Når en virksomhed vælger at få installeret en tyverialarm til sine lokaler, så er det vel næppe
fordi man regner med at det giver 100% sikkerhed imod tyveri. Nej, det er simpelthen fordi man vil
sikre sig, at fra det øjeblik der er et indbrud og alarmen aktiveres, så er
der nogen der tager affære.
Reaktionstiden er nu det vigtigste, og skaden afhænger oftest af hvor hurtigt en vagt kommer frem til gerningsstedet og får stoppet indbruddet.
Når det drejer som IT-sikkerhed, er det samme billede og mekanismer der er gældende, og det
vigtigste.. TIDEN! Når en hacker prøver at komme ind eller måske allerede er kommet ind på din
Web eller interne netværk, er tiden den afgørende faktor så:
- Hvem i din organisation får alarmen?
- Hvad skal reaktionstiden være fra alarmen har lydt?
- Forstår du alarmen, - er den i et sprog der enkelt fortæller dig, hvad du
skal foretage sig?
Hvis du har alle ovenstående ting på plads i et velfungerende system, er det næste at finde ud af hvad der egentlig ville ske, hvis vi et øjeblik vender tilbage til
almindelig form for tyveri. Så vil man opdage, om der er taget nogle ting f. eks. computere, papirer etc.
Nogle har videoovervågning, der optager hvem tyven er og hvad han foretager sig. Men når
det gælder elektronisk kriminalitet er forskellen jo, at man ikke direkte kan se, hvad hackeren
stjæler. Til forskel for almindelig tyveri, kan elektronisk kriminalitet lige så godt foregå om
dagen. Det er jo lidt sværere at gå ind i en virksomhed om dagen og lave tyveri, hvorimod hackere som regel arbejder døgnet rundt, især hvis alarmsystemet ikke fungerer, hos den han angriber.
Hvis hackeren er kommet igennem dit forsvarssystem, er det vigtigste at være i stand til at
følge hans spor. Man skal huske at hvis han har være i stand til at knække et validt brugernavn og password, er han jo set fra systemets side en godkendt bruger. Han har nu rettigheder som et
alarmsystem ikke nødvendigvis reagerer på. Så nu har vi brug for et system der ligesom
videoovervågningen har optaget hvad der er foregået.
Og gudskelov har de fleste systemer i dag en mulighed for at logge hvad der foregår. Men problemet er bare, at denne logning ikke er sat til og hvis den er sat til, kræver det jo at man
jævnligt gennemgår denne log for uregelmæssigheder. Der er jo ikke meget værd at man logger
ting, hvis ingen gennemser eller forstår indholdet af logen. Det kræver stor ekspertise at forstå de meddelelser som en log indeholder. En firewall bør eksempelvis logge alt hvad der foregår,
herunder indgående og udgående trafik. En almindelig dansk virksomhed kan
nemt generere 100.000 log linier pr. dag, så det er som at lede efter en nål i en høstak,
hvis ikke man præcist ved, hvad man leder efter.
Interne systemer, der indeholder følsomme data såsom økonomi eller kundedata, bør også
registrere hvornår man logger af og på. Eksempelvis er det jo acceptabelt, at jeg logger ind på
vores økonomi system 3 gange i løbet af en dag, men det er ikke normalt at jeg prøver at logge ind 10 gange indenfor nogle få minutter. Dette bør et sikkerhedssystem opfange, og gøre den
sikkerhedsansvarlige opmærksom på, at der foregår noget usædvanligt. Måske var situationen i orden, men det er i hvert fald usædvanligt.
Starten på min artikel er "Hvor hurtig kan du reagere på et hacker angreb"
og mit budskab er at ligesom med tyverialarm på hoveddøren, bør der også være tyveri- og
angrebsalarm på et IT-system.
Hvad enten man outsourcer denne funktion eller man selv har ekspertisen, så
bør der være en klar plan for niveauet af sikkerheden. Husk ingen produkter er 100% sikre,
men med hjælp fra eksperter i IT-sikkerhed kan man få sikkerheden på et niveau, der matcher
den risiko for IT-indbrud, din virksomhed er udsat for.
Ole Schmitto er ejer og adm. direktør for eSec A/S, han har siden 1987 beskæftiget sig indenfor IT-sikkerhed, herunder som ejer af IT-sikkerheds distributøren Tempest A/S, i april i år blev det besluttet at starte eSec A/S, hvis fokus er 100% outsourcing af danske virksomheders IT-sikkerhed.
