Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Delstaten Kansas sælger sine gamle computere, når den ikke længere skal bruge dem.
For nylig var 15 pc'er klar til salg. Før de nåede ud af døren, blev de dog undersøgt en ekstra gang.
På syv af dem fandt man fortrolige oplysninger. En af dem havde således en fil, der indeholdt 2.856 sygesikringsnumre (USA's svar på cpr-nummeret).
Hvis pc'erne ikke var blevet udsat for det ekstra tjek, ville de fortrolige oplysninger være endt hos uvedkommende.
Efter at der kom lovkrav om offentliggørelse af den slags sager, hører vi jævnligt om dem.
Virksomheder og myndigheder mister fortrolige data, som kunder og samarbejdspartnere har betroet dem.
Man kan sagtens gøre noget
Men sådan behøver det ikke være. Det viser en undersøgelse, som teleselskabet Verizon Business har udarbejdet.
Den har analyseret 500 sager med tab af data.
Det viser sig, at kunne tabet have været undgået i 87 procent af sagerne, hvis man blot havde taget "rimelige forholdsregler."
Slet diskene
En rimelig forholdsregel kan for eksempel være, at man har en fast procedure for salg af brugt udstyr.
En pc må ikke blive solgt, før dens disk er blevet slettet med et effektivt sletningsprogram.
En anden oplagt forholdsregel er, at alle bærbare pc'er skal udstyres med krypterede harddiske.
På den måde kan uvedkommende kun få adgang til data, hvis de kan gætte adgangskoden. Det mindsker risikoen for datatab som følge af tyveri.
Undersøgelsen fra Verizon viser også noget andet interessant: Kun i 18 procent af sagerne skyldtes datatabet virksomhedens egne medarbejdere. Langt de fleste sager var startet af folk udefra.
Hertil skal det dog siges, at undersøgelsen handler om sager, som Verizons sikkerhedsfolk er blevet hyret til at efterforske.
Derfor er sagsmaterialet ikke nødvendigvis repræsentativt.
I nogle tilfælde kan virksomheder opdage en uærlig medarbejder og selv tage affære uden at inddrage andre.
Pas på partnerne
Samarbejdspartnere var involveret i 39 procent af sagerne.
Det viser den øgede risiko, som det medfører, at virksomheder i dag fungerer i netværk med tætte relationer med mange partnere.
Flere af disse sager var af typen, hvor en samarbejdspartner havde adgang til et system, som en udefrakommende angriber så misbrugte.
Til at beskytte mod den slags kan man indføre skrappere kontrol med sikkerheden ikke kun i ens egen organisation, men også hos partnere.
Og man kan bruge systemer til at styre oprettelse og nedlæggelse af brugerkonti, så gamle konti ikke står åbne, længe efter at et samarbejde er ophørt.
I sager hvor tab af data skyldtes bevidste forsøg, udgjorde hackerangreb 59 procent.
39 procent af hackerangrebene var rettet mod applikationslaget, mens 23 procent var rettet mod operativsystemet eller systemplatformen.
18 procent af hackerangrebene udnyttede kendte sårbarheder, som der fandtes sikkerhedsrettelser til.
Fem procent udnyttede hidtil ukendte sårbarheder. Og 15 procent brugte en bagdør, der tidligere var blevet installeret.
Tallene viser, at hvor angreb for nogle år siden typisk var rettet mod operativsystemet og tjenester som FTP og NetBIOS, er de nu rykket op til applikationslaget. Og det er svært at beskytte.
Systemsoftware kommer fra nogle få leverandører, mens applikationer ofte er udviklet eller tilrettet af den enkelte virksomhed
Opdater systemer
En interessant detalje angående sårbarheder: 18 procent af angrebene udnyttede altså velkendte sårbarheder, som virksomhederne kunne have været beskyttet imod, hvis de havde holdt deres systemer opdateret.
Og ingen af angrebene var rettet mod sårbarheder, der var rettet inden for den seneste måned før angrebet.
Man behøver altså ikke nødvendigvis opdatere samme dag, som en opdatering udkommer. Det er mere vigtigt, at man holder alle systemer opdateret, ikke kun udvalgte.
Mit råd lyder: Skriv en sikkerhedspolitik og implementer den. Så vil jeres virksomhed have mindre risiko for at miste fortrolige data.
Oprindelig bragt på Computerworld Online den 27. juni 2008
LINKS
"2008 Data Breach Investigations Report" fra Verizon Business (PDF-format)
Artikel om de brugte pc'er fra Kansas