Hver tredje it-ansatte har udnyttet sin position til at se data, han ikke er autoriseret til.
Det fremgår af undersøgelsen "Trust, Security & Passwords," som firmaet Cyber-Ark nu har gennemført tre år i træk.
Sidste år havde 33 procent af de adspurgte snaget i andres data, i år var tallet 35 procent.
Undersøgelsen bygger på oplysninger fra over 400 it-folk i USA og Storbritannien, hovedsagelig fra større virksomheder.
De data, it-folk har adgang til, omfatter blandt andet løn- og personalesystemer, kundedatabaser og planer for nye produkter.
Tre ud af fire kan omgå
It-folkene blev også spurgt, om de er i stand til at omgå de restriktioner for adgang til data, som virksomhederne anvender. Her svarede 74 procent, at det mente de godt, de kunne.
Skønt undersøgelsen kommer fra et firma, der sælger software til adgangskontrol og beskyttelse af data, er jeg enig i konklusionen: Truslen fra insidere er reel.
I krisetider bliver truslen større: Hvis en ansat frygter for sin stilling, kan han gå i gang med at indsamle information, der kan bruges, hvis han bliver fyret.
Beskyt data bedre
Desværre ser jeg mange steder, at man ikke gør meget for at beskytte mod den interne trussel. Firmaerne investerer i firewalls og antivirus til beskyttelse mod angreb udefra. Men data på serverne er ukrypterede og kun beskyttet med et administratorpassword.
Forklaringen på den manglende beskyttelse er, at der er to modsatrettede interesser: På den ene side skal it-folkene have adgang til at udføre deres arbejde. De skal kunne starte og stoppe servere, fejlfinde og løse problemer, tage backup af data og i det hele taget administrere systemerne.
Men på den anden side vil man gerne forhindre, at de kan læse eller ændre på data, som er fortrolige.
Der findes flere bud på løsninger. Mange af dem involverer kryptering på forskellige niveauer.
Man kan for eksempel indføre kryptering af fortrolige dokumenter. Så kan de kun læses af dem, der har nøglen til dem.
Det er forholdsvis enkelt på filniveau. Taler vi om databaser, bliver det lidt mere kompliceret.
Her er det også muligt at kryptere data. Men man skal afgøre, hvilket niveau det skal foregå på. Det vil sjældent være tilstrækkeligt at kryptere hele databasen med samme nøgle - for så giver den nøgle adgang til alle data.
En mere finkornet kontrol er nødvendig, hvor man fx kan begrænse adgangen til bestemte tabeller eller poster til medarbejdere med bestemte roller.
Det er ikke enkelt. Men det er værd at gøre, hvis dine data er værd at beskytte mod misbrug.
DK-CERT er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.
Shehzad Ahmad opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.
