Hvem har koderne ved dødsfald og fyring? Eller: Sådan undgår din organisation at ende som bystyret i San Francisco

Det er et problem i danske organisationer, at for få sidder på administratoradgangen til netværket, mener sikkerhedskonsulent.

Et busuheld, en fyreseddel eller bare dårligt samarbejdsklima på arbejdspladsen. Der kan være adskillige grunde til, at login-informationer, der giver administrator-adgang til organisationens systemer, ikke længere er tilgængelige. Og dermed er der heller ikke længere adgang til at administrere virksomhedens systemer.

Problemet med manglende admin-oplysninger er ganske reelt. Blandt de mere spektakulære historier inden for genren, som er kommet til offentlighedens kendskab, er der historien om den fyrede netværksadministrator i San Francisco i 2008, som ikke ville udlevere adgangskoderne til byens kommunale netværkssystem.

Netværksadministratoren blev fængslet. Byens borgmester besøgte administratoren i fængslet, hvor det til sidst lykkedes at overtale ham til at udlevere koder til switches og routere.

Læs også: Borgmester fravrister sysadmin koderne til San Francisco

Men hvordan ser det egentlig ud med admin-adgangen i din organisationer? Episoder som den fra San Francisco er nemlig mindre eksotiske, end de måske lyder.

Det mener i hvert fald direktør i it-sikkerhedsvirksomheden FortConsult Ulf Munkedal.

»Situationen med, at der er en eller måske to, der kan de passwords, og så er der ikke andre, der kan dem, den kender jeg rigtig godt fra de virksomheder, vi arbejder sammen med. Og det er et problem,« siger Ulf Munkedal.

Han fortæller, at mange virksomheder ganske vist har forstået det med, at opdele folk i roller i forhold til applikationer og cloud-løsninger i virksomheden. Altså så der eksempelvis er flere, der har administrator-rollen til CMS'et, samtidigt med, at almindelige brugere ikke har adgang til for meget.

Ulf Munkedal mener, at rettighedsstyring på applikationsniveau er blevet generelt bedre efter organisationernes revisionsselskaber har fokuseret på det. Men anderledes sløjt står det til på netværks-niveauet i danske organisationer.

Ikke styr på netværksadgang

»Selve netværket med routere, switche og infrastruktur, det er der ikke særligt meget fokus på. Og der er faktisk utroligt meget, der kan gå galt, hvis man ikke kan få adgang til det, eller hvis de forkerte mennesker har adgang til det,« siger han.

Admin-adgang til netværket kan eksempelvis gøre det muligt for uvedkommende at koble ind i organisationen udefra og lure på datatrafikken.

Ulf Munkedal påpeger, at det er muligt at konfigurere mange netværks-enheder med remote-management-software, der kan håndtere flere administrator-profiler og gør det muligt at pushe konfigurationer ud til at udstyret. Og sikrer dermed, at flere har adgang til udstyret, selvom en enkelt persons oplysninger måtte blive utilgængelige.

»Men det er altså ikke alle, der bruger den slags,« siger han.

Ifølge Ulf Munkedal er det særligt små og mellemstore virksomheder, der har en udfordring i, at måske bare en enkelt person sidder på administrator-adgangen i virksomhedens netværk.

»Vi bliver stadig ringet op engang imellem af mindre virksomheder, der af en eller anden grund skal afskedige administratoren. Det er nogle gange direktøren selv, der ringer. Han er angst for, hvad der skal ske, for han har ingen magt over it'en overhovedet,« siger Munkedal.

Tre tip

Heldigvis er der flere ting at gøre for at undgå en situation, hvor netværksadgangen står og falder med, hvorvidt en enkelt person møder op på arbejde. Ulf Munkedal har i hvert fald tre tip til at dæmme op for sådan en situation. Det første handler om at vær opmærksom på, hvorvidt it-afdelingen holder kortene - for - tæt ind til kroppen.

»Hvis man kan mærke, at de ligesom holder på rettighederne, og at der kun er tale om nogle få mennesker, så er der et holdningsmæssigt problem, som man bliver nødt til at arbejde med. Det er en farligt, hvis en it-person i en virksomhed har sådan en holdning.«

Det andet tip fra Ulf Munkedal til at undgå en San Francisco-lignende situation er at have et applikationslag over netværksenhederne, der kan håndtere, at flere har admin-adgang til systemet. Eksempelvis 2-3 stykker.

»Og det gør egentlig ikke så meget, at en har en meget aktiv adgang, mens de to andre måske ikke er så aktive. Man skal bare sørge for, at de er med i samme gruppe.«

Og det kan i den forbindelse være en god idé at distribuere medlemmerne af administratorgruppen mellem afdelinger, så der eksempelvis er en i it og så en i økonomiafdelingen.

»Så kan de logge ind - også hvis han bliver kørt over af en lastbil.«

Det hører dog til sjældenhederne, at det er dødsfald, der gør, at folkene fra FortConsult bliver kontaktet af frustrerede direktører, der har mistet nøglerne til netværket. Faktisk har Ulf Munkedal endnu ikke oplevet sådan en situation. Typisk opstår problemerne i forbindelse med samarbejdsvanskeligheder mellem ledelse og medarbejdere, forklarer han.

Det tredje og sidste tip handler om overvågning. Det vil sige logning af, hvem der tilgår hvad, så det - såfremt der sker noget - er muligt efterfølgende at opklare, hvad der er sket.

»Sørg for at logge hvad administratorgruppen foretager sig. Bare for en god ordens skyld. Også så der efterfølgende ikke er nogen, der kan mistænke dem for at have gjort noget, de ikke har gjort,« siger Munkedal.

Hvordan danner man sig overhovedet overblikket over, at der er et problem i forhold til administratoradgangen i første omgang?

»Det er heller ikke let. Men man har forhåbentligt en eller anden i ledergruppen, der enten har flair eller interesse for det, og som kan tage sig af det,« siger Ulf Munkedal.

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere