sikkerhedspolitik
Men der er stadigvæk alle epost-ormene og website-hackerne tilbage. Langt de fleste angreb sker af såkaldte script-kiddies, der finder hacker-værktøj via internet, og mere eller bevidstløs prøver sig frem
Disse værktøjer er designet af den lille flok af rigtige it-autonome, der vil vise deres dygtighed. Det står i modsætning til de script-kiddies, der typisk er teenagere, der gerne vil have opmærksomhed.
Det får de så ved at tilsvine web-servere eller mutere en epost-orm, og se den ivrige dagspresse udråbe dem til it-monstre.
Cyber-terrorist
Kuren er her igen en sikkerhedspolitik for opdatering af sikkerhedssoftware samt alle eksterne servere og netværksenheder.
For en script-kiddies hackersystem udnytter sikkerhedshuller i bestående software, som de it-ansvarlige ikke har fået lukket på grund af manglende sikkerhedspolitik.
Og 2002 har budt på en samling af grimme orme, der alle har udnyttet den manglende sikkerhed i Microsofts Outlooks epost-klient. Det er specielt Microsoft, det er gået ud over på grund af deres store markedsandel for kontorpakker. Indtil nu har den største skade ved disse orme været overfyldte epost-servere fra Microsoft.
Men flere sikkerhedseksperter venter, at der på et tidspunkt dukker en cyber-terrorist op, der i stedet kigger efter sikkerhedshuller i for eksempel SAP/R3, og når ERP/CRM-systemet og kundedatabasen er fyldt med hackergrafitti, så er det for sent at overveje en sikkerhedspolitik.
