Sikkerhedsrådgiver: En god kasse er intet værd, hvis du har et standardpassword

Illustration: iStockphoto.com
Det kan koste dyrt, hvis organisationer køber it-sikkerhedsudstyr uden at sikre sig, at der er god sikkerhedsadfærd i dagligdagen, lyder det fra sikkerhedsrådgiver hos it-virksomheden Improsec.

Det har ofte minimal sikkerhedsværdi, når organisationer og virksomheder køber nye it-sikkerhedsløsninger uden samtidig at have fokus på at skabe en ordentlig sikkerhedsadfærd i hverdagen.

Sådan lød budskabet fra Magnus Klaaborg Stubman, sikkerhedsrådgiver hos it-virksomheden Improsec, da han onsdag gæstede debatscenen på it-sikkerhedskonferencen Infosecurity.

Under oplægget påpegede han, at selvom it-sikkerhedskasser - altså eksempelvis firewall-løsninger m.m. - kan være en god hjælp, så er det i sidste ende menneskene i en organisation, der afgør det reelle sikkerhedsniveau. Derfor kan det koste dyrt, hvis ikke organisationerne er opmærksomme på det, når der skal oprustes på it-sikkerheden.

»Vi ser, at der nogle gange bliver brugt penge på it-sikkerhedsløsninger, som egentlig ikke giver sikkerhedsværdi for køberen,« sagde Magnus Klaaborg Stubman.

Simpelt men alvorligt

Ifølge sikkerhedsrådgiveren sker det jævnligt, at flere simple sikkerhedsforbehold ikke bliver overholdt i organisationer, og det er med til at svække it-sikkerheden, selvom der kan være indkøbt nye systemer.

»Det kan virke banalt, men det er enormt vigtigt, at der bliver lavet diskkryptering, og at computere eksempelvis låses, når medarbejderne ikke er til stede. Derudover ser vi desværre tit, at der bliver brugt standardpasswords i centrale it-systemer hos organisationer. Det er lige meget, hvor god en kasse du har købt - hvis du har et standardpassword, så er det intet værd,« sagde Magnus Klaaborg Stubman under oplægget.

Derudover er det vigtigt, at alle dele af en organisation indtænkes, når der arbejdes med it-sikkerheden, understregede han på konferencen og fremhævede, at han har set eksempler på, at to-faktor-godkendelse kun bruges enkelte steder i en organisation.

»Det er som at sætte en stærk port op, der skal forhindre adgangen til en have, og så samtidig plante en lav hæk resten af vejen rundt,« sagde Magnus Klaaborg Stubman.

Styr på procedurerne

På oplægget fremhævede sikkerhedsrådgiveren, at organisationer og virksomheder kan have mangler i deres helt konkrete sikkerhedsprocedurer, der skal sikre ordentlig adfærd, når først uheldet er ude.

»Der skal være en beredskabsplan. Hvordan kommunikerer man, hvis systemerne bliver angrebet, og hvem skal reagere på de her alarmer? 'De kommer regelmæssigt, og vi fik ikke lige tid til det,' hører vi tit. Mange har ikke engang sørget for at have en liste med telefonnumre, der kan bruges, hvis uheldet er ude,« sagde Magnus Klaaborg Stubman med henvisning til, at de sædvanlige lister med kontaktoplysninger kan være utilgængelige ved et it-nedbrud.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Povl H. Pedersen

Er det vel at sørge for at der er de folk der skal passe/patche og pleje kassen så den ikke bliver en sikkerhedsrisiko.

Der er for mange der sætter kasser hen i hjørnet. En kasse giver som regel en hændelseslog som der ind imellem bør ses på, så boksen kan justeres og hændelser følges op på.

En firewall, en IDS/IPS whatever kræver løbende justering, ellers er den ikke sat rigtigt op, eller også står den i et utroligt statisk landskab.

Der kommer nok opdateringer mindst 4 gange om året.

Hvis man køber en black box til at stå i hjørnet, så bør man overveje om den overhovedet skal have strøm :-)

  • 0
  • 0
Claus Bobjerg Juul

Hvad er en stærk passwordpolitik værd, hvis systemerne hvor passwordet udveksles mellem ikke forstår halvdelen af de specialtegn man ønsker at anvende?

Var en gang ansat et sted hvor VPN løsningen, der authentificerede op i mod AD + 2nd faktor, ikke kunne forstå æ,ø, å og et par andre tegn.
Så tænker jeg straks fejl i konverteringen til AD hash og så går tankerne strakt videre på hvilke andre fejl har de mon så ikke også implementeret?!?

  • 1
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize