Riskerna som hotar it-systemen
 |
Visst kan trojaner och virus sprida skada. Men företagets stora säkerhetsrisker när det gäller it är oftast mer banala, till exempel glömska eller strömavbrott. Vilka rutiner behövs i organisationen för att vara på den säkra sidan? Och hur svårt behöver det vara egentligen? |
Inblick nr 3 2010 Text: Johan Rapp Illustration: Robert Hilmersson
|
De stora hoten mot it-säkerheten är oftast något så trivialt som glömska, strömavbrott eller en vattenledning som springer läck.
– Det är inte lika uppmärksammade problem som virus- och hackerattacker, men de är vanligast och mycket viktiga att skydda sig emot, säger Marcus Dahlman, säkerhetskonsult på Logica.
Han har till exempel varit med om att vada runt i 20 centimeter djupt, skållhett vatten på golvet i en datorhall där varmvattenröret spruckit.
– Datorerna stod i flera dagar med byggfläktar. Ingen vacker syn.
Säkerhetsincidenter blir sällan kända utanför det drabbade företaget, av naturliga skäl – men ibland kommer de upp till ytan och visar hur den ”den mänskliga faktorn” spelar in. Som när en försvarsanställd glömde ett usb-minne med hemligstämplad information på ett bibliotek i Stockholm. Eller när ett usb-minne från Alvesta kommun med uppgifter om skolelevers utvecklingsplaner och omdömen hittas på en cykelväg. Det finns mängder av sådana exempel från hela världen med uppgifter från sociala myndigheter och bankhemligheter på vift.
Andra typiska säkerhetsproblem är när medarbetare klistrar lappar med lösenord på sina datorer och skickar affärskritiska mail via Gmail eller Hotmail eller tappar bort sina mobiler. Varje år lämnas över tusen mobiler in till hittegodsavdelningen på Arlanda. I Londons taxibilar glöms tusentals mobiler per månad, enligt rapporter från säkerhetsföretag. Många är numera datormobiler, som kan innehålla affärskritisk information och ofta saknar både brandvägg och virusskydd.
– Alla vill ha mobilitet, vill kunna svara snabbt och enkelt på e-post, logga in på Facebook, jobba på resan eller hemifrån – men i och med detta uppkommer nya säkerhetsproblem, säger Andrew Docherty, säkerhetsexpert på Logica.
Så vad är lösningen? Är det förbud mot usb-minnen utanför kontoret, datormobiler endast till ledningsgruppen, stränga regler för lösenordhantering och mer kryptering?
– Du måste vara medveten om vilken hotbild du har i din verksamhet och regelbundet tänka igenom vad som kan hända och hur du minimerar risker, säger Anne-Marie Eklund Löwinder, kvalitets- och säkerhetschef för .SE och en av Sveriges mest respekterade experter inom it-säkerhet.
– Den viktigaste it-säkerhetssatsningen är att ha rutiner och människor som regelbundet jobbar med frågan.
Till exempel i hanteringen av användare. Här sker ofta missar. Medarbetare ska ha rätt behörighet och inte finnas i systemet när de slutar.
– Det finns ingen enskild programvara som automatiskt håller ordning på detta. Du måste ha rutiner och processer som någon tar ansvar för, säger Anne-Marie Eklund Löwinder.
Rutiner är ordet som återkommer gång på gång hos olika säkerhetsexperter.
– Människor är inte elaka eller kriminella. Det är inte därför det blir fel. Man vill göra rätt. Det viktiga är att öka medvetenheten om säkerhetsfrågor: informera, skapa rutiner och tydliga processer samt följa upp, säger Andrew Docherty.
En annan viktig aspekt för att säkerhet ska fungera är enkelhet. Om lösenorden är komplicerade behövs ett bra system för att minnas dem. Om man inte kommer åt jobbets servrar hemifrån krävs lättillgängliga alternativ. Säkerhetsarbete är en paradox: för mycket säkerhet skapar bristande säkerhet.
– Det ska vara lättare att göra rätt än att göra fel, säger Marcus Dahlman.
Anne-Marie Eklund Löwinder tycker att svenska företag generellt sett är mindre bra på att skydda sin infrastruktur, sina egna nätverk och resurser och hon påpekar särskilt att man är dålig på att göra uppföljningar i säkerhetssammanhang.
Vad beror detta på?
– En orsak är brister i utbildningen av systemutvecklare. Man bygger system där it-skyddet kommer i sista hand. Man gör system för smarta och lägger in extra funktioner trots att en dator aldrig ska vara smartare än absolut nödvändigt ur säkerhetssynpunkt, säger hon.
Även Per Furberg, juridisk konsult i it-frågor och säkerhet på Zetterwalls advokatbyrå, betonar enkelheten som princip. Han menar att it-tekniker gärna blir för tekniska och jurister lätt blir för petiga. Risken är lösningar som användarna struntar i och istället skickar de affärskritiska företagsmail via Gmail.
– Vi måste se till användarnas verkliga behov när vi skapar säkerhetslösningar. Det måste vara enkelt. Annars slutar det alltid med att säkerheten komprometteras, säger Per Furberg.
Ett annat växande riskmoment är när företag bygger ihop nätverken för administration och produktion. Ett annat är att industriella processer kopplas samman med internet för att kunna styras och övervakas på distans.xde affärskritiska företagsmail via Gmail.
Viruset Stuxnet, som infekterade det iranska kärnkraftsprogrammet, tros ha tagit sig in i via administrationsnätverket.
– Administrationsnät är skyddade utifrån sina förutsättningar. Om du hackar dig in där och kan komma åt produktionsnätet kan du ställa till med stora problem. Det är dyrare om ett raffinaderi stannar än om en mailserver gör det, säger Marcus Dahlman.
– Därför är det så oerhört viktigt att skydda sina produktionsnät bättre än sina administrativa nät, något som Logica arbetar intensivt med.
FAKTA: Logica har 800 säkerhetskonsulter
Logica är ett av Europas ledande företag inom informations- och it-säkerhet med omkring 800 specialiserade säkerhetskonsulter, varav cirka 100 i Sverige. Bland kunderna finns bland annat E.On, Rikspolisstyrelsen och Västra Götalandsregionen.
En viktig del av Logicas säkerhetstjänster är riskanalys/riskhantering, att bygga upp regelverk och rutiner samt uppföljning av säkerhetssystem.
DE FYRA STORA SÄKERHETSRISKERNA
Fyra saker står för majoriteten av alla it-relaterade säkerhetsproblemen:
- Den mänskliga faktorn
- Risk för brand
- Vattenskador
- Strömavbrott
