Sikkerhedsfirma: Oplær brugerne i it-sikkerhed - på den tekniske måde
Uddannelse af brugerne er en nødvendig del af it-sikkerheden, som mange virksomheder forsømmer. Det mener seniorsikkerhedskonsulent David Jacoby fra sikkerhedsfirmaet Kaspersky.
Ifølge David Jacoby er truslerne mod it-sikkerheden er grundlæggende de samme i dag som for 20 år siden. Det gælder, uanset om det er man-in-the-middle-angreb mod NemID eller drive-by-download af trojanske bagdøre. Årsagen til, at den slags angreb kan lade sig gøre, har nemlig ikke ændret sig.
»De ting, vi ser i dag med for eksempel Anonymous og LulzSec, er allerede blevet gjort for 20 år siden. Det er de samme trusler, og hvad har vi lært? Ingenting,« siger David Jacoby og uddyber:
»Det handler ikke om sikkerhedshuller, for de kan lukkes, men hvad gør man, når en virksomhed er gennemsyret af en svag holdning til it-sikkerhed? Blot fordi du har nogle sikkerhedsforanstaltninger, er det ikke ensbetydende med, at du er sikker.«
Han peger blandt andet på, at mange virksomheder fokuserer på at opfylde lovkrav eller branchekrav til compliance. Men selvom man lever op til branchens krav for at måtte håndtere kreditkortdata, så er det ikke det samme som at have en sikker organisation.
»Det handler om holdning. Folk er nødt til at begynde at tænke over it-sikkerhed,« siger David Jacoby til Version2.
Yngre medarbejdere gider ikke sikkerhed
Og på det punkt står it-sikkerhedsfolkene over for en stor udfordring. De fleste almindelige brugere interesserer sig nemlig ikke for it-sikkerhed.
»En del af det er et generationsproblem. Man skulle tro, at de yngre brugere var mere bevidste om it-sikkerhed, men det virker som om, det faktisk er de ældre brugere i stedet. De unge gider det ikke rigtig,« siger David Jacoby.
Et angreb som det, der blev brugt mod NemID i Danmark, var afhængigt af, at brugerne blev narret til at afgive oplysninger til hackerne.
Det er uvist, om det konkrete angreb kunne være undgået helt, hvis alle brugere af NemID var oplært i it-sikkerhed og derfor var klar over, at de skulle stoppe op og tænke sig om en ekstra gang, når de blev præsenteret for en dialogboks, der ikke plejede at være der.
»Selv som it-mand kan du stadig blive snydt, hvis du for eksempel sidder og er stresset,« siger David Jacoby.
Langt de fleste angreb, som rammer virksomheder, kræver én eller anden form for interaktion eller handling fra brugerens side, og derfor er det vigtigt at oplære brugerne i at være opmærksom på faresignalerne.
»Folk tror, at det er noget, vi siger som sikkerhedsfirmaer, fordi vi tjener penge på det, men de her ting er ikke noget, der kan løses ved at købe et produkt. Antivirus og sikkerhedsopdateringer hjælper, men folk vil ikke være sikre, før de også tænker sikkert,« siger David Jacoby.
Det er it-afdelingens problem
Det første skridt mod en bedre holdning til it-sikkerhed er at gøre op med brugere, der er ligeglade eller tænker, at it-sikkerhed er it-afdelingens problem.
»Alle er nødt til at finde deres eget niveau for sikkerhed både privat og på firmaniveau,« siger David Jacoby.
Tilsvarende skal it-folkene gøre op med holdningen om, at hvis en pc har fået virus, fordi brugeren har klikket på en dialogboks, så er det brugerens egen skyld.
En praktisk løsning kan ifølge David Jacoby være at vende virksomhedens it-sikkerhedskurser om.
»De fleste sender de tekniske folk på tekniske kurser og ikke-teknikerne på ikke-tekniske kurser. Hvorfor ikke give de ikke-tekniske brugere noget teknisk viden? For eksempel kunne man udnytte de tekniske ressourcer, man har internt i virksomheden til at oplære de ikke-tekniske folk. Men de er nødt til at forstå, hvordan de ikke-tekniske medarbejdere tænker,« siger David Jacoby.
Kommentarer (5)
Undskyld mig, men hele artiklen forekommer som en stor ansvarsfraskrivelse.
Yngre medarbejdere gider ikke sikkerhed Og på det punkt står it-sikkerhedsfolkene over for en stor udfordring. De fleste almindelige brugere interesserer sig nemlig ikke for it-sikkerhed. »En del af det er et generationsproblem. Man skulle tro, at de yngre brugere var mere bevidste om it-sikkerhed, men det virker som om, det faktisk er de ældre brugere i stedet. De unge gider det ikke rigtig,« siger David Jacoby.
Det er ikke sådan jeg observerer, jeg observerer at de unge mennesker forventer at de tilbydes sikre løsninger. Hvilket de tilsvarende har krav på. I forbindelse med NemId er det ganske enkelt et krav, at der skal være tale om en sikker løsning.
Strategien som nu slår fejl.
Man har genske enkelt antaget, at de trusler der findes, ville blive tilbagevist af antivirus, og andre af brugernes muligheder for at sikre sig.
Det er helt åbenlyst en fejltagelse af dimensioner.
Man skulle helt enkelt have valgt en anden strategi og en anden løsning fra starten af.
Det skal bare rettes, og så kan vi alle komme videre.
Lad være med at hakke på brugerne, fordi der er valgt en dårlig løsning.
Det er usmageligt. Og det fremmer på ingen måde sikkerheden, eller skaber tillid til løsningen.
-
1 -
0
Du kan jo ikke sikre dig mod alt, og awareness fra brugerens side er ganske enkelt et krav når social engineering tages med i spil.
Derudover forventer brugerne ekstremt meget frihed, hvilket ikke altid harmonerer så godt med høj sikkerhed.
Så skrues der ét sted, må der skrues et andet. Giv mere frihed, men hæv samtidig awareness. Eller omvendt. Det afhænger meget af hvilken type organisation vi taler.
-
0
-
0
Nu er NemID nævnt. Derfor må jeg antage at det organisatorisk også gælder for NemID.
Der er ingen grund til, at brugerne skal oplæres i at være opmærksomme, hvis man vælger en sikker løsning.
Det er et krav til NemID lsningen, at der skulle stilles med en sikker løsning. Et krav der er helt forståeligt, da hele den Danske IT-strategi hviler på, at NemID er sikker.
Omkring NemID, er der ikke tale om at man sikrer sig mod alt, man vil ikke engang lytte til kritik af de mest basale sikkerhedsprincipper, eller anvende et identifikationssystem der bruger basale identifikationsprincipper.
Så i den forbindelse, vil man ikke sikre sig imod noget, dette er er væsentligt forskelligt fra, at ville sikre sin imod alt.
-
0
-
0
Jeg synes Marcus Ranum har sagt det bedst:
http://www.ranum.com/security/computer_security/editorials/point-counter...
-
0
-
0
I et system som det der ligger til grund for den Danske IT-strategi, kan man ikke bruge den slags læringsværktøjer.
Man kan jo ikke pådutte befolkningen, at de skal gøre skade på dem selv, eller simpelthen skade befolkningen, fordi man ikke gider sørge for at have sit eget på plads i den strategi og metode man har valgt.
Hvis man vil den slags, så skal man tilbyde en metode, hvor det gennem anvendelsen af metoden, automatisk kræver opmærksomhed.
-
0
-
0
Tilføj kommentar
