Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 10. november 2006.
Skype, MSN Messenger, WebEx og andre spontane netværk skubber it-sikkerheden ud på brugerne, advarer Devoteams sikkerhedsekspert. Ja, men den slags nye spontane netværk er fremtiden, mener Netplan.
Der er både masser af penge at spare og rige muligheder for at forbedre virksomhedens service ved at tale, chatte, udveksle dokumenter eller holde videokonferencer over populære tjenester som Skype, MSN Messenger eller WebEX.
Men pas på.
Slipper man virksomhedens ansatte løs på den slags spontane netværk, kan man i værste fald også være i gang med at kompromittere it-sikkerheden ved at anlægge en tresporet motorvej for ubudne gæster direkte ind i virksomhedens livsnerve.
Ifølge it-sikkerhedsekspert Carsten Jørgensen fra konsulentfirmaet Devoteam, tyder meget således på, at den næste større sikkerhedstrussel kommer fra uregerlige selvorganiserende netværk, som for eksempel Skype.
- Skype er det største af VoIP-programmerne (internettelefoni, red.) og bliver brugt meget i virksomhederne som en del af forretningsgangen. Problemet er bare, at mens man har været meget optaget af de nye muligheder, som Skype giver, tænkes der ikke så meget over sikkerheden, siger Carsten Jørgensen.
Som de fleste netværk ser ud i standardopsætningen kan man ifølge Carsten Jørgensen ikke stoppe den potentielt skadelige trafik.
Ganske enkelt fordi Skype, Messenger, WebEx og lignende tjenester udgiver sig for at være ganske almindelig og lovlig webtrafik, der ikke bliver afvist af systemets firewall.
- Da Skype for eksempel er noget, folk selv installerer, og man ikke umiddelbart kan overvåge eller styre brugen centralt, bliver sikkerheden i netværket skubbet ud på de enkelte brugere, siger Carsten Jørgensen.
Sendes en ondartet fil for eksempel via Skype-systemet stryger den umiddelbart ind, uden at firewallen opdager den. Dermed er der åbnet for et virusangreb og en potentiel økonomisk øretæve.
For hvad enten et angreb medfører nedbrud, tab af omsætning, data og arbejdstimer, eller mistet goodwill hos kunder og forretningsforbindelser, er der en større eller mindre regning at betale.
Carsten Jørgensen har selv kendskab til tre virksomheder, der har fået virus ind via Messenger, og to af Devoteams kunder blandt store virksomheder har direkte forbudt deres medarbejdere at anvende Skype og Messenger.
I rådgivningsvirksomheden Netplan er direktør Torben Rune grundlæggende enig i, at kommunikation og fildeling via den slags nettjenester risikerer at kompromittere virksomhedernes it-sikkerhed.
- Men jeg tror, at fordelene er langt større end ulemperne. Langt hen ad vejen er det muligt at skabe sikkerhedskonfigurationer, der tager højde for de risici, der følger med i købet. Det ville være meget ærgerligt, hvis virksomhederne som udgangspunkt tænker, at Skype er usikkert og derfor ikke tager det ind. Så går de glip af nogle udviklingsmuligheder, siger Torben Rune.
Han peger på, at det lige nu buldrer derudaf på området, og at toneangivende udviklere som Microsoft og Cisco arbejder på at integrere Skype-lignende features i kommende produkter for eksempel i Microsofts Office pakke.
Carsten Jørgensen fra Devoteam vil da heller ikke gå så vidt som at anbefale et egentligt forbud.
Virksomhederne bør som minimum foretage en risikovurdering af sårbarheden og indføre regler for brugen af de spontane netværk, kombineret med øget overvågning af netværkstrafikken.
- Sikkerhedens gyldne regel er, jo flere lag sikkerhed, jo, bedre. I øjeblikket ligger hele sikkerheden mange steder hos brugerne. Men der findes programmer, der kan øge sikkerhed på netværket, for eksempel intelligente firewalls og programmer, der kan fjerne vedhæftede filer i for eksempel Messenger.
Hos Netplan har direktør Torben Rune også kunder, for eksempel virksomheder med forsknings- og udviklingsafdelinger, der har forbudt Skype og Messenger, fordi virksomhederne vurderer, at det er for risikabelt.
Torben Rune har også kendskab til virksomheder, der forbyder Skype og MSN, fordi virksomhederne ikke har det udstyr og den software, der skal til for at beskytte sig ordentligt, siger han.
En mellemvariant er, at virksomheden bygger to slags net - et usikkert og et sikkert.
Under alle omstændigheder vil Torben Rune ikke anbefale, at virksomhederne reklamerer med at de bruger for eksempel Skype.
- Jeg ville nødig lokke en kunde ud og sige, at de har åben for Skype, Det risikerer bare at lokke en hacker ind, for intet er 100 procent sikkert, siger han.
Faktaboks:
Skype kan gøres sikker
Det er sjældent, der opstår et it-sikkerhedsproblem, der ikke kan løses. Og det samme gælder for de problemstillinger, der opstår i kølvandet på udbredelsen af Skype, MSN og WebEx.
Det mener Kim Aarenstrup, formand for Dansk IT's sikkerhedsråd og tillige it-sikkerhedschef i A.P. Møller - Mærsk.
- Skype er en udfordring for sikkerheden, fordi det er ukontrolleret. Brugerne kan bare installere det. Så en uautoriseret brug af den slags tjeneste kan være en risiko, men man kan givetvis organisere
Skype i virksomheder, så det fungerer på sikker vis. Så jeg vil ikke sige, at WebEx, Messenger og Skype er dårlige ting, de kan bruges meget kreativt. Sikkerheden ved dem er ikke anderledes end at gå på nettet, siger Kim Aarenstrup.
Erfaringerne fra Kim Aarenstrups eget brede kontaktnet er, at udbredelsen af Skype og Messenger er tiltagende i virksomheder, og at drivkraften primært er økonomisk.
- Mange virksomheder vælger så at etablere fast praksis om disse tjenester. Nogle forbyder eller blokerer Skype, nogle har Skype som intern telefoni. Uanset, hvordan det tilrettelægges, findes der sikringsmetoder, siger Kim Aarenstrup.
Faktaboks:
Hver niende bliver angrebet
Næsten hver niende danske virksomhed havde i 2005 et it-sikkerhedsproblem, der medførte tab af data eller arbejdstid. Det viser tal fra Danmarks Statistik.
Der var hyppigst tale om et denial of serviceangreb (13 procent af virksomhederne), mens en mindre andel (5 procent) oplevede uautoriseret adgang til virksomhedens net.
Der findes ingen danske tal, der opgør de økonomiske konsekvenser af it-sikkerhedsproblemer.
Erfaringer fra USA tyder på, at den umiddelbare regning for et angreb på virksomheden nemt kan runde en million kroner. I hvert fald viser svar fra 616 amerikanske virksomheder i årsrapporten fra The Computer Security Institute (CSI) og forbundspolitiet FBI, at virksomhederne i 2005 i gennemsnit måtte punge ud med 168.000 dollars (cirka en million kroner) som følge af it-kriminalitet.
Billedtekst: sikkerhedsrisiko Hvorfor vente i månedsvis på, at it-afdelingen får internettelefonien op at køre, når man kan tage sagen i egen hånd, downloade og komme i gang med gratis Skype-telefoni på kun 10 minutter? Den uorganiserede brugerdrevne installation af diverse webbaserede programmer udgør en stigende sikkerhedsrisiko.
OriginalModTime: 09-11-2006 13:49:23
