Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 23. marts 2007.
Jyske Bank styrker medarbejdernes opmærksomhed PÅ at beskytte banken mod it-sikkerhedstrusler Andre virksomheder satser mere på teknologiske løsninger.
Generelt er der behov for mere fokus på it-sikkerhed, for trusselsbilledet bliver stadig mere raffineret. Ekspert sætter spørgsmålstegn ved, om danske virksomheder gør det godt nok.
For et par år siden cirkulerede en gigantisk sikkerhedsnål rundt i Jyske Bank. Den var nærmest i menneskestørrelse.
Den forvoksede sikkerhedsnål var et symbol på it-sikkerheden. Dens blotte tilstedeværelse signalerede, hvor vigtigt det er, at medarbejderne læser og forstår bankens regler for it-sikkerhed. Også for deres egen skyld.
Selv om sikkerhedsnålen er gemt væk, fortsætter den konstante opkvalificering af medarbejderne i forhold til opmærksomhed om it-sikkerheden.
Mændene bag awarenesss-strategien er afdelingsdirektør med ansvar for it-sikkerhed, Torben Anholm (th.) og it-direktør Klaus O. Skjødt (tv.). Helt bevidst har de valgt at lade en stor del af it-sikkerheden hvile på medarbejderne, men holder til gengæld et konstant og vågent øje på de nye trusler.
"Jyske Bank arbejder med værdibaseret ledelse. Det bygger på, at vi forventer, at medarbejderne agerer meget selvstændigt. Den overordede strategi kommer vi på kant med, hvis vi bolter tingene for meget fast," siger Torben Anholm.
Nye trusler øger behov
Hos Jyske Bank er midlet for at højne it-sikkerheden blevet en opkvalificering af medarbejderne. Andre steder gøres det teknologisk. Uanset hvad, er det et valg, som flere virksomheder må tage nøje stilling til, ligesom Jyske Bank også løbende må justere strategien.
It-sikkerheden i danske virksomheder er nemlig under pres fra flere sider. Især af tre grunde.
For det første er der de it-kriminelle. Mens det engang var nørderne, der kompromitterede it-systemerne, er det i dag kriminelle, der går efter økonomiske gevinster ved at bryde elektronisk ind i virksomhederne og eksempelvis stjæle password.
For det andet bliver it-infrastrukturen i mange virksomheder stadig mere sårbar. Bærbare pc'er, PDA'er, smartphones, trådløse netværk, USB-dongles - alle disse nye tekniske og frigørende muligheder, som på mange måder effektiviserer forretningsgange, skaber desværre også en masse nye og måske ukendte indgange for uvedkommende til at trænge ind under huden på virksomheden.
For det tredje bliver it mere kritisk i virksomheder. Mange gange kommer det endda bag på virksomhederne, hvor meget it egentlig betyder, fortæller sikkerhedseksperten Ulf Munkedal fra FortConsult. Navnet på virksomheden er hemmeligt, men det er ifølge en af de større veletablerede danske virksomheder med en årlig milliardomsætning, og som før analysen ikke anså internettet som den store handelsplatform.
"En analyse viste, at deres webapplikation, som de tilbød kunderne at handle igennem som en ekstra mulighed, nu stod for 25 procent af omsætningen," siger Ulf Munkedal.
Og det får en anden it-sikkerhedsekspert, Lars Neupart fra sikkerhedsfirmaet Neupart, til at tvivle på, om danske virksomheder gør det godt nok.
"Jeg hører normalt ikke til dem, der råber "ulven kommer" for tit. Men som trusselsbilledet ser ud, så sætter jeg nu spørgsmålstegn ved, om danske virksomheder er godt rustede til fremtidens trusler," siger Lars Neupart, der medgiver, at angrebene på danske virksomheder hidtil er sket i et meget begrænset omfang, men henviser til, hvordan phishing spirer frem, selv om det for år tilbage blev skudt ned som en trussel, der ikke ville ramme Danmark.
Menneskene er det svageste led
Og sagerne om elektroniske indbrud har været konstateret i Danmark, fortæller Henning Mortensen, der er ansvarlig for it-sikkerhed hos brancheorganisationen ITEK .
"Vi har set eksempler på, at danske virksomheder er blevet truet til at betale løsesum for at undgå, at it-kriminelle lægger deres hjemmeside ned," siger han.
Claus Fonnesbech fra PricewaterhouseCoopers samler op på denne måde:
"I dag går de kriminelle efter virksomhedernes forretningsgrundlag. Og de bruger i høj grad det svage led i kæden, nemlig menneskene," siger han.
Men hvad er det egentlig for et trusselsbillede, vi ser? Hvad skal virksomhederne stille op? CIO har set nærmere på trusselsbilledet og løsningsmuligheder for store og små virksomheder. Billedet er stykket sammen af samtaler med landets førende eksperter og virksomheder.
Jyske Bank mærker fremtidens udfordringer
Først tilbage til Jyske Banks hovedsæde i Silkeborg, hvor it er vigtigt for 100 procent af omsætningen. Som finansinstitut skal og bør it-sikkerheden derfor være øverst på dagsordenen. It er nemlig hele produktionsappararet. Samtidig er der ekstraordinære udfordringer, som blandt andet er reguleres i de såkaldte Basel II-krav. Bankens værdipapirafdeling må eksempelvis for at undgå misbrug ikke have adgang til kreditoplysninger om de børsnoterede selskaber, der også er bankens kunder.
Men selv om it-sikkerheden er et højt prioriteret område i banken, genkender it-sikkerhedens vogtere i banken fremtidens udfordringer.
Dels har it-kriminelle fået øjnene op for danske netbanker, der alene i år har været udsat for en stribe angreb. Ganske vist ikke via bankens medarbejdere, men ved at bryde ind hos kunderne. Det illustrerer dog, hvor vigtig it-sikkerheden er. Udfordringen er, at hele forretningsudviklingen bygger på it. Balancen mellem skarp sikkerhed og udvikling bliver altså endnu vigtigere:
"Der er masser af sikkerhedsfolk, der bare siger nej til nye projekter. Det er en balance. Derfor er det meget vigtigt med realistiske risikovurderinger hele tiden," siger it-direktør Klaus O. Skjødt.
I Jyske Bank foregår det ved, at it-sikkerhed ikke er direkte involveret i nye forretningsudviklingsprojekter, men er med inde over projektet som en sparringspartner.
Målet er penge
Finanssektoren kender især til de nye sikkerhedstrusler. I februar løftede Computerworld sløret for, at danske netbanker på daværende tidspunkt var blevet lænset for 2,6 millioner kroner siden efteråret. Det skete gennem phishing.
Målet er altså penge for dagens it-kriminelle, fortæller it-sikkerhedsekspert Ulf Munkedal.
"Glem billedet af hackeren med langt fedtet hår, der hacker, blot fordi han kan. I dag vil hackerne have økonomisk vinding," siger han.
Men der findes også andre metoder til at få fat i pengene end phishing, og metoden er især trojanske heste som placeres på computere, så hackerne kan anvende dem til eksempelvis DoS-angreb eller opsamling af personlige oplysninger. Ifølge en opgørelse fra it-firmaet CA udgjorde trojanske heste i fjor 62 procent af de nye typer af malware, der blev identificeret.
"Vi vil se deciderede ransom-angreb, hvor kriminelle vil true med at lægge systemer ned eller slette data, hvis de ikke får en løsesum," siger Ulf Munkedal.
Flere bærbare enheder
En ting er truslerne. En anden er virksomhedernes øgede sårbarhed. Brug af bærbare pc'er, PDA'er, smartphones, trådløse netværk er i kraftig vækst. Kravet kommer ofte fra forretningen, der kræver fleksibiliteten, som bliver et konkurrenceparameter.
"Sikkerhedsansvarlige har svært ved at styre, hvor de ansatte kobler de bærbare enheder op. Men det er sandsynligt, at computerne bliver inficeret med noget, som man så bærer tilbage til virksomheden. Netværksafgræsningen er blevet meget sværere," siger Ulf Munkedal.
Sikkerhedsekspert fra Devoteam Consulting, Carsten Jørgensen, nævner et lignende problem.
"Når en medarbejder tager arbejdet med hjem, og arbejder videre fra hjemme-pc'en, stiger risikoen for, at der kommer malware med tilbage, som via eksempelvis USB-stikket eller fra internet-browseren bliver lukket ind på netværket," siger Carsten Jørgensen.
Ingen af de eksperter, som CIO har talt med, råber ulven kommer. Men de gør opmærksom på, at det er væsentligt at tage truslerne alvorligt.
Visse sektorer halter bagefter
Det sker også i mange virksomheder. Men det kniber stadig især i enkelte sektorer og i de mindre virksomheder, vurderer Henning Mortensen fra ITEK, it-brancheorganisationen under Dansk Industri.
"Sikkerhed er kommet højere op på virksomhedernes dagsorden og flere og flere ledelser i virksomhederne anerkender nødvendigheden. Men vi har stadig brug for fokus. Specielt i de mindre virksomheder og i servicevirksomheder," siger Henning Mortensen.
Han mener eksempelvis, at de helt små servicevirksomeheder som frisører og kiosker bør skærpe indsatsen.
"Det kan snildt være releavant for dem at beskytte eksempelvis deres økonomisystem. Har en hacker først fået adgang til sådant et system, er det meget nemt at fifle med nogle tal, så det bliver ubrugeligt bagefter - og i sidste ende koste dyrt på tillidskontoen hos for eksempel leverandører," siger Henning Mortensen.
Og at it-sikkerheden er et kildent emne i de små- og mellemstore virksomheder sandsynliggøres af en ny europæisk undersøgelse foretaget af sikkerhedsfirmaet McAfee. Den viser, at kun en ud tre af de såkaldte SMV'er (små og mellemstore virksomheder) har it-sikkerhed som et aspekt i medarbejder-oplæringen. Og kun en ud af fire af de samme virksomheder har rent faktisk formuleret sikkerhedspolitikker for håndtering af bærbare computere og mobile enheder generelt.
Skræmmende resultat
Ganske vist indgår ingen danske virksomheder i undersøgelsen, men nordisk marketingchef hos McAfee, Bo Engelbrechtsen, mener, at undersøgelsens resultater godt kan overføres til danske forhold.
"Resultaterne er skræmmende. Især når man tænker på, hvor mange mennesker, der hele tiden skifter til et nyt job," siger Bo Engelbrechtsen.
Undersøgelsen viser endvidere, at der er dobbelt så mange af de mindre virksomheder, der taler om den fysiske sikkerhed i forhold til it-sikkerhed på introduktionskurserne.
"Virksomhederne har i de senere år fået styr på trusler som virus og spam, men de glemmer, at it-sikkerhed også handler om, at man kan sætte et USB-stik eller et digitalt kamera til computeren," siger Bo Engelbrechtsen.
Netop at medarbejderne lærer at begå sig i forhold til it-sikkerhed ser flere af eksperterne, CIO har talt med, som en helt klar forudsætning for at styrke it-sikkerhedspolitikken. Den del vender vi tilbage til.
Ledelsesforankringen er uundværlig
For awarenessdelen er kun et af flere redskaber, som virksomheder, der vil styrke it-sikkerheden, bør tage i brug. Først og fremmest handler det om at få skabt ledelsesforankringen. Alle eksperter nævner vigtigheden af, at it-sikkerhed kommer på ledelsens agenda på linje med den fysiske sikkerhed og generel risikohåndtering.
Sikkerhedsekspert hos ITEK, Henning Mortensen, kalder det en holistisk tilgang til it-sikkerhed.
"Det er alfa og omega, at ledelsen tager ansvar og udstikker de overordnede retningslinjer. Ellers kommer it-sikkerhedspolitikken ikke i overensstemmelse med strategien, og så risikerer it-sikkerhedsafdelingen at beskytte aktiver, der slet ikke har værdi," siger Henning Mortensen.
Han anbefaler danske virksomheder at knytte it-sikkerheden op på de anerkendte standarder som for eksempel ISO17799, BS7799, DS484 og ISF. DS484 er det danske model, og ganske snart udgiver ITEK sammen med Dansk Standard sikkerhedshæfter om efterlevelse af denne danske standard. Problemet er nemlig, at det officielle indhold kan virke lidt tørt på personer, der ikke har forstand på it-sikkerhed, hvilket dermed bliver en barriere mod yderligere udbredelse.
"Ved man ikke noget om it-sikkerhed og sætter sig ned og læser DS484, falder man i søvn. Vi har tygget det igennem og beskrevet, hvad virksomhederne især bør fokusere på," siger Henning Mortensen.
Tal ledelsens sprog
Ledelsesforankringen er nemlig vigtig for at sørge for, at it-sikkerhedspolitikken beskytter det rigtige, fortæller senior manager Daniel de Visme fra PricewaterhouseCoopers.
"Det handler om nogle grundlæggende forretningsmæssige beslutninger," siger han.
Han mener især, at it-sikkerhedsfolkene bør være i stand til at kommunikere i forretningssprog.
"De skal forstå forretningen. Om virksomheden lever af at være hurtigst, billigst eller mest innovativ afgør, hvor it-sikkerhedsindsatsen bør være størst. Og det er næppe forretningsdelen, der for alvor sætter sig ind i it-sikkerhedspolitikker," mener Daniel De Visme.
Samme melding kommer fra it-sikkerhedseksperten Lars Neupart.
"I virkeligheden er det ret banalt. I stedet for eksempelvis at tale om at kompromittere fortroligheden i vores kunders data, hvilket ikke er direktør-sprog, så tal til en salgsdirektør om brist på troværdigheden, hvis kunderne ikke kan have tillid til os," siger Lars Neupart.
Efterspørgsel efter pressekurser
Meget tyder dog også på, at det er ved at gå op for mange virksomheder. PricewaterhouseCoopers oplever, at it-lederne i dag efterspørger lederkurserne, mens de tidligere gik mere op i at blive certificeret i forskellige it-sikkerhedsaplikationer, fortæller seniorkonsulent Claus Fonnesbech. Han oplever endda stor interesse for noget så ikke-teknisk som pressetræning.
Egentlig er det et udtryk for, hvor kritisk it er ved at blive for virksomhederne, mener Claus Fonnesbech.
"Mange af virksomhederne har oplevet, hvordan en brist i it-systemerne er årsag til en forretningskrise. Dermed vokser behovet for at kunne forklare sig over for kunderne og eller give input til kommunikationsafdelingen om, hvad den skal kommunikere," siger han.
Men hvad gør de små- og mellemstore virksomheder, som der jo trods alt er ret mange af i Danmark - og hvor der ikke altid er en stor it-sikkerhedsorganisation eller tid til at fokusere it-sikkerheden? Svaret kunne ifølge Lars Neupart være outsourcing. For selv om virksomheden hører til de mindre, er behovet for it-sikkerhed ikke mindre.
"Det kan være bedre at bruge en hosted løsning, hvis man ikke selv er i stand til at håndtere it-sikkerheden," siger Lars Neupart.
Awareness - men hvorfor?
Når it-sikkerhedspolitikken er på plads, og ledelsesforankringen er sikret, kommer næste skridt for virksomheden: Implementeringen.
Groft forenklet er der to metoder. De fleste virksomheder vælger en kombination med mere eller mindre vægt på de to metoder.
Den ene handler om at være up-to-date på de nye, teknologiske muligheder, som hele tiden forsøger at holde trit med de nye trusler (se også artiklen "Teknologisk sikkerhedsfiks"). Den anden metode er uddannelse af medarbejderne - også kaldet awarenesss.
Især sidstnævnte metode vinder stærkt frem. Medarbejderne er nemlig ofte et af de svageste led i virksomheders it-sikkerhed.
Jyske Bank har - som tidligere beskrevet - haft held til at styrke medarbejdernes bevidsthed om it-sikkerhed. Helt bevidst valgte banken at lade en del af it-sikkerheden hvile på medarbejdernes skuldre.
"Vi forventer, at medarbejderne kan arbejde selvstændigt, og det kommer vi på kant med, hvis vi bolter alting fast med mekanik," siger Torben Anholm, der er afdelingsdirektør med ansvar for it-sikkerhed i hele Jyske Bank, der har over 4.000 medarbejdere på landsplan.
Jyske Bank har derfor valgt at lære medarbejderne it-sikkerhedspolitikken at kende. Eller en fortolkning, om man vil. Den officielle it-sikkerhedspolitik, der er godkendt af bestyrelsen, er i medarbejderversionen konverteret til et mere letfordøjeligt sprog. Uden at gå i detaljer lægger den op til en høj ansvarsfuldhed hos medarbejderen og enkle, men meget klare forbud. Eksempelvis er det forbudt for medarbejderne at benytte deres private webmail.
At medarbejderne har et stort ansvar kommer blandt til udtryk ved, at en medarbejder i Jyske Banks afdeling i Skagen let kan få fat i data på en kunde, der ellers er knyttet til afdelingen i Brædstrup. Kunden har altså mulighed for at få ordnet sine bankforretninger overalt i Danmark.
Til gengæld slår banken hårdt med på tillidsbrud.
Strategien med at fokusere på awarenesss har fungeret, vurderer Torben Anholm. Ganske vist sniger der sig fortsat malware og spyware ind ind på bankkoncernens computere, men der har endnu ikke været nogen alvlorlige brud på sikkerheden.
Hos Lundbeck valgte ledelsen en lignende strategi. Medicinalkoncernen satser også på en høj grad af awareness hos medarbejderne.
Her genkender Corporate Information Security Manager, Lars Thomsen, de stigende krav til it-sikkerheden. På den ene side forlanger forretningen fleksibilitet og adgang til systemerne overalt. På den anden side stiger trusselsbilledet. Kunsten er at finde balancen.
"Det nemmeste ville jo være at klippe adgangen til internettet og klistre alle USB-indgange til. Men det går selvfølgelig ikke. Naturligvis har vi masser af teknologi, der beskytter virksomheden, men vi altså også valgt den strategi, at vi stoler meget på medarbejderne," siger Lars Thomsen, der har ansvaret for informationssikkerheden.
Helt konkret skaber Lundbeck løbende awareness gennem kampagner, ligesom it-sikkerhed er en del af Lundbecks intranetportal.
Awareness beskytter mod nyeste trusler
Men der er også en anden grund til, at awareness er et vigtigt led i it-sikkerheden hos virksomhederne. Visse typer af sikkerhedstrusler kan nemlig kun stoppes ude hos medarbejderne - dem, der er så nye, at de endnu ikke er registreret af teknikken.
"Teknikken kan ikke altid finde og beskytte alt. Man kan sammenligne det med at flyve. Der er nogle tekniske løsninger i form af metaldetektorer. Men samtidig er der nogle meget tydelige regler om ikke at bære knive eller medbringe væske," siger sikkerhedskonsulent Jakob Braun fra CA.
Det betyder dog ikke, at awarenesss blot er en standardløsning, der skal trækkes ned over enhver organisation, mener project director Philip Nordfalk fra Devoteam Consulting.
"Awarenesss og metoderne er meget afhængige af kulturer. Selv om man sidder i en global koncern, kan der godt være forskelle i metoderne, om det er en afdeling i Danmark eller Singapore," siger han.
Selv om skærpelsen af medarbejdernes opmærksomhed på it-sikkerhed handler meget om uddannelse, findes der også teknologiske løsninger, der hele tiden hjælper med at skærpe medarbejdernes awarenesss.
"Man kan få systemer, der giver mulighed for, at medarbejderen via et signalsystem får besked, hvis vedkommende ved besøg på en hjemmeside kommer på kant med it-sikkerhedspolitikken. Det er også en metode til at regulere adfærden," siger Jakob Braun.
Ikke nemmere fremover
It-trusler synes at være kommet for at blive. På samme måde stigerne kravene til forskellige anvendelsesmuligheder.
Det mærker it-direktør Klaus O. Skjødt og afdelingsdirektør Torben Anholm også i Jyske Bank.
"Vi er pisket til at tage stilling til at begynde at anvende kommunikationsformer, som igen stiller nye krav til it-sikkerheden. Unge kommunikerer jo på en helt anden måde med hinanden i dag," siger Torben Anholm, der blandt andet tænker på brugen af Instant Messaging i professionelt øjemed.
"Vi slipper formentlig ikke for at åbne op hist og her," siger han.
Men selv om udviklingsorganisationen - i Jyske Bank personificeret af it-direktør Klaus O. Skjødt - presser på for at anvende nye teknologier, vil en velovervejet risikovurdering i it-sikkerhedsafdelingen altid få det sidste ord.
Det hænger dybt sammen med, at det, som banken i bund og grund lever af, er en dyb troværdighed, forklarer Klaus O. Skjødt.
"Vi varetager folks penge. Vi ligger inde med fortrolige oplysninger. Derfor er det ekstremt vigtigt at sige, at vi aldrig vil gå kompromis med it-sikkerheden," siger Klaus O. Skjødt.
Faktaboks:
Om Jyske Bank
Grundlagt i 1967
Tredjestørste pengeinstitut i Danmark
4.026 ansatte
240.000 aktionærer (ingen af storaktionærerne har dominerende indflydelse)
119 danske afdelinger. Hertil kommer seks udenlandske og en dansk enhed i Jyske Bank Private Banking
Egenkapital på 9,2 mia. kr.
Komplet sortiment af finansielle løsninger til private og små og mellemstore virksomheder
Datterselskaber: Jyske Finans, Gl. Skovridergaard, Silkeborg Data og Nordisk Factoring.
Samarbejder blandt andet med: Jyske Invest, JN Data, Nykredit, Totalkredit, DLR Kredit og PFA Pension.
Faktaboks:
Trusselsbilledet 2007
Hvad skal du være opmærksom på i 2007?
CA peger blandt andet på disse tendenser:
Hackerne går i højere grad efter enkeltpersoner og bestemte virksomheder
De kan eksempelvis lokke dig ind på en side med hasardspil eller porno, som er forberedt med farlig kode. Ved besøget på siden sniger koden sig ind på din computer og sender så løbende personlig eller fortrolig virksomhedsinformation ud til hackeren, som derefter kan misbruge dit kreditkort eller sælge insiderviden om din arbejdsplads.
Nye angreb kombinerer forskellige hacking-teknikker
For at snyde dine sikkerhedsprogrammer kombinerer hackerne i stigende grad de forskellige hacking-teknikker. Eksempelvis kan "trojanere" (dvs. skadelig kode der gemmer sig under dække af at være et harmløst, brugbart program), bruges til at distribuere kode til dine venner, hvilket giver hackeren kontrol over deres maskiner.
Flere hackere vil udnytte svagheder i din browser
I stedet for at bruge kræfter på at angribe med traditionelle metoder afsøger hackerne i stigende grad nye versioner af populær software for at finde "huller" i koden, som kan udnyttes. Henter du gratis software på nettet, er du derfor ekstra sårbar, da denne type software typisk har mange "huller".
"Phishere" bliver endnu snedigere
Mange har nu hørt om falske mails, der ligner henvendelser fra din bank, men som i virkeligheden skal lokke dit password ud af dig. Derfor bruger hackerne nu nye måder at udnytte din tillid til mails fra banken. For eksempel kan de finde på at sende dig en mail, som advarer dig om et sikkerhedsbrud på din konto. Så snart du åbner mailen, installeres ondsindet kode på din maskine og venter på at opsnappe dine adgangskoder.
Nye "bagdøre" bliver sværere at spore
Hackerne har udviklet en ny teknik til at holde "bagdøre" åbne på din pc. De sniger et stykke ondsindet kode (rootkit) ind i dine skjulte systemfiler. Herfra åbner koden en skjult bagdør, hvorfra hackeren kan sende programmer ind, der eksempelvis kan finde og kopiere nøglefilerne til din bank og registrere, når du indtaster din adgangskode.
Søgemaskiner bruges som våben
Hackerne vil i stigende grad manipulere med søgemaskinerne og sørge for, at hackernes egne sider med ondsindet indhold dukker op højt på listen, når du søger på populære eller bestemte søgeord.
Meget mere spam
De sidste tre måneder af 2006 viste en voldsom vækst i udsendelsen af spam. Særligt brugen af billedbaseret spam er eksploderet, fordi denne type snyder de fleste spam-filtre.
Faktaboks:
Brugbare værktøjer
Sikkerhedsstandarder kan være et rigtig godt værktøj hvis man skal arbejde med informationssikkerhed. Der findes en række forskellige standarder.
Hvis man snævert arbejder med informationssikkerhed kan ISO17799, BS7799, DS484 og ISF anbefales som inspiration.
Hvis udgangspunktet er kontrol og intern revision kan man tage udgangspunkt i Cobit, som implementerer COSO, og er i overensstemmelse med Sarbanes-Oxley-lovgivning.
Når udgangspunktet er modenhed, kan der henvises til CMMI.
Sikkerhed i forbindelse med udvikling af produkter er standardiseret i Common Criteria.
Arbejder man med servicedesk, kan der henvises til ITIL.
Kilde: Itek
Sidehistorie:
Teknologisk sikkerhedsfiks
Selv om oplæring af medarbejderne af mange eksperter fremhæves som stærke værktøjer til at imødegå et mere raffineret it-sikkerhedstrusselsbillede, kan det ikke gøre alt. Der er også et væld af initiativer af mere teknologisk karakter, som it-lederne bør overveje at kaste sig over.
Ifølge sikkerhedsekspert Ulf Munkedal fra FortConsult, bør it-sikkehedsansvarlige især have fokus på fem områder.
1. Skab et overblik over netværket. Få kortlagt alle indgange såsom linjer til samarbejdspartnere, smartphones, webapplikationer med forbindelse til databaser og trådløse netværk.
"Med en meget lille indsats kan man få et overblik over, om der er nogle steder, hvor sikkerheden skal styrkes," siger Ulf Munkedal.
2. Flere it-kriminelle forsøger at trænge ind på det interne netværk - og får de først fat, går det ofte galt. Netværket kan med fordel segmenteres, så en afdeling - ligesom på en ubåd - kan lukkes af, så andre dele af netværket kan arbejde videre.
3. Tjek på sikkerheden på de bærbare enheder. Er den god nok? Er der firewall og antivirusbeskyttelse på alle maskiner.
4. Tjek webapplikationerne. Her er det meget vigtigt, at de er udviklet og designet, så der ikke er sikkerhedshuller.
"Ofte er det en proces, der skal sikres allerede ved udviklingen af applikationerne, hvor det i kontrakten med udvikleren bør beskrives, at der skal tages højde for i hvert fald de ti mest anvendte sårbarheder," siger Ulf Munkedal, som henviser til, at man som udgangspunkt kan anvende top 10 listen på owasp.org.
5. Findes der uautoriserede trådløse netværk?
"Vi ser i selv meget veletablerede virksomheder, at nogen uden fra it-afdelingen har investeret i et acesspoint og dermed skabt deres eget trådløse netværk oven på hovednetværket. De tror måske, de gør virksomheden en tjeneste, men det gør de langt fra," siger Ulf Munkedal.
Luk huller alle steder
Fra Devoteams sikkerhedsekspert Carsten Jørgensen lyder en opfordring til også at holde et vågent øje med sikkerhedshuller i interne applikationer. Traditionen i mange virksomheder har ellers været at fokusere på at "patche" eksterne webapplikationer.
"Brugerapplikationer er altid kommet langt senere. Men med det nye trusselsbillede går det ikke længere," siger Carsten Jørgensen.
Steen Pedersen, it-sikkehedsekspert hos Orange Business Services, peger på flere relevante, teknologiske værktøjer. Men han hæfter sig især ved et, der har vist sig at være meget brugbart.
Det handler om URL/WEB-filtrering, hvor bestemte kategorier af hjemmesider simpelthen blokeres fra netværket.
"Mange tror, URL-filtrering handler om at blokere bestemte websites for at optimere de ansattes tid. Men det viser sig at være et meget effektivt værktøj til at forbedre sikkerheden," siger Steen Pedersen.
Med URL-filtrering - en scanning af alt webtrafikken - lykkedes det en virksomhed at reducere antallet af identificerede virus via webkommunikation fra 40.000 om måneden til 400.
"Det er absolut en metode, hvor man får meget sikkerhed for pengene. Et ekstra plus ved et URL-filter, er at det også kan blokere adgang til websites som indeholder nye og ukendte trusler," siger Steen Pedersen.
Han peger desuden på andre relevante værktøjer i en situation med et mere raffineret trusselsbillede. Han fremhæver blandt andet "Vulnerability Management", "Firewall log analyse" samt "Network Admission/Access Control". Sidstnævnte tjekker sikkerheden på de systemer, der er koblet på netværket.
OriginalModTime: 20-03-2007 13:30:55