IT-Sikkerhed: Ikke en "how-to" for lægmænd

Så hvad kunne og burde Nets, IBM og Datatilsynet have gjort ?

Hvordan implementerer man i det hele taget fornuftig IT-sikkerhed ?

Som det allerførste skal man forstå at IT-sikkerhed, som alle andre former for sikkerhed, i bund og grund er en sociale ceremonier og ikke noget man køber nogle kasser af i et supermarked.

Hvad nytter det at bruge en masse penge på en avanceret lås som denne:

hvis medarbejderne der skal igennem døren lader nøglen side i, eller døren stå på klem ?

Men hvorfor skulle de dog finde på det ?

Det kunne f.eks være fordi at deres løn afhænger af hvor mange gange de kommer igennem døren på en arbejdsdag, frem for om de låser døren efter sig hver gang.

Medarbejdere er ret gode til at fornemme hvad ledelsen sætter pris på.

Stort set alle organisationer jeg nogensinde har haft fingrene i, fejler på dette punkt i større eller mindre grad.

(Jeg tror egentlig ikke at det er fysisk muligt for nogen organisation at gøre det perfekt: Hvem af os har aldrig sprunget en tandbørstning over, fordi vi var lidt sendt på den ? Hvem af os har aldrig glemt at låse en dør eller hvor nøglerne lå ?)

Specielt i spare- og nedskæringstider er sikkerheden det første der ryger og specielt er der mange fyringsrunder der foretages helt uden hensyntagen til om de fyrede medarbejdere bliver erstattet i de sikkerhedsceremonier de har roller i.

Selv IBM, der i "gamle dage" gjorde en stor meget ud af at ligge helt i top, har iflg. stort set alle jeg kender på indersiden nu store problemer på dette område.

Tillid er godt, men kontrol er naturligvis bedre og tekniske foranstaltninger har en stor rolle, fra dørlåse og pigtråd til dobbeltbogholderi og logfiler.

Men alle disse tekniske foranstaltninger har en eller anden hvis job de er.

Nogen skal forklare låsesmeden hvad der skal laves, nogen skal checke at der lige mange posteringer på begge sider og nogen skal holde øje med om der dukker noget uventet op i logfilerne.

Disse jobs handler alle om opmærksomhed, præcision og indgående erfaring med hvad der er normalt og hvad der ikke er det, for ofte er der relativt store dele af den sikkerhedsmæssige overflade som kun patruljeres af disse få kernemedarbejdere.

En smule OCD og lidt asbergers er ikke atypisk i disse job og absolut heller ikke nogen ulempe, men den vigtigste egenskab er loyalitet, for der er ingen bagstopper før det er alt for sent.

Der er simpelthen nogle mennesker man bare er nødt til at kunne stole på og længere er den ikke.

Selvfølgelig skal lønnen være i orden, men frihed under ansvar og gensidig tillid og forståelse er som regel de væsentligtste faktorer og de er rigtig dårligt understøttet i SAP/3's personalemodul.

Blandt "ordninger" jeg har hørt om i tidens løb er: Flexibel arbejdstid, hjemmearbejde, deltagelse i konferencer, sponsorat af semi-professionel sportsudøvelse, lavere løn men 3 ugers ekstra vinterferie til skisport osv.

En vicevært jeg har kendt havde ofte sin kone med på arbejde så hun ikke skulle sidde alene derhjemme i kørestolen og kantinen sørgede vist nok for aftensmaden. Til gengæld kunne en dør dårligt nå at knirke to gange før han kom farende med smørekanden eller grafitblyanten.

Indenfor IT-hjørnet er et "legebudget" kommet på mode: En konto som medarbejderen kan bruge til "personlig efteruddannelse og videreudvikling" uden at skulle have chefens godkendelse hver gang. Nogle gange er der et aftalt beløb, nogen gange stoler man bare på hinanden.

Alt i alt forbavsende billigt når det kommer til stykket.

Men når der sker store forandringer i organisationen er den slags "ordninger" lette ofre og den loyalitet der var fundamentet i sikkerheden forsvinder ved tillidsbrud.

Den strejke/lock-out som Prosa og CSC udkæmpede for nogen tid siden har skadet IT-sikkerheden hos CSC langt mere end ledelsen nogensinde kan fatte, for rigtig mange loyale medarbejdere opdagede pludselig at loyaliteten kun gik den ene vej når det kom til stykket.

Men hvad gør vi hvis det vi arbejder med er for vigtigt til at vi kan forlade os på en enkelt kernemedarbejders evner, vilje og loyalitet ?

Alle mennesker kan blive ramt af busser, virkelighed eller sindsyge og det er en reel risiko den sikkerhedsansvarlige skal forholde sig til.

Der er ikke andet at gøre end at sætte flere mand på opgaven og den eneste måde det kan virke på, er hvis de er ligeværdige. (Hvor mange svende og lærlinge har ikke i tidens løb undskyldt sig med "jeg undrede mig over det, men Mester vidste jo altid hvad han gjorde" ?)

Sådanne parløb opstår ofte naturligt i den teknisk tunge ende af IT-driften:

"Gider du lige kigge engang inden jeg trykker RETURN og dummer mig ?"

"Kan du ikke lige læse et sanity-check inden jeg sender det her ?"

"Vi er enige om at der ikke bør være nogen records som ... ?"

De ved udemærket godt at de ikke er perfekte og de har været i branchen lang tid nok til at de ikke gider blive vækket klokken nul-sort-om-natten for at blive mindet om det.

Derfor er "peer-review" en naturlig del af deres personlige kvalitetssikring, selvom de ikke ville drømme om at kalde det noget så akademisk og fancy.

Peer-review kan og bør også bruges som en sikkerhedsceremoni: Ingen parameterændring, ingen kode-patch, ingen forandring bør nogensinde gå i produktion, uden at mindst en anden person har kigget det ordentligt efter i sømmene.

Gjort rigtigt ville det have gjort det langt sværere og sandsynligvis helt umuligt at implementere den datalækage der fylder medierne.

Det ville også lidt mere end fordoble personaleudgiften i de fleste tilfælde.

Men det ville også mere end fordoble antallet af fejl der bliver fundet inden de ryger i drift, så de penge er hurtigt tjent ind.

Tænk bare på de nedbrud vi har set det seneste års tid på grund af konfigurationsfejl og anden fummelfingrethed: Man kan betale for ret mange IT-folk med hvad et otte timers nedbrud på Dankortet eller en halv dag på Rejsekortet koster.

Der er løsninger, de er omkostningseffektive på den lange bane og de virker, det ved vi af erfaring.

Så hvorfor gør vi det ikke bare ?

Det er ikke fordi vi ikke ved at der er sikkerhedsproblemer.

Når jeg har lavet security-audits indgår der altid et par interviews med nogle "almindelige" medarbejdere, for at få et indtryk af om alt det ledelsen tror og håber om sikkerhed har noget at gøre med hvad der foregår ude i organisationen.

De fleste "professionelle" sikkerhedsaudits gør dette ved at examinere medarbejderne i sikkerhedshåndbogen: "Hvis du ser nogen uden adgangskort, hvad gør du så ?" osv. osv. og som med ISO-9000 audits er det fuldstændig spild af tid og ingen bliver hverken bedre eller klogere af tidsspildet.

Jeg gør derimod det at jeg stikker hovedet ind, præsenterer mig, forklarer at jeg er ved at skrive en rapport om hvordan sikkerheden kan forbedres og at "en af dine kollegaer sagde du engang havde luftet nogle gode ideer som jeg burde høre ?"

Det er selvfølgelig en anelse manipulerende, men manner det er effektivt!

De fleste medarbejdere tænker tilsyneladende en del på sikkerheden og hvordan den burde være bedre.

Tankevækkende mange af dem har også en drejebog for et kup.

Bekymrende mange af kuppene ville kunne gennemføres, ofte uden at efterlade brugbare tekniske spor.

Insidere er altid den største trussel, for de ved hvad der foregår helt ned i den mindste detalje.

Og dermed er vi tilbage ved starten: Sikkerhed handler om mennesker.

Den nemmeste måde at forringe sikkerheden, er at give folk, særligt ledelsen, andre og vigtigere prioriteter.

Det ved vi godt i mange andre sammenhænge: Ingen normalt fungerende mennesker ville drømme om at udlicitere byretten, politiet eller forsvaret til et firma fra udlandet.

Men NemID ? Pyt!

Det er indlysende klart for enhver at der er sket et antal sikkerhedssvigt i den aktuelle sag og det bør vi blive klogere af.

Det bliver vi formodentlig ikke, for der er ingen forhåbninger om at vi nogen siden får en faktuel teknisk rappport der fortæller præcist hvad der skete og hvorfor det ikke blev opdaget.

(Jeg behøver ikke at minde om at hvis jeg havde fået min IT-havarikommission, havde denne sag automatisk ligget indenfor deres resort ?)

Da Edward Snowden var smuttet indførte NSA, i bedste lukke-ledet-efter-hesten-er-smuttet-stil "two-man-rules" for alt systemadministrationsarbejde.

Det bør gøres til mindstemålet for alle systemer der indeholder ikke-trivielle mængder personfølsomme oplysninger.

At få det lovfæstet bliver svært, alt taget i betragtning er det hurtigst at vælge nogle bedre politikere, startende med EU-parlamentet om nogle dage.

Men Datatilsynet behøver faktisk ikke at vente: De kan og bør udstede et straks-påbud til Nets om "two-man-rule", med henvisning til den aktuelle sag og bevisbeskyttelse.

Det ville også være helt på sin plads hvis Datatilsynet tilbagekalder alle godkendelser Nets eller IBM nogensinde måtte have modtaget og beordrer en total-revision af alle deres programmer og alle deres systemer.

Når den slags kan stå på i 4 år, så er sikkerhed enten nedprioriteret eller implementeret helt forkert.

Nyheden om at Nets da de fik en henvendelse fra en fotograf om hvad der havde foregået "ikke kunne finde noget" burde i sig selv udløse en sådan total-revision.

Og guderne må vide hvor mange andre "mulvarpe" der har haft snablen nede i en af Danmarks mest interessante dataophobninger.

Kun en total-revision fra ende til anden kan genskabe en brugbar tillid til sikkerheden i disse systemer.

Sådan to påbud vil også sende et meget klart og umisforståeligt signal til alle andre datacentre i landet: Utilstrækkelig sikkerhed betaler sig ikke (mere).

Bakket op om en melding om fremtidige uanmeldte stikprøvekontroller, vil det gøre underværker for privatlivsbeskyttelsen i Danmark.

Og det vil vi blive meget gladere for i det lange løb, end NSAs overvågning.

phk

Poul-Henning Kamps billede
Poul-Henning er selvstændig systemprogrammør, kernekoder, Varnish-forfatter, data-arkæolog og brokkehoved uden særlig portefølje.

Kommentarer (15)

Max Tobiasen

Du er kort inde på det i indlægget, men jeg synes det fortjener mere opmærksomhed:

I dette link fra TV2 kan man høre Nets landechef Susanne Brønnum sige at de for et år siden fik en henvendelse fra en Se og Hor medarbejder der kom med konkrete eksempler på misbrug med angivelse af tidspunkter og personer. Dette kunne let verificeres da der i de efterfølgende dage netop dukkede artikler op i Se og Hor med disse personer. På baggrund af denne information indledte de en undersøgelse men var ude af stand til at finde noget.

Med andre ord: De var i besiddelse af konkrete navne og tidspunkter, og kunne med denne viden ikke se at der havde været uautoriseret adgang til databasen med dankorttransaktioner.

Som jeg umiddelbart fortolker det betyder det en af to ting:

  1. Der er ikke ført logs, og derfor kunne de ikke finde noget
  2. Den kriminelle medarbejder har både haft adgang til data, samt til at ændre i logs.

Begge dele forekommer mig at være meget meget seriøse problemer.

(jeg er ikke sys-admin mand, så correct me if I'm wrong)

Finn Aarup Nielsen

I forbindelse med fotograf-advarslen er det nok vigtigt at erindre at dato for advarslen er den 18. januar 2013 [1]. På det tidspunkt er "den angivelige it-specialist" fyret, - så vidt jeg forstår. Overvågningerne har måske ikke længere foregået og alle spor er måske slettet uden spor i logfilerne. Hvis det er tilfældet vil politi, Nets og IBM heller ikke nu finde noget bevis... Politi, Nets og IBM står så virkelig med skægget/fletningerne i postkassen.

[1] http://nyhederne.tv2.dk/samfund/2014-05-01-se-og-h%C3%B8r-sag-nets-var-a...

Maciej Szeliga

Som jeg umiddelbart fortolker det betyder det en af to ting:

  1. Der er ikke ført logs, og derfor kunne de ikke finde noget
  2. Den kriminelle medarbejder har både haft adgang til data, samt til at ændre i logs.

Begge dele forekommer mig at være meget meget seriøse problemer.

  1. burde være blevet indført men meget ofte bliver det først indført når IT-Revisionen banker ledelsen i hovedet med en hammer... meget hårdt.

  2. Er han f.eks. (lad os tage et Windows Active Directory miljø som eksempel) er med i gruppen "Domain Admins" kan han stort set gøre alt på miljøet.

Desuden er det så vidt vides MasterCard / Visa som er blevet tracket ved brug i udlandet... sandsynligheden taler for at han har fisket data som kommer fra kreditkortudbyderen i stedet for at vente på at de er indlæst i NETS system.

Finn Aarup Nielsen

Jeg kender til Gerrit der man bruges til peer-review i softwareudvikling, men findes der tilsvarende til system-arbejde? En slags two-man-bash? Eller er metoden at to folk fysisk sidder ved siden af hinanden?

Alex R. Tomkiewicz

En fremragende og klog artikel!

Sikkerhed er et underkendt emne og område. Jeg forlod selv en karriere indenfor feltet fordi jeg fandt at det stort set ikke var muligt at lave fornuftige og gennemtænkte sikkerhedssystemer og sikkerhedprocedurer. Selvom det bestemt er muligt og også ofte kan gøres til en fornuftig pris (ved at tænke lidt ud af boksen). Sikkerhed er (var) ikke dårlig alle steder, men udfordringerne udvikles nu hurtigere end tankegangen til at løse dem. Mange systemer og procedurer er forældede i forhold til den omfattende digitalisering. Det er et problem for det bliver mere og mere lukrativt og skadeligt at stjæle data.

Til de to punkter fremført ovenfor kan tilføjes:

3 Systemadministratorer kan trække data ud uden at trigge logs, alarmer etc. fordi det kan gøres uden om den software og de processer som normalt behandler data f.eks. via direkte adgang til databaser eller via data i transit mellem moduler eller systemer.

Min erfaring er at sikkerhed primært hører under kategorien business risk. Det er en cost-benefit analyse hvor sikkerhed ud over et minimum ikke kan betale sig. I dette tilfælde kan det dog være at risk-analysen ikke blev lavet. Men hvis resultatet bliver at databehandlerne slipper med en lille "næse" så har cost-benefit analysen været korrekt… fordi prisen for samfundet og ofrene ikke er med i beregningen.

Bo Ståhle

Kan være noget så simpelt som den der bliver bedt undersøge er den
der har udført det ulovlige (eller beviseligt har haft kendskab og
derfor ikke tør indrømme noget) - og ikke kun i dette konkrete tilfælde.

Kan også være at systemet er skruet så dårlig sammen at der er masser af
adgange registreret, så mange at ingen af dem træder ud når man leder
efter noget usædvanligt.

Kai Birger Nielsen

Emil fra Lønneberg havde den gode egenskab at han ikke lavede den samme skarnsstreg to gange. Der er ikke mange Emil'er i den virkelige verden. Som minimum bør man altså overveje: hvornår mon hr X startede sin karriere med at lække data? Hvordan kunne man have fundet ham noget før? Hvilke spor har han efterladt sig og kan man automatisere søgning efter den slags spor, så den næste i det mindste er nødt til at finde på en ny slags skarnsstreg?

Og så er det selvfølgelig talentløst ikke at reagere kraftigere på et tip + at det i den grad ligner lækkede kreditkortoplysninger. Det burde være et virkeligt godt spor at lækken skete så tæt på brugen af kreditkortet at Se og Hør kunne nå at få en fotograf aktiveret..Med mindre der var en skærm i kantinen, der oplyste:
Frederiks visakort: 12/2 i Bangkok
Marys ..
osv. Og det har vi vel trods alt ikke grund til at tro.

Daniel Udsen

Vi har set en del grumme ting fra den finansielle sektor, hvor bedrageri har været udbredt, og en del af de store varedistributører og retail firmaer har i dag svind problemer i et omfang der ikke eksisterede for 30år siden.

Og en af de ting der er forandret gennerelt er den grundliggende personale teori hvor man i gamle dage trænede folk op fra gulvet til en livstidsstilling så hyrer man i dag hovedparten af sine ansatte som udskiftelige ressourcer på midlertidige kontrakter helt op til sysadmin/funktionær nivouet. Det er også grunden til at der konstant skriges efter kvalificeret arbejdskraft selvom sektoren på papiret har arbejdsløshed.

Min erfaring er at sikkerhed primært hører under kategorien business risk. Det er en cost-benefit analyse hvor sikkerhed ud over et minimum ikke kan betale sig.

Og når omkostningerne som det er tilfældet her er eksterne for firmaet vil en cost-benefit analyse altid lede til at sikkerhed er værdiløst så længe man kan overbevise myndighederne/markedet om at det bare er force majure når brud sker. Det er det samme problem der gælder for miljøsvineri og svindel i den finansielle sektor.

Anders Brander

"Man kan betale for ret mange IT-folk med hvad et otte timers nedbrud på Dankortet eller en halv dag på Rejsekortet koster."

Ja. Men... Prisen for otte timers nedbrud er en samfundsøkonomisk udgift. IT-folk er Nets' udgift. Med andre ord, vi betaler alle for nedbruddet, men Nets skal betale for IT-folkene. Hvilket de (selvfølgelig) ikke vil.

Steen Eugen Poulsen

Jeg for et meget dårligt indtryk af en syg holdning her, det virker som om du mener at det er helt i orden at personer bryder ind/ud af IT bare fordi de ikke er behandelt ordentligt.

Selvfølgelig skal firmaet tænke over menneskelige svagheder og opbyggege situationen så de mindsker chancen for at dårlige medarbejder lader sig friste, fordi man ikke kan teste medarbejder grundigt nok til at sikre der ikke er nogen der ikke er stærke nok til hånterer ansvaret.

Tim Wentzlau

Jeg læste på radio247, at tys-tys kilden (IBM ansat) kunne ligge et filter ind, der automatisk kunne følge personer af interesse, men vedkommende kunne kun gøre det ca en gang om måneden. Studsede lidt over dette, men med PHK's indlæg er jeg kommet til at tænke på, at der i Nets system køres med månedlige opdateringer og de deployes til produktion uden review.

Dette filter sider et sted, hvor der ikke logges og derfor kan det ikke spores. Kan det tænkes, at det reelt er en del af PET's system til, at følge borgeres fysiske og økonomiske bevægelser. Her har tys-tys kilden blot indsat sin egen kode.

http://memo.radio24syv.dk/vores-nyheder/ny-afsloering-af-se-og-hoer-over...

Søren Mejlhede

Skal de ikke ALLE sammen ind og side sammen med Gottfrid Svartholm Warg.
De kan jo ødelægge og fjerne beviser på at der er foregået noget ulovligt, eller få nogen til det.

Hvorfor er NET, IBM og S@H PC-er, Mail, LOG og andet EDB udstyr ikke konfiskeret eller hentet og beslaglagt af Politiet.

Hvorfor er administrator, ansatte som har haft adgang til data ikke bag lås og slå, så de ikke kan ødelægge, forfalske eller fjerne beviser. Eller få andre til det.

Her er det jo bevistlig videregivet ulovligt materiale, til og fra nogen.
Hvad vi formoder politi ikke kan bevise mod Gottfrid, da han så ikke ville være varetægtsfængslet.

Log ind eller opret en konto for at skrive kommentarer

IT Businesses