Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned i Børsen Informatik om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Når virksomhedens ansatte misbruger it-systemerne, er det sjældent teknikerne, der er de værste.
Ganske almindelige ansatte uden særlig it-viden udgør hovedparten af dem, der misbruger deres arbejdsplads' it-systemer. Det viser en amerikansk undersøgelse af forholdene i finansverdenen.
Selvfølgelig skal sådan en undersøgelse tages med et gran salt. De færreste virksomheder bryder sig om at fortælle om deres sikkerhedsproblemer, og da slet ikke om problemer, der skyldes medarbejderne. Alligevel har USA's Secret Service fået adgang til information om 23 sikkerhedshændelser, der stammer fra perioden 1996-2002. Secret Service har analyseret dem i samarbejde med CERT Coordination Center, og resultatet er offentliggjort i rapporten "Insider Threat Study: Illicit Cyber Activity in the Banking and Finance Sector".
Valutahandler med lånte fjer
Et eksempel er en valutahandler, som ændrede data i sin virksomheds it-systemer. På den måde kom han til at fremstå som en af de dygtigste valutahandlere i virksomheden. I virkeligheden kostede hans handler virksomheden over 600 millioner dollars.
Et andet eksempel fra rapporten handler om en logisk bombe (en tidsindstillet kommando), som en tidligere ansat efterlod i it-systemerne, fordi han var utilfreds med sin årlige bonus. Bomben slettede 10 milliarder filer fordelt på over 1.300 servere. Det kostede firmaet omkring tre millioner dollars at rydde op efter bomben.
Kun 17 procent af gerningsmændene i undersøgelsen havde adgang på administratorniveau til deres virksomheds systemer. Og i 87 procent af sagerne brugte gerningsmændene enkle, fuldt legitime kommandoer til at udføre deres ulovligheder.
Forventer loyalitet
Hovedparten af misbrugstilfældene var planlagt i forvejen. Det altovervejende motiv for handlingerne var ønsket om at få penge. Andre motiver var hævn eller utilfredshed med virksomheden.
Undersøgelsen viser, at man ikke behøver være et teknisk geni for at misbruge interne systemer. Det er ikke så mærkeligt. Når først en virksomhed har ansat en medarbejder, har den også tillid til, at medarbejderen vil handle loyalt og passe sit arbejde.
Nogle sikkerhedsfolk hævder, at hovedparten af alle brud på it-sikkerheden skyldes medarbejdere. Det er muligt, at det har været sandt engang. Men med den store mængde hackerangreb, orme og virus, der florerer, er det næppe korrekt i dag.
Der er dog stadig god grund til at ofre den interne sikkerhed opmærksomhed. I endnu højere grad end ved de eksterne trusler gælder det her, at løsningen ikke er teknisk. Omhu ved ansættelsen og løbende sikkerhedsuddannelse er et bedre bud på, hvordan man undgår intern misbrug af it-systemerne.
Oprindelig bragt i Børsen Informatik den 16. november 2004