Trafikken på en god håndfuld kommuners netværk bliver set rigtig godt efter i sømmene hos it-selskabet KMD.
Her er der hverken brug for big brother-betegnelser eller kommunale Edward Snowden'er, da kommunekunderne selv betaler it-giganten for netværksovervågningen, der foregår via forskellige værtøjer hos KMD.
KMD's sikkerhedschef Rasmus Theede fortæller således, at der er en øget efterspørgsel på logningsovervågning på flere kommunale it-systemer.
Han fremhæver blandt andet det store data-indbrud hos CSC sidste forår som en af årsagerne til den øgede sikkerhedsinteresse hos kommunerne.
"Før i tiden var det nok, at vi var ISO-certificerede. Nu skal sikkerheden i højere grad kunne dokumenteres, og der bliver i stigende grad stillet spørgsmål til eksempelvis logning, når vi afgiver tilbud," forklarer Rasmus Theede.
Køber mere avanceret overvågning
Han fortæller, at logningen blandt andet foregår ved hjælp af et software-værktøj, som Computerworld tidligere har beskrevet.
"Vi logger og sikkerhedsovervåger alt, hvad der hører under KMD. Det vil sige, at befinder kundens infrastruktur sig i vores datacentre, og bliver dette datacenter forsøgt angrebet, vil vi søge at detektere det og forhindre det fra centralt hold," forklarer Rasmus Theede.
Han understreger, at det er kundernes sikkerhedsdata fra eksempelvis firewalls og antivirusssystermer, der bliver logget og altså ikke kundedata som mails og deslige, med mindre kunden specifikt har bedt om det.
Udover logningsovervågningen har enkelte kunder købt sig til mere avanceret overvågning, som udover logningsregistrering af alle museklik på netværket også indbefatter manuel overvågning og løbende sikkerhedsanalyser hos KMD.
"Vurderer vi, at angrebet er målrettet mod en specifik kunde, tager vi typisk fat i denne kunde, med vores anbefaling til, hvordan der bør reageres rent sikkerhedsmæssigt. Vi udfører kun avanceret sikkerhedsovervågning mod kundernes specifikke miljøer, hvis de aktivt har bedt os om det."
Livsvigtig logning
Rasmus Theede har i sin karriere hos KMD og blandt andet tidligere Maersk og NNIT haft over 1.000 sikkerhedshændelser inde på livet, og fortæller, at det er sjældent, at to hændelser er ens, hvilket derfor kræver vidt forskellige reaktionsmønstre.
Her er tre gode ting ved ultimativ logning
Eksempelvis skal der konstant luges ud i den irriterende malware, mens industrispionage er i en helt anden boldgade.
"I sådanne tilfælde er det helt nødvendigt, at logningen er fuldstændigt på plads," forklarer Rasmus Theede og fortsætter:
"I første omgang for at kunne reagere hurtigt og få lukket angriberen ude, i anden omgang for at kunne analysere præcist, hvad der er sket. Der kan blive brugt mange tusinde mandetimer på at finde ud af hvor en angriber ikke har været."
Tre gode ting
Han fremhæver overordnet tre gode ting ved netværksovervågningssoftware.
