Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den CTO d. 2. februar 2007.
sikkerhed Hvordan sikrer man, at virksomhedens nøglepersoner kon-stant bærer rundt på it-nødberedskabsplanen, når kun 8 af Banedanmarks 2.055 ansatte må se den?
Bunkerne tårner sig op. Sådan ender det, når Banedanmark skal opgøre papirerne med vitale oplysninger, der skal sikre, at der hvert sekund, hvert minut og hver time i døgnet er overblik over Danmarks 3.240 kilometer jernbane.
Men planerne er nødvendige, da Banedanmarks serverrum er nervecentret i driften af det danske tognet. Kravet er konstant drift. Et nedbrud kan nemlig betyde, at overblikket over tognettet er tabt, og selvom togene fortsat kan køre, vil det ikke være uden kaos, da personalet ikke længere kan forlade sig på teknikken, men må planlægge driften manuelt.
Men jo mere omfattende beredskabsplanen er, jo sværere er det at sikre, at de relevante personer døgnet rundt har den inden for rækkevidde. Især fordi Banedanmarks beredskabsplan indeholder oplysninger, der er så fortrolige, at kun 8 ud af virksomhedens 2.055 ansatte må kende til dem.
Løsningen blev, at it-beredskabsplanen, der blandt andet indeholder oplysninger om Banedanmarks firewall-opsætning, softwarelicenser og sikkerhedspolitik, blev gemt på en USB-nøgle, som de 8 nøglepersoner, herunder it-chefen og beredskabschefen, nemt kunne have med sig i alle døgnets timer. It-beredskabsplanen er lavet som en del af den plan om en fælles sikkerhedspolitik, Dansk Standard 484, som alle statslige organisationer er pålagt at følge fra udgangen er 2006.
- Vi stod med en elektronisk beredskabsplan og skulle sikre, at der hele tiden var adgang til den. Nogle firmaer vælger at outsource den, så planen ligger et andet sted, men så er man nødt til at sikre, at man hele tiden kan få adgang til det firma. Vi valgte derfor at have det hele liggende på en USB-nøgle, siger Marianne Bo Krowicki, der er it-sikkerhedskoordinator hos Banedanmark, om hvorfor den valgte en "bærbar" beredskabsplan.
Særlige krav til kryptering
Det stiller særlige krav til sikkerheden at have følsomme oplysninger liggende på noget, der så let kan blive væk som en lille USB-nøgle. For mens kravet til effektiv kryptering ikke volder store problemer, havde Banestyrelsen ét særligt krav til sine USB-nøgler, der var svært at leve op til, siger Marianne Bo Krowicki.
- Med den elektroniske version skulle man kunne gå ind hvilket som helst sted fra og få adgang til beredskabsplanen. Det skulle være en løsning, som du uafhængigt af hvilken maskine, du sidder ved, kan åbne bare ved at kende passwordet, siger hun.
Derfor var Banedanmark afhængig af at finde en krypteringsløsning, der ikke krævede nogen særlig software på den maskine, der skulle låse nøglen op. For skulle det utænkelige ske, at serverrummet bliver sat ud af drift, skal blandt andre it-chefen kunne låse nøglen op. Og det uanset om han sidder derhjemme, på et hotel i Hongkong eller hos naboen. Men sådan en løsning er ikke noget, der hænger på træerne, siger it-sikkerhedsspecialist i Banedanmark, Carsten Lehde Petersen.
- Det tog lang tid at finde noget, der virkede, for det er ikke alle, der har en nøgle, der er tekniske eksperter. Derfor faldt vi for funktionaliteten i PointSec-løsningen, siger han.
Krypteringsalgoritme
PointSec er en krypteringsalgortime, der krypterer data med en 256 bit AES-kryptering (Advanced Encryption Standard) og er en af de standarder, der er godkendt til brug i den offentlige sektor.
Banedanmarks PointSec-kryptering er leveret af virksomheden SecureDevice, der blandt andet har specialiseret sig i mobil it-sikkerhed.
Men selvom det har kostet meget både i penge og arbejde at finde lige den løsning, der passede til Banedanmarks behov, er målet, at der aldrig bliver brug for den.
- Vi regner ikke med nogensinde at få brug for denne her plan. Men hvis serverrummet går død, vil det få fatale konsekvenser, så vi er nødt til at sikre os, selvom det virker usandsynligt, siger Marianne Bo Krowicki.
Faktaboks:
Fælles statslig it-sikkerhed
Regeringen pålagde i 2004 alle statslige institutioner at følge en fælles statslig it-sikkerhedsstandard, DS484 (Dansk Standard 484), der med udgangen af 2006 skulle være implementeret overalt.
DS484 indeholder en række krav inden for områderne personalesikkerhed, fysisk sikkerhed, systemrelaterede krav og håndtering af lovbestemte og kontraktlige krav, der ligeledes er afspejlet i standarden. I alt indeholder standarden cirka 260 krav.
DS484 pålægger blandt andet virksomheder og institutioner at:
Udarbejde en overordnet skriftlig risikovurdering
Udforme en skriftlig it-sikkerhedspolitik
Lægge en it-sikkerhedsstrategi
Etablere et sikkerhedsstyringssystem
Udarbejde en skriftlig beredskabsplan
OriginalModTime: 08-02-2007 13:27:51
