Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 1. oktober 2004.
Undgår virusmagneter: De største problemer, danske it-chefer slås med på sikkerhedsfronten, skyldes huller i software og intern adfærd.
På Fiskerihavnsgade 6 i København sidder en it-chef og glæder sig over en mange år gammel beslutning.
- Vi har været mange sorger og omkostninger foruden, fordi vi valgte at undlade at bruge Microsoft-produkter, hvor det er muligt, siger Jens Frimand, it-chef for den landsdækkende genbrugsvirksomhed Uniscrap.
- Vi bruger for eksempel ikke postprogrammet Outlook, der jo er en ren virusmagnet. Vi bruger så vidt muligt heller ikke Internet Explorer, men der findes desværre stadig nogle bankløsninger, der ikke kan fungere uden, fortæller it-chefen.
Jens Frimand er en af 39 it-chefer, der har deltaget i en mindre undersøgelse, som brugerorganisationen Dansk IT står bag sammen med Computerworld.
Undersøgelsen, der havde fokus på it-sikkerhed, viser, at flere it-chefer har samme holdning som Jens Frimand. Microsofts produkter udgør en sikkerhedsrisiko, fordi hackersamfundet typisk fokuserer på produkter, der bruges af flest.
11 af de adspurgte it-chefer havde faktisk overvejet eller overvejede at skifte Microsoft-produkter ud med andre af sikkerhedsmæssige årsager.
Uniscrap selv valgte i 1995 - ud fra en sikkerhedsmæssig betragtning - at satse på Novells GroupWise som postprogram, og virksomheden har aldrig været ramt af et virusangreb.
- Det er vi taknemmelige for. Et virusangreb belaster de interne ressourcer hårdt, og med 80 computere placeret geografisk spredt ville det være noget af en opgave at få renset alle samtidig, så ingen kan smitte videre, siger Jens Frimand.
På browser-siden er Uniscraps valg faldet på Mozilla, der hører til i open source-verdenen, hvor kildekode lægges frem til inspektion og kritik.
Virksomhedens politik er på sin vis på forkant. På det seneste har flere på sikkerhedsfronten anbefalet, at man så vidt muligt undgår brugen af Internet Explorer. Blandt disse er verdens mest respekterede sikkerhedsorganisation Cert (Computer Emergency Response Team) på Carnegie Mellon University i USA.
Dansk IT's undersøgelse rummer skarp kritik af Microsoft. En af it-cheferne karakteriserer kvaliteten af Microsofts produkter således:
- Det er så ringe, som det kan blive, men produkterne er et nødvendigt onde for at drive en moderne virksomhed.
En anden skriver, at kvaliteten bærer præg af ikke at have været tænkt ind fra starten.
Klar forbedring
Flere giver dog udtryk for, at kvaliteten af Microsofts produkter hverken er bedre eller dårligere end andres. Der er også roser at finde. Nogle betegner kvaliteten som ok. En karakteriserer kvaliteten som rigtig god. Dertil kommer alle de, som peger på, at der er sket en forbedring.
- Microsoft leverer nu en højere kvalitet end tidligere. De har formodentlig indset, at forebyggelse er både billigere og bedre end helbredelse, skriver en it-chef.
På spørgsmålet om, hvad man ser som de to største sikkerhedsproblemer p.t., nævner de fleste internettet sammenholdt med sårbarheder i software. Nogle nævner også, at håndtering af alle de rettelser, der skal til, er et problem.
Selve det at patche er ikke uproblematisk. Hver tredje it-chef nævner test af kompatibilitet på de enkelte servere som det mest kritiske, og lidt flere bekymrer sig over kvaliteten af koden, der skal udbedre sårbarheden.
Uansvarlig brugeradfærd
Cirka hver anden it-chef skuer dog også indad, når de største problemer skal beskrives. En it-chef beskriver sit største problem således: Uansvarlig brugeradfærd, som fortsætter trods skriftlige retningslinier og gentagne påmindelser.
Uniscraps it-chef er ikke i den situation. Jens Frimand skønner, at firmaets automatiserede funktion til håndtering af indkommen spam og mistænkelige e-mails bidrager til, at medarbejderne engagerer sig. Medarbejderne bidrager flittigt med kritiske mails.
- Mindst en gang om dagen samler vi op, hvad vi har været udsat for, og skriver en klage til internetudbyderen. Vi mener for eksempel, at internetudbydere bør standse spam ved kilden i stedet for ved modtageren, siger Jens Frimand.
Men cirka en gang i kvartalet huskes medarbejderne også på, hvad virus kan gøre ved en virksomhed.
- Alle ved, hvor slemt det er at undvære sin pc i et par timer. Derfor kan man også forestille sig konsekvenserne, hvis virksomheden lægges ned i flere dage, siger Jens Frimand.
Billedtekst:
- Når vi vælger værktøjer, undgår vi i videst muligt omfang de mest sårbare. Derfor bruger vi så vidt muligt hverken Internet Explorer eller Exchange, siger it-chef Jens Frimand, Uniscrap. Foto: Torben Klint
Boks:
Virusangreb mod hver tredje virksomhed
Næsten hver tredje virksomhed med adgang til internettet har været udsat for virusangreb, og fire procent har været udsat for et bombardement af transaktioner fra internettet med det formål at bringe virksomhedens server i knæ - altså et Denial of service-angreb.
Det oplyser Danmarks Statistik på baggrund af sin årlige statistik om danske virksomheders brug af it. Statistikken, der gælder 2003, er den bredest dækkende herhjemme. 4.000 virksomheder med flere end ti ansatte har svaret på det udsendte spørgeskema.
Virksomhederne rapporterer også om datatab. Hver sjette melder om tyverier af udstyr med data på, såsom bærbare computere, og flere af disse vurderede, at tyveriet var af alvorlig karakter for virksomheden. Den klassiske datasikring i form af back up synes også at svigte. Otte procent melder om datatab som følge af manglende back up.
Statistikken viser, at virksomheder er blevet bedre til at beskytte sig selv. I 2002 havde kun 53 procent en firewall, mens tallet var steget til 73 procent året efter. Måske er det årsagen til, at nedbrud i netforbindelsen i år overhalede virusangreb som problemet, der ramte flest. toft
