Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 1. oktober 2004.
FIRE-ØJNE-PRINCIP: Danmarks Nationalbank har samlet ansvaret for tilrettelæggelsen af al sikkerhed i en enhed. Alle er ikke tilfredse dermed, men det er it-chefen.
I Danmarks Nationalbank er it-sikkerhed for alvorlig en sag at overlade til it-chefen. Det har imidlertid intet med konkrete personer at gøre. Det handler udelukkende om virksomhedens grundholdning.
- Ingen kan kontrollere sig selv, siger nationalbankdirektør Torben Nielsen.
- På it-området har vi ligesom på alle andre områder sikret en opdeling i en udøvende og en kontrollerende funktion, tilføjer Torben Nielsen, der er medlem af Nationalbankens trepersoners direktion.
Han har blandt andet ansvaret for Den Kongelige Mønt, seddeltrykkeriet, regnskabsafdelingen og it-afdelingen.
I Nationalbanken er det såkaldte fire-øjne-princip bærende. Oprindeligt indebar det, at hvor man end var i nærheden af værdier, skulle der være to personer. Nu anvendes princippet bredt og konsekvent.
At it-området er dækket, kan heller ikke undre. Et svigt på it-fronten kan hurtigt koste mange gange mere end en svigefuld økonomisk transaktion.
- Hvis man selv står bag en transaktion, kan man ikke også godkende den, siger Torben Nielsen.
Ansvaret for tilrettelæggelsen af både it-sikkerhed og den fysiske sikkerhed ligger i én afdeling, der også står for opfølgningen. Ansvaret for udførelsen ligger i andre afdelinger.
Den fysiske sikring har altid været ekstremt højt prioriteret på grund af milliardværdierne, der ligger i huset, og pengetransporterne.
- Chefen for seddeltrykkeriet havde ansvaret for fysisk sikkerhed i mange år, men det er upraktisk, at sikkerheden bliver en nebengeschäft for en liniechef. Der kan opstå konflikter mellem, hvad man mener i den ene rolle og i den anden, siger Torben Nielsen.
Ansvaret for tilrettelæggelsen af sikkerheden blev samlet allerede i 1999, og i foråret 2003 blev sikringsansvaret overdraget til kontorchef John Larsen, der står i spidsen for Nationalbankens organisationskontor. John Larsen, der har direkte reference til Torben Nielsen, har derfor også titlen sikringschef.
Nationalbanken er en slags pioner organisationsmæssigt, hvad angår sikkerheden. Hvor mange andre i Danmark, der har samlet ansvaret for it-sikkerhed og fysisk sikkerhed, vides ikke, men en lille rundspørge blandt it-sikkerhedsansvarlige tyder på, at de kan tælles på en hånd.
Ræv vogter gæs
Konstruktionen anses ellers af mange sikkerhedsanalytikere for at være den rigtigste. "Ræven bør ikke vogte gæs", lyder begrundelsen for, at it-chefen ikke selv bør være sikkerhedsansvarlig.
Selv om denne kan være fuldt kompetent til også at bære it-sikkerhedskasketten, kan der opstå situationer, hvor hensynet til det primære arbejde kommer i konflikt med hensynet til sikkerheden. Tidsfrister og budgetter kan for eksempel blive så stramme, at forsvarsværkerne sænkes for at fremskynde færdiggørelsen.
Nationalbankens it-ansvarlige, kontorchef Søren Lundsby Hansen, peger selv på et andet, vigtigt aspekt.
- Vi har rigeligt med andre forhold at tage os af, siger han, men påpeger, at der blandt it-afdelingens 32 ansatte er tre med it-sikkerhed som en væsentlig del af arbejdsopgaverne. De tre er dels med til at implementere sikkerhed, dels udarbejde risikoanalyser sammen med de it-kyndige hos sikringschefen.
Rest-risici
Som eksempel på samarbejdet med sikringschef John Larsens folk nævner Søren Lundsby Hansen køb af et it-sikkerhedsprodukt. Risikoanalysen kan måske vise, at et givent produkt med tilhørende procedurer dækker 95 procent af det trusselsbillede, der skal tages højde for. Restrisikoen - de fem procent - skal sikringschefen forholde sig til. Det er ham, der afgør, om Nationalbanken kan "leve" med den restrisiko eller ej. Der er også tale om et fælles ejerskab og dermed formel koordinering af hele it-sikkerhedssiden, oplyser John Larsen.
- For eksempel må it-afdelingen ikke ændre i et sikkerhedsprodukt, såsom firewall-konfigurationen, uden vi er enige, og i visse tilfælde fordrer det en fornyet risikoanalyse, siger John Larsen.
Hårdt mentalt
Rent mentalt har det krævet en omstilling hos flere af de ansatte i it-afdelingen, fortæller Søren Lundsby Hansen.
- Jeg kan ikke selv se nogen anledning til, at it-sikkerhed skulle "tilhøre" it-afdelingen. Men for nogle af teknikerne gav det et rimeligt stort problem i starten. At nogen uden dyb teknikforstand skulle involveres i, hvorledes porte i firewall'en skulle konfigureres!
Den sikringsansvarlige, John Larsen, supplerer:
- Det går jo ikke, hvis sikkerhedsfolkene i it-afdelingen pludselig sætter en ny firewall op, eller hvis de lige vil skrive en stump kode for at håndtere et problem. It-folk er hurtige, men der kan være behov for en ny sikkerhedsanalyse, før der må ændres, siger John Larsen.
- Men der vil altid være en vis modstand fra dem, der skal udøve, hvad vi beslutter på direktionens vegne, tilføjer han.
Modstanden kommer ifølge sikringschefen på to fronter. Nogle synes, at der er kommet for meget bureaukrati. Andre har ud fra deres faglige stolthed en anden indfaldsvinkel til, om ting udføres ordentligt.
- De kan selvfølgelig let opfatte os i sikringsfunktionen som et unødvendigt ekstra led, siger John Larsen.
Søren Lundsby Hansen opfatter organisationsformen som en win-win-situation. Samarbejdet med sikringsfolkene har gjort, at it-afdelingens sikkerhedsfolk er blevet langt bedre til også at tænke i helheden for banken. Og sikringsafdelingen får et ned-på-jorden-modspil, når den stræber efter at følge de internationale it-sikkerhedsstandarder 100 procent.
- Disse standarder repræsenterer en idealverden, siger Søren Lundsby Hansen.
- Vi må se på, hvor langt det er realistisk at gå inden for vores rammer - med vores ressourcer.
Samarbejdet lettes også af, at der ikke hersker tvivl om den øverste ledelses engagement på sikkerhedsfronten. De overordnede politikker for både it-sikkerhed og fysisk sikkerhed er vedtaget i direktion og bestyrelse, og nationalbankdirektør Torben Nielsen holder fingeren på den sikkerhedsmæssige puls gennem regelmæssige og ekstraordinære briefinger fra sikringschefen.
Marmorfortet
Umiddelbart kunne man måske så forvente, at der var lagt op til en Fort Knox-agtig sikkerhed på Havnegade 5 i København.
Bag de solide mure i det lysegrå marmorfort trykkes landets pengesedler i kælderen, og banken ligger inde med andre milliardværdier. Kritisk er det også, at Nationalbanken er navet i de danske pengeinstitutters indbyrdes betalinger.
Sådanne steder fostrer drømme om milliardkup, og hackere skuer nok også den vej. Men Nationalbanken er også - som alle andre centralbanker - i tankerne hos dem, der ønsker at destabilisere et samfund gennem et finansielt kollaps og dermed angst.
Alligevel kan man fra gaden bare spadsere lige ind i Nationalbankens monumentale, højtloftede hall. Man passerer vagter, men ingen bevæbnede. Der er ingen scanning af hverken person eller taske. Ingen låse, der smækker i efter en.
Længere inde i den næsten katedralagtige hall møder man en venlig mand i hvid skjorte, siddende bag en lav, tilsyneladende ubeskyttet skranke, og man får sit besøgsskilt. Nøjagtig som besøger man enhver anden stor virksomhed.
Dette indtryk fortæller en historie i sig selv - en historie om balancegang. Sikkerhedsforanstaltningerne afspejler det konkrete områdes risikoprofil, og der skrues voldsomt op, efterhånden som man nærmer sig de kritiske steder.
- Vi ligger på et højt sikkerhedsniveau, men sikkerheden skal afstemmes med det samfund, vi lever i, siger nationalbankdirektør Torben Nielsen, der selv har oplevet langt mere omfangsrige og spektakulære sikkerhedsforanstaltninger for eksempel i den amerikanske centralbank.
- Det miljø, disse banker opererer i, er et andet end det, vi lever i, tilføjer direktøren.
- Men også herhjemme skal vi ikke så mange år tilbage, før vi kunne leve med et helt andet sikkerhedsniveau, end vi gør i dag, tilføjer Torben Nielsen med henvisning til de seneste års terrorangreb. Han påpeger også, at videoovervågning og registrering af adgang til bygninger og systemer er på plads, selv om indtrykket umiddelbart virker afslappet.
Finanssektoren som terrormål
Ifølge amerikanske myndigheder er specielt finanssektoren i terroristernes søgelys. For få måneder siden udsendte Department of Homeland Security - ministeriet, der udelukkende har fokus på nationens sikkerhed - et varsel om øget risiko for terroristangreb mod den finansielle sektor. Nationalbanken er selv i løbende kontakt med det danske politi angående det aktuelle trusselsbillede.
- Hvis man vil lamme et lands finansielle system, udgør centralbanken et meget sårbart punkt, hvilket man ikke skal være specielt snedig for at regne ud, siger Torben Nielsen.
Selv et forholdsvist kort nedbrud hos Nationalbanken vil kunne skade den finansielle sektor, og nationalbankdirektøren nævner et relativt nyinstalleret nødstrømsanlæg som eksempel på, hvordan banken derfor må agere.
- Vores gamle nødstrømsanlæg fungerede tilfredsstillende, og vi klarede strømnedbrudet i København den 23. september sidste år i modsætning til andre. Men alligevel har vi valgt at anskaffe et nyt nødstrømsanlæg med en noget højere kapacitet for at være helt sikker, siger Torben Nielsen.
Nej til biometri
Man vil imidlertid aldrig se Nationalbanken blandt frontløberne, når det gælder om at tage ny teknologi i brug. Der er ikke plads i risikobilledet til "børnesygdomme".
Da virksomheden for nylig skulle anskaffe et nyt adgangskontrol-system, var biometri inde i billedet. Et biometrisk system genkender noget, man har, såsom et fingeraftryk eller øjets iris, eller noget, man gør, såsom trykket, man bruger, når man skriver sin underskrift.
Nationalbanken fravalgte at satse på biometrien, og det begrunder sikringschef John Larsen således:
- Teknologien er lige på kanten, men stadig lidt for meget på forkanten. Biometriske systemer giver stadig for mange falske fejlmeddelelser, hvad enten det er en forkert godkendelse af en person eller afvisning.
Sikringschefen påpeger, at et sådant system ikke alene vil kunne udløse stor irritation over besværet med at blive afvist hos medarbejderne. Det kan også skabe en falsk følelse af sikkerhed.
- Derfor valgte vi et stærkt, traditionelt adgangssystem, som en dag - når tiden er moden - kan suppleres med biometri.
John Larsens afdeling beskyldes indimellem for at være alt for mistænksom.
- Vi skal være mistænksomme, men på den anden side nytter det ikke at blive så mistænksom, at man ikke kan få lavet noget, siger sikringschefen.
Billedtekst:
Sikkerhedspolitikkens anker i direktionen er nationalbankdirektør Torben Nielsen (midtfor). Sikringchef John Larsen (t.v.) står for tilrettelæggelse og opfølgning, mens it-chef Søren Lundsby Hansen har ansvaret for udførelsen af it-sikkerhedspolitikken. Foto: Ulrik Jantzen
Boks:
Nationalbanken i tal og opgaver
Danmarks Nationalbank, der blev oprettet som en privat bank i 1818, er en selvejende uafhængig institution, hvis overskud dog overføres til staten. I 2003 blev der overført 3,1 milliard kroner.
Virksomheden trykker hvert år 60-70 millioner pengesedler, og Den Kgl. Mønt laver cirka 80 millioner mønter årligt.
Nationalbanken er også statens bank, når det gælder store enkeltbetalinger. Og Nationalbanken er bankernes bank. Deres konti i banken bruges for eksempel ved handel med værdipapirer og valutaer og til betaling af mellemværender med andre banker. Sådanne mellemværender opstår for eksempel, når en person bruger sit Dankort i en butik, hvis køber og sælger har forskellig bank.
Der er mange andre opgaver såsom at fastlægge pengepolitikken og give sektoren en hjælpende hånd, hvis der opstår en akut krise, som da Danske Bank grundet et it-nedbrud ikke kunne opgøre mellemværender med andre banker. Nationalbanken har cirka 600 ansatte. toft
Boks:
Hr. Chief Security Officer
I USA får personen, der har det overordnede sikkerhedsansvar for både fysisk sikkerhed og it-sikkerhed, titlen Chief Security Officer (CSO). Personen refererer normalt til et senior-direktionsmedlem. Der en klar tendens til, at it-sikkerhed og fysisk sikkerhed ses som en helhed, og USA fører på området. Det viser en helt ny undersøgelse gennemført af Computerworlds amerikanske søsterpublikation CIO sammen med PriceWaterhouseCoopers.
Undersøgelsen "Global Information Security Survey" viser, at globalt set har 18 procent af de adspurgte virksomheder integreret politikker og procedurer for de to områder. Ses isoleret på Europa er tallet 16 procent.
Godt en fjerdedel af de adspurgte har valgt at lade den ansvarlige for it-sikkerheden og den ansvarlige for fysisk sikkerhed referere til samme direktionsmedlem. Kun fem procent har etableret et fælles sikkerhedsudvalg, der rækker fra it til bankboksen.
I Europa har 52 procent af de adspurgte virksomheder stadig adskilt de to sikkerhedsfunktioner.
Titlen CSO ses også brugt for den rendyrkede it-sikkerhedschef, der har reference til den it-ansvarlige. Her anvendes dog også titlen CISO, Chief Information Security Officer.
CSO'erne udgør i stigende grad en målgruppe for konferencer og medier. Blandt disse kan nævnes tidsskriftet CSO, der også kan findes online på www.csoonline.com. Bladet udgives af IDG, der også udgiver Computerworld og CIO. toft
Boks:
Lige efter bogen
Nationalbankens organisationsform er lige efter bogen - eller rettere efter budskaberne i de fremmeste sikkerhedsuddannelser herhjemme. Af ESL-uddannelsen (eksamineret it-sikkerhedsleder) fremgår, at sikkerhedschefen ikke bør placeres i it-afdelingen.
Også i CISSP-certificeringen (Certified Information System Security Professional) frarådes sammenblandingen, for at der ikke kan opstå tvivl om, hvorvidt rapporteringen er reel og upåvirket.
Har virksomheden ikke taget skridt til at adskille funktionerne, er der dog andre muligheder. Buddet fra en af landets garvede sikkerhedschefer, Per B. Hansen fra TDC, lyder således:
- Noget af det vigtigste at få etableret som sikkerhedschef er et it-sikkerhedsudvalg. Heri bør sidde den administrerende direktør eller alternativt økonomidirektøren samt repræsentanter for ledelse og brugere. Har man et sådant udvalg, er der altid et sted, hvor tingene kan komme på bordet, og man kan komme uden om den forhindring, som en it-chef kan være, siger Per B. Hansen, der også står i spidsen for it-sikkerhedscentret på Alexandra Instituttet i Århus. toft
Boks:
Sikkerhedstrianglen:
Søren Lundsby Hansen,
it-chef, kontorchef
Civilingeniør med speciale i it og HD med speciale i finansiering.
1990: Udviklingsingeniør, Brüel og Kjær.
1991: Udviklingsingeniør/konsulent, Seven Technologies.
1993: Udviklingsingeniør, Cray Communication.
1995: Konsulent hos Rambøll IT and Management.
1997: Projektleder, Danmarks Nationalbank.
1999: It-chef med reference til nationalbankdirektør Torben Nielsen.
Torben Nielsen,
nationalbankdirektør
Sparekasseuddannet, HD i organisation samt i kredit og finansiering.
1966: Sjællandske Bondestands Sparekasse.
1973: Sparekassen SDS.
1985: Underdirektør, SDS.
1987: Vicedirektør, SDS.
1988: Regionsdirektør, SDS.
1990: Divisionsdirektør, Unibank.
1992: Vicedirektør, Unibank.
1996: Medlem af Danmarks Nationalbanks direktion.
John Larsen, sikringschef og
organisationschef, kontorchef Cand. oecon
1978: Adjunkt-vikar, Århus Universitet.
1978: Økonom, Danmarks Nationalbank.
1984: Souschef, Nationalbankens sekretariat.
1995: Chef, Nationalbankens statistiske afdeling.
1998: Chef, Nationalbankens organisationskontor.
2003: Tillige sikringschef, Nationalbanken.
Boks:
Grundig risikovurdering af fjernadgang
En god risikoanalyse kan påpege, at der er unødvendige kontroller, siger sikringschefen.
Nationalbankens risikovurdering fremgår af følgende konkrete eksempel
Direktionen besluttede for halvandet år siden, at medarbejdere også udefra skulle kunne få adgang til systemerne, hvad enten det var fra hjemmet eller fra hotellet.
- Når en sådan beslutning er truffet, skal vi på direktionens vegne sørge for en omfattende analyse af, hvilken risiko vi er oppe imod, siger sikringschef John Larsen.
Risikovurderingen blev udarbejdet af it-afdelingen og sikringsdelen af organisationskontoret i fællesskab. Udgangspunktet var to forskellige løsningsforslag, som begge syntes velegnede som værn mod trusler og andre hændelser. Det løsningsforslag, som indebar de mindste restrisici - altså udækkede risici - blev valgt.
Derefter fulgte en kravspecifikation ud fra det valgte forslag samt en nøjere beskrivelse af de foranstaltninger, der skulle til for at afdække truslerne. Derpå blev der foretaget en intern og en ekstern kontrol af risikovurderingen.
Tjek efter implementering
Da sikkerhedsløsningen blev implementeret, blev risikovurderingens foranstaltninger tjekket op mod de faktiske forhold, og præciseringer blev foretaget.
John Larsen tog derefter stilling til de restrisici, der forelå, og gav den endelige godkendelse til at sætte sikkerhedssystemet i produktion og åbne for fjernadgang.
- 100 procent sikkerhed kan ikke opnås på dette område, siger John Larsen og tilføjer:
- Nogle af Nationalbankens ansatte kan synes, at måden, de skal koble sig på, er noget vanskeligere, end hvad kolleger i andre virksomheder fortæller om. Men vi må være ekstra sikre.
Det samlede projekt strakte sig over seks måneder. Sker der ændringer i trusselsbilledet eller de valgte løsninger, vil der ske en fornyet risikovurdering.
Egen model
Der blev anvendt et internt udviklet risikovurderingssystem til støtte for analysen. Modellen, der reflekterer de internationale standarder for risikovurdering, anvendes i alle analyser, hvad enten det gælder et nyt it-system eller anskaffelse af en ny type vogn til pengetransporter. Den er således netop anvendt til vurdering af risikoen ved Nationalbankens nye adgangskontrolsystem.
- Modellen er med til at sikre, at vi når ud i de fleste hjørner - fra risici for menneskelige fejl til system- og procesfejl, siger John Larsen.
Modellen indgår som en del af Nationalbankens database over forretningsgange.
- Vi stiler mod at få sammenhæng mellem risici og afdækkende forretningsgange, siger John Larsen.
Han pointerer, at en vigtig del af risikovurderingen også er at få afsløret, hvor der er forkerte eller unødvendige sikkerhedsforanstaltninger. toft