Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 2. april 2004.
Økonomi- og Erhvervsministeriet spares for penge og bekymringer, efter at visse dele af sikkerhedsopgaven er udliciteret til TDC.
Økonomi- og Erhvervsministeriet har foreløbig sparet 30-35 procent på budgettet til it-sikkerhed som følge af en outsourcing af langt de fleste sikkerhedsopgaver til TDC IT Sikkerhed.
Sikkerhedsmæssigt udgør ministeriet ellers noget af en jungle grundet de mange parter - departementet, de 11 styrelser og de mange institutioner af vidt forskellig "forretningsmæssig" karakter. Tidligere havde alle hver deres sikkerhedsforanstaltninger og -politikker, men der er nu sket en vis grad af centralisering.
De største besparelse skyldes, at det har været muligt at erstatte nogle af de mange lokale firewalls med én hos TDC, oplyser it-chef Martin Niels Pedersen, Økonomi- og Erhvervsministeriet. Han forventer, at besparelsen når op på 40 procent, når flere nedlægger egne firewalls.
Martin Niels Pedersen fortalte om ministeriets erfaringer i tirsdags på Computerworlds ROI-Forum for It-sikkerhed. Arrangementet, der fandt sted i København, havde 70 deltagere.
Ifølge it-chefen koster ikke alene firewall-licenserne dyrt, men også mandskabet, der skal til for at opretholde firewall'enes sikkerhed. Også firewalls rummer sårbar kode, der skal udbedres. Der skal åbnes og lukkes for forskellige "porte" for at tillade normal drift samtid med, at angreb forhindres. Og trafikken skal løbende analyseres.
- Udgiften til udlicitering var tjent hjem alene på den årlige besparelse ved at nedlægge to firewalls og den support, der var knyttet til disse, siger Martin Niels Pedersen efterfølgende til Computerworld.
Dertil kom besparelserne på kommunikationsfronten. De gamle, dyre, faste TDC-forbindelser mellem departmentet og styrelserne kunne nedlægges. Alle styrelserne havde desuden eget internetabonnement hos CSC, men nu er internetforbindelserne samlet i et knudepunkt hos TDC, hvorfra der kun er en internetudgang. Abonnementet hos CSC kunne reduceres til kun at omfatte adgang til statens systemer.
Flere styrelser har dog fortsat selv en firewall og egen internetforbindelse, typisk fordi de selv er vært for vigtige web-services.
Besparelserne tæller stort, da udgifterne til it-sikkerhed udgør omkring ti procent af it-driftsbudgettet, oplyser Martin Niels Pedersen.
- Renser jeg mine tal for udgifter til varetagelse af den overordnede sikkerhed i styrelser og institutioner, udgør udgiften dog kun fem til otte procent af it-budgettet, forklarer han.
Centraliseringen sker i forbindelse med, at ministeriet er gået i gang med at indføre en slags koncernstruktur, hvor blandt andet bogholderi, regnskab og lønstyring slås sammen.
Man kom fra en tradition, hvor hver havde sit egenudviklede sikkerhedsforståelse. Ifølge it-chefen gav koncernstrukturen imidlertid en større forståelse for nødvendigheden af en fælles sikkerhedsindsats - også hos dem, der i forvejen gjorde mest. Før var der en vis skepsis organisationerne imellem.
Ministeriet har outsourcet de dele af it-sikkerheden, der vender udad, også kaldet perimeteren. Men sikkerhedsansvaret ligger ikke hos TDC, påpeger Martin Niels Pedersen.
- Det kan ikke udliciteres. Og den ydre sikkerhed udgør kun det ene ben, siger it-chefen, der blandt andet påpeger, at kun internt kan man håndtere organisationens egen holdning til sikkerhed.
Frivillig ordning
Centraliseringen sker ikke ved magt. Ordningen er frivillig, og der er stadig adskillige institutioner, der kører med egen firewall, egen antivirussoftware og egne mailservere.
Martin Niels Pedersen pointerer, at man heller ikke kan lægge ét sikkerhedsniveau for alle. For eksempel er der behov for et højere, og dermed også dyrere sikkerhedsniveau hos Danmarks Statistik og Patent- og Varemærkestyrelsen end hos mange af de andre institutioner.
Foreløbig er departementet og to styrelser gået fuldt ind for en centraliseret løsning, hvor det er TDC, der står for tjek af virus, spam og andre problemer i trafikken. De tre organisationer, der tæller op mod en fjerdedel af de i alt 2.300 brugere, kommunikerer via ét net - et såkaldt VPN MPLS-net (Virtual Private Network, Multiprotocol Label Switching), der er lukket for alle andre. Net-infrastrukturen bygger på TDC's egen del af det verdensomspændende internet - på TDC's "backbone".
TDC's værtscenter sorterer mails med ondartet kode fra, og lægger mails, der mistænkes for at være spam (uopfordrede reklamehenvendelser) i karantæne. Ansvaret for at tjekke, hvorvidt karantænen skal hæves for visse mails, ligger lokalt, og det begrunder TDC således:
- Vi har mange ting, men ikke den forretningsmæssige forståelse af, hvilke mails der skal leveres tilbage, siger salgschef hos TDC IT Sikkerhed, Kim Høse, der også talte på konferencen. Men spamfiltret "lærer" af det, hver gang en karantæne ophæves.
TDC står også for hele analysesiden af angrebene.
- Der har dog ikke været meget at rapportere om endnu, og foreløbig har det ikke været nødvendigt at "slukke" for forbindelsen på grund af alvorlige angrebsmønstre, sagde Kim Høse.
Foreløbig fire af de organisationer, der ikke er gået med i den centraliserede løsning, har dog valgt at lade TDC overtage kontrolopgaven med mails, men ellers sker det lokalt.
Når dem uden for fællesskabet, kommunikerer med dem i fællesskabet, dirigeres trafikken imidlertid ind over TDC via et andet MPLS-net, hvad enten det er mails eller transaktioner fra økonomisystemet Navision Stat.
- Man beskytter hinanden mod hinanden for at opnå et samlet højere sikkerhedsniveau, siger TDC's Kim Høse.
Sårbar flanke
Oprettelsen af web-baserede services, der skal lette tilværelsen for erhvervslivet, udgør imidlertid et sårbar flanke i sig selv. Mennesker med onde hensigter kan forsøge at trænge ind i de bagvedliggende systemer via disse web-services.
For at sikre sig, har ministeriet valgt at lægge disse tjenester i et særligt reservat tæt på firewallen hos TDC i Herlev. Reservatet, et såkaldt DMZ-net (Demilitarized Zone), gør det umuligt for den, der er brudt ind på webservice-stedet, at udnytte åbningen til at komme videre.
- Problemstillingen udgør et skisma, for vi vil utroligt gerne tilbyde gode services for borger og samfund, men samtidig risikerer vi, at disse tilbud skaber huller i sikkerheden. Det går også ud over de muligheder, som internetservices kunne give demokratiet. Vi kunne måske have styrket demokratiet, hvis der kunne skabes tillid til elektroniske afstemninger, så de mange angreb på web-services er en trist udvikling, siger it-chef Martin Niels Pedersen.
Billedtekst:
- Vi arbejder med forskellige antivirusprodukter i ministeriet, for det har vist sig at være smart. Hvis et antivirus-produkt svigter, som det er sket en gang, kommer det ikke meget længere, når der er andre produkter de øvrige steder, siger it-chef Martin Niels Pedersen, Økonomi- og Erhvervsministeriet.
Foto: Hans Juhl
Boks:
Forkortelserne
MPLS (Multiprotocol Label Switching): Teknologien giver en slags "logisk net" på internettet med en øget hastighed, da "data-pakkerne" på forhånd rummer oplysninger om ruten. Dermed undgås adresseopslag i internettets knudepunkter (routere). I den aktuelle case er det TDC's IP-net, som benyttes.
VPN (Virtual Private Network): Teknologien sikrer en slags beskyttet tunnel på linien (i det aktuelle tilfælde på TDC's MPLS-net), hvorigennem kun korrekt krypterede data kan transporteres.
DMZ (Demilitarized Zone): Et lille netværk eller en særlig server placeret som en sikker zone mellem det offentlige internet og de bagvedliggende private net. toft
Boks:
TDC stor inden for sikkerhed
TDC IT Sikkerhed hører med 47 medarbejdere til landets største på sikkerhedsområdet. Salgschef Kim Høse skønner, at kun IBM kan være større. IBM overtog PricewaterhouseCoopers, der via sit Institut for Datasikkerhed havde stor sikkerhedsekspertise med i baggagen.
- Men ingen andre har så mange med sikkerhedscertificering af forskellig art ansat som os.
De ansatte er fordelt på to forretningsområder: Digital signatur og generel it-sikkerhed.
Til store kunder, som TDC håndterer sikkerheden for, satses på udvikling af egne tjenester. For mindre kunder er det ifølge Kim Høse til tider mere økonomisk for TDC at benytte underleverandører til dele af opgaven. toft
