En fyret medarbejder lægger en logisk bombe i virksomhedens it-system, inden han smækker med døren og går.
I et konkret tilfælde fra Danmark havde en fyret medarbejder fra en unavngiven større virksomhed sat serveren til at slette bestemte filer på bestemte tidspunkter. Det var til stor frustration for de efterladte kolleger.
Serveren opføre sig mere og mere underligt. Man genstartede og den slettede noget mere.
Mistanken pegede hurtigt mod den fyrede medarbejder. Det måtte være ham, der havde pillet.
Men sagen fik ikke noget efterspil, for det kunne ikke bevises, at han var den skyldige.
Dropper sagen ved begrænset skade
Det er sikkerhedskonsulenterne hos PricewaterhouseCoopers (PwC), der fortæller historien, og den slags historier kan sikkerhedskonsulenterne flere af.
Det er nemlig helt normalt, at de ansattes ugerninger mod virksomhedernes it-systemer yderst sjældent får et retsligt efterspil.
For virksomhederne mangler i stor stil værktøjerne til at dokumentere ulovlighederne.
"Det er meget komplekst at løfte bevisbyrden overfor politiet. Det er svært at samle beviserne, og her mangler virksomhederne ofte færdighederne," siger Jesper Hansen, senior it-sikkerhedskonsulent hos PwC.
Virksomheden får for lidt ud af at køre sagen og dropper den, især hvis skaden er begrænset, fortæller Jesper Hansen.
Et andet dansk eksempel er en større virksomhed, som blev hacket.
Man troede først, at det var en intern medarbejder, der stod bag indbruddet, men da teknikerne kiggede systemerne efter, fandt de flere steder, hvor hackeren havde efterladt sig tags, små signaturer, der viste, han havde været der. Lidt ligesom Killroy was here.
En kvik hacker fra PwC opdagede, at det samme navn blev brugt på en dating-side i Canada, og man fandt ligefrem et billede af gerningsmanden - en ung nørd, som havde hacket sig hele vejen ind.
- Motivet blev aldrig klart, men efterforskningen stoppede ved grænsen. Selv om du har alle informationerne, skal du igennem politiets it-støtteenhed, over Interpol og det canadiske politi.
Derfor dropper man det, hvis skaden ikke er større, end at han har været inde og kigge, siger Jesper Hansen.
Retsmediciner i it
Det er her, det store dyr i it-sikkerhedsåbenbaringen stikker hovedet frem: IT Forensics, eller retsteknisk bevissikring.
- IT Forensics er et område i kraftig vækst. Virksomhederne har brug for et metodesæt, så de kan dokumentere tingene. Man kan ikke føre en sag uden beviser, og derfor bliver de fleste sager ikke til noget, siger Jesper Hansen.
Det er især de store virksomhederne, der kræver, at deres it-afdelinger skal kunne lave denne form for efterforskning, oplyser han.
Uddannelsen til "it-retsmediciner" foregår typisk i udlandet - for eksempel hos Forensics SANS Institute.
PwC Academy, der er agent for SANS i Danmark, har i øvrigt inviteret forensics-eksperterne fra SANS til at afholde en trænings-bootcamp i Danmark i marts, hvor danske it-sikkerhedsfolk vil få lejlighed til at høste erfaringer.
Centraliseret logning i støt vækst
Grundlæggende handler det om at have gode logfiler på systemet, der logger de rigtige ting. Det er en disciplin i sig selv at finde ud af hvad, der skal logges.
- Skal man have et overblik over 70 servere og utallige VPN-opkoblinger, er man interesseret i et centralt overblik over logfiler. Det område har været i støt vækst de seneste to år, siger Jesper Hansen.
Det er ikke kun for kunne bekæmpe de ondsindede medarbejdere, at overvågningen af de forretningskritiske systemer er nødvendig.
De godsindede medarbejdere kan nemlig også uforvarende komme til at lave ballade.
For eksempel var der it-manden, som i sin fritid også var passioneret amatørastronom.
Jo mere regnekraft han kunne bidrage med til beregning af stjernepositioner, jo højere kom han op på ranglisten i sit stjernekigger-community.
Så han satte firmaet kraftige servere i gang, og virksomheden undrede sig over, at deres servere kørte så langsomt.
Stjerneaktiviteten blev opdaget, og manden slap med en reprimande.
