Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 29. august 2003.
sikkerhedseksperten: Det er de mindre og mellemstore virksomheder, der har det sværest i kampen mod it-sikkerhedsproblemerne, mener Ivan Damgaard, der er leder af Forskningscenter for kryptografi og datasikkerhed ved Aarhus Universitet.
Hvad er den største trussel mod virksomhedernes it-systemer idag?
- En nylig rapport fra Videnskabsministeriet viser, at vanskeligheder med at konfigurere it-løsningerne faktisk er det største problem - især for mindre virksomheder, der ofte savner de nødvendige kompetencer. Måske virksomheden har en backup-løsning, men det er ikke sikkert, man ved, om den rent faktisk virker, og om man kan gendanne et nedbrudt system fra den. Konfigureringsproblemerne er således ikke så meget et spørgsmål om systemernes kompleksitet, men mere et spørgsmål om at få etableret en række nødvendige rutiner.
- På en delt andenplads over de største gener kommer virusangreb og spam.
Der er løbende debat om, hvorvidt Windows-baserede systemer er mere udsatte end Unix- og Linux-baserede løsninger, når det gælder angreb udefra. Forholder det sig i virkeligheden sådan og i så fald hvorfor?
- Er man virusudvikler vil man typisk søge at opnå den største effekt når virusen sendes i omløb. Windows-maskiner er derfor mere udsat for denne type angreb end Unix- og Linux-maskiner - simpelthen fordi langt flere brugere sidder ved en Windows-pc.
- Men man må alligevel gøre sig klart, at hverken DOS eller Windows er født med sikkerhed i tankerne, og de var heller ikke egentlige flerbrugersystemer fra starten. Selve sikkerhedsmodellen er kommet til sidenhen og det gør en væsentlig forskel, sammenlignet med Unix og Linux, hvor for eksempel adskillelse mellem forskellige brugeres filer er tænkt ind fra begyndelsen.
- Om sikkerheden skal være en del af overvejelsen ved valg af platform afhænger i høj grad af situationen. Er der tale om systemer, der skal sættes op inden for et netværk, som allerede er godt beskyttet, er det ikke helt så afgørende, om man vælger det ene frem for det andet. Men er man eksempelvis en mindre virksomhed med få maskiner, hvor webserveren måske kører på samme maskine som filserveren og software-firewallen, så giver det god mening at tænke over valget af platform, alene ud fra en sikkerhedsvinkel.
Gør det offentlige nok for at højne sikkerhedsniveauet i de danske virksomheder, og er det overhovedet en offentlig opgave?
- Verden er på mange måder blevet større. Mange parter er involveret i de transaktioner, der foregår på internettet, og ikke alle har samme interesser. Det er derfor oplagt, at opgaver med at etablere den nødvendige lovgivning, opstille normer og regler samt informere om it-sikkerhed, ligger i offentlig regi. Og her synes jeg faktisk, at det offentlige gør, hvad der skal til. Et godt eksempel er arbejdet med digital signatur, der ikke ville give megen mening, hvis det ikke lå i offentligt regi. Et andet område er lovgivning om eksempelvis spam, der kører i EU-regi.
Har it-sikkerhed tilstrækkeligt fokus fra beslutningstagerne i virksomhederne, eller spares der for meget på it-sikkerhedsbudgetterne?
- Dette afhænger igen af virksomhedernes størrelse. It-sikkerhed har meget stort fokus i de større virksomheder, og der bevilges typisk de nødvendige ressourcer. I mindre og mellemstore virksomheder har it-sikkerhed også høj prioritet, og det er ikke mit indtryk, at man som sådan sparer på budgetterne. Problemet er blot, at man - i modsætning til de store virksomheder - ganske enkelt ikke ved, hvad man skal stille op.
- Antivirus-løsninger er efterhånden blevet kasseprodukter, der nemt kan installeres og vedligeholdes, men det er langt fra tilfældet, når man ser på resten af spektret af sikkerhedsprodukter. Igen er det et spørgsmål om manglende viden og kompetencer, for disse størrelser virksomheder har oftest ikke en egentlig it-afdeling, der har it-sikkerhed som en fast del af arbejdsområdet, men har overladt opgaven til en eller flere it-ansvarlige, der har det som en sidebeskæftigelse. Og hvis man kun med nød og næppe kan få backup-løsningen til at virke, så kan det være svært at skulle interessere sig for krypteringsløsninger og firewalls.
Billedtekst:
Ivan Bjerre Damgaard er lektor ved Datalogisk Institut ved Aarhus Universitet, centerleder ved Forskningscenter for kryptografi og datasikkerhed, FICS, der er etableret i et samarbejde mellem Datalogisk Institut ved Aarhus Universitet og Matematisk Institut ved Danmarks Tekniske Universitet, samt medstifter af konsulent- og softwarefirmaet Cryptomathic. Foto: Torben Klint