Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den CTO d. 3. maj 2007.
sikkerhed Væksten i danskernes brug af
online-spil betyder øget fokus på sikkerheden i online-applikationerne.
"Du har indtil kl. 17 din lokale tid. Jeg vil nu starte et angreb i en time. Det vil være 1/20 af den styrke, som jeg har til rådighed."
Sådan lød en e-mail sendt til den engelske online-bookmaker Blue Square i 2004. Hvis ikke firmaet betalte 7.000 euro til pengeafpresseren, truede han med at lægge Blue Squares online-system ned med et såkaldt Denial of Service-angreb.
Blue Square var blot en af mange engelske bookmakere, der i 2004 oplevede de første afpresningsforsøg mod deres online-forretning.
Danske Spil, den tidligere Tipstjeneste, har hidtil været forskånet for Denial of Service-angreb.
"Der har været portscanninger og andre småting, men vi har ikke været udsat for de store bombardementer," siger Tommy Færk, sikkerhedschef i Danske Spil.
Danske Spil er med i interesseorganisationen World Lottery Associa-tion (WLA). Her udveksler de forskellige nationale lotterier blandt andet erfaringer vedrørende sikkerhedsspørgsmål.
"Vi har selvfølgelig diskuteret de potentielle trusler, men ingen i WLA har været udsat for den slags. Det hænger nok sammen med, at man ved, at lotterierne fokuserer meget på sikkerhed og troværdighed for kunderne," siger han.
Løbende risikovurdering
Det er dog ingen sovepude for sikkerheden i Danske Spil.
"Vi foretager en løbende risikovurdering af, hvor skal vi sætte ind. Før kiggede vi meget på perimetersikkerhed (hul i firewall, portscanning). Det gør vi selvfølgelig stadigvæk, men i dag gør vi meget mere ud af applikationssikkerheden. Sikkerheden indtænkes helt fra starten i udviklingen af nye spil. Hvis sikkerheden ikke er i top, vil vi miste vores troværdighed," siger Tommy Færk.
Danske Spil udvikler ikke selv spil, men har udviklere fra spil-leverandørerne siddende fysisk i Danske Spils lokaler, så kontakten og kommunikationen til udviklerne er tæt.
"Systemleverandøren tester selvfølgelig selv sine applikationer. Derudover anvender vi også en tredjepart til at teste systemerne. Her bliver applikationerne banket godt igennem for at finde eventuelle sårbarheder herunder SQL Injections og Cross site scripting, som er udbredte sårbarheder i applikationer," forklarer han.
Testerne afprøver også systemerne ved at undersøge, hvad man kan gøre, når man er oprettet med et bruger-id. Er det eksempelvis muligt at manipulere med data?
Overvågningen er outsourcet
Selvom der er stor fokus på applikationssikkerhed, har Danske Spil ikke glemt netværkssikkerheden, men valgt at lade en ekstern leverandør varetage overvågningen af netværket.
"Vi har bokse med IDS (intrusion detection system, red.) og IPS (intrusion prevention system, red.) Vi har så FortConsult til at holde øje med IDS'en 24 timer i døgnet. Hvis der opstår alarmer, finder de ud af, om IDS'en har registeret et angreb, eller om der er tale om en falsk positiv," siger Tommy Færk.
Før Danske Spil købte overvågningsløsningen StayReady fra Fort Consult, havde spilgiganten en anden løsning, hvor Danske Spil skulle bruge mere tid på den daglige drift og vedligeholdelse, og hvor sårbarhedsmønstre var længere tid om at blive implementeret. Analysen af log-filer fra de forskellige netværksenheder var bagudrettet.
"Løsningen, vi har i dag, er mere proaktiv, hvor den gamle var reaktiv med en forholdsvis lang responstid. Det betød, at eventuelle sikkerhedsbrud først blev opdaget sent. Det fungerede i starten, men efterhånden som kunder og omsætning i Danske Spils internet online-del steg, blev det nødvendigt med bedre overvågning," forklarer han.
Boks: Danske spils online-omsætning
Siden Danske Spil startede med internet online-spil i 2002 er omsætningen via denne kanal steget markant. Det øger fokus på sikkerheden i internet-applikationerne.
Internetomsætning i procent af
Danske Spils totale omsætning:
2002: 0,4 procent
2003: 4,9 procent
2004: 8,4 procent
2005: 9,8 procent
2006: 13,3 procent
Kilde: Danske Spils Årsrapport 2006
Billedetekst: overvågning Tommy Færk står for sikkerheden i Danske Spil. Han har etableret 24 timers overvågning af Danske Spils website som tilbyder onlinespil som Lotto, Tips og Oddset. Foto: Torben klint
OriginalModTime: 03-05-2007 14:17:51
