söndag 17 juni 2012

Glöm inte de dumma säkerhetsmissarna - CIO Sweden

Glöm inte de dumma säkerhetsmissarna - CIO Sweden

När CIO:er tänker säkerhet tänker de ofta dataintrång. Men det finns fortfarande en fysisk värld och där ute lurar också många faror.

Du kanske oroar dig för att skickliga och ondskefulla cyberbrottslingar just nu försöker ta sig igenom dina brandväggar. Det är mycket möjligt. Men det är lika sannolikt att du står inför säkerhetsrisker som inte har så mycket med teknik att göra. En del av de säkerhetsproblem som företag råkar ut för beror på dumma misstag, men konsekvenserna för företaget blir lika allvarliga för det.

Vi lever i en alltmer virtuell värld. Information lagras i molnet och många lever i ständig skräck för att någon ska göra intrång i deras lilla plätt i cyberrymden. Men det kan vara värt att hålla i minnet att all data till syvende och sist är beroende av datorer av plast och metall, datorer som de facto tar upp fysiskt utrymme i ett verkligt universum. Dessa datorer går att pilla på, de kan plockas upp och transporteras bort och om någon utomstående gör det har företaget problem. NASA är bara ett exempel på en organisation som drabbats av flera säkerhetsskandaler till följd av stöld. På senare tid har 48 av myndighetens datorer och telefoner blivit stulna.

För att stjäla hårdvara krävs att man har tillgång till företagets lokaler. Men att komma in på företag och organisationer visar sig ofta vara lättare än vad folk tror. Säkerhetsforskning har visat att det är lätt att få tillgång även till platser som är strikt reglerade om man bara har ”rätt” attityd. Med det menas exempelvis att man har ett uppfodrande sätt, att man viftar med en bricka mot vakten.

Men när teknik försvinner bör man inte glömma inte talesättet: ” man ska aldrig skylla på ondska vad som kan hänföras till gammal hederlig inkompetens”. Den största risken är förmodligen inte att företagets datorer stjäls av en lömsk inbrottstjuv som är ute efter att sabotera. Förmodligen kommer problem med förlorad data att dyka upp för att en anställd som är ansvarig för en av företagets datorer förlorar den. Den här typen av problem kommer att bli allt vanligare när allt fler anställda nu bär runt på laptops och smarta telefoner. En undersökning av amerikanska småföretag visade att 35 procent av dem hade minst en anställd som förlorat en dator eller en telefon med affärsdata på

I slutet av 2011 rullade medierna ut nyheten om News Corps-telefonhackingskandal, flera tidningar i Rupert Murdochs brittiska medieimperium hade hackat telefoner som tillhörde kändisar och brottsoffer och lyssnat av deras telefonsvarare. I medierna skrevs dock inte så mycket om hur man hade genomfört denna till synes högteknologiska hacker-kupp. De inblandade journalisterna som hade telefonnumret till kändisarna ringde helt enkelt upp de telefonnummer som operatören satt upp för att man skulle kunna fjärravlyssna telefonsvararen och gissade sig sedan till pin-koden, flera av personerna hade inte brytt sig om att byta kod utan hade samma kod som de fick när de startade kontot.

Den lektion man kan dra av detta är att de flesta människor väljer dumma lösenord om de själva får välja. Att tvinga anställda att ha mer komplexa lösenord och få dem att byta dem regelbundet kan därför vara en bra idé.

Paranoida systemadministratörer kommer förstås att se till att hålla sina OS-patchar uppdaterade. Eftersom exempelvis Windows har ett rykte om sig att läcka som ett såll så är systemadministratörer, speciellt de som valt Windows, i allmänhet bra på att hålla patchar uppdaterad.
Sida 1 / 2

Innehållsförteckning

Problemet är att den största sårbarheten vanligtvis inte ligger i operativsystemet, utan i de program som körs i OS. Det räcker med att man kastar en blick i SANS lista över program som var problematiska 2009 för att förstå att det stämmer. Vilket program ligger på första plats? Jo, en textomvandlare för WordPad, ett till synes väldigt harmlöst program. På listan finns också Java som kan öppna alla typer av säkerhetshål helt på egen hand, något som många Mac-användare bittert fått erfara.

Din information är bland dina viktigaste tillgångar: den kan innehålla data som ägs av ditt företag eller information om dina kunder som du lovat hålla hemlig. Hackers kommer förstås att försöka få tag i dessa uppgifter, men du ska inte hjälpa dem på traven.

Glöm inte bort den incident som inträffade 2006 när AOL la ut sökregistren för miljoner användare på en offentlig server av misstag. Det är lätt att skratt åt den typen av misstag men sanningen är att de flesta organisationer har olika typer av servrar, en del är offentliga andra inte. Trenden med molnlagring har bara gjort det lättare att begå pinsamma misstag av den här typen.

Precis som det kan vara svårt att hålla reda på vilka av företagets servrar som är offentliga, kan det också vara svårt att hålla reda på nätverksnoder som kan vara offentliga . 2007 drabbades lågpriskedjan TJX av ett pinsamt intrång när hackare mixtrade med de kiosker som satts upp så att folk kunde lämna in jobbansökningar. Hackarna uppträdde i fullt dagsljus och utgav sig för att vara it-personal som var där för att reparera maskinerna.

Så kom ihåg att det inte hjälper att sätta upp sofistikerade säkerhets när vem som helst kan få tillgång till själva maskinerna.

CIO Sweden
 
 

Inga kommentarer:

Skicka en kommentar