Hvad koster IT-sikkerhed ?

Kunne man ikke forestille sig, at pricippet kunne udbredes fra firewalls og helt ind i operativsystemerne ?

Hvorfor skal sekretærens PC have muligheden for at kryptere drevet med regnskabsfilerne ?

Overskuddet (underlying result) i Maersk 2016 var 711 millioner USD, ikke 711 milliarder. 2-4 mia. DKK svarer til omkring 40-80 procent af overskuddet.

Omvendt kan man sige at regionerne ikke vil betale for at CFCS har snablen nede i "deres"/borgernes sundhedsdata. - Og hvorfor skulle de det?

Problemet er at sikkerhed ofte er noget der klappes på bagefter. Lidt i stil med når test eller "kvalitet" forsøges at hældes på når det er gået galt med kvaliteten. Det er sjældent særligt dyrt hvis man tænker sikkerhed ind fra starten af projektet - det bliver dyrt når det skal klappes på bagefter.

Et andet problem er falsk sikkerhed. Alle de tiltag som ligner sikkerhed, uden rent faktisk at gøre nogen forskel. Fx. så har jeg hørt om store virksomheder hvor alle ændringer i firewalls skulle godkendes af IT-chefen, uagtet at han intet forstod omkring de applikationer som der blev givet adgang til.

Løsningen er - på godt socialdemokratisk - uddannelse, uddannelse, uddannelse. Alle der arbejder med IT skal forstå sikkerhed og tænke det ind i løsninger fra starten af. Det er ikke noget man kan parkere i en central funktion (selvom der også er brug for nogen der bærer fanen højt), for der kræves kun en fejl lavet af en clueless junior udvikler til at åbne en ladeport.

Som kuriosum kan jeg nævne at jeg her til morgen indsamlede en række screenshots hvor der står at NotPetya kommer til at koste Mærsk 2 mia. kr./300 mio. USD. Dem har jeg i de kommende år tænkt mig smide i hovedet på alle der ikke vil betale for sikkerhed.

Det korte svar er: Do not spend $1000 to solve $10 problem.

Jeg ville gerne se hvad organisationens risikoanalyse var for at den slags sikkerhedsbrist ville forekomme og ville være udnyttet.

Det kunne være ledelsen var klar over issue og blot accepterede risici samt de 2-4 mia kroner i tab.

Det siger lidt sig selv at de sager som handler om misbrug, eller magt misbrug, er stort set umuligt at stoppe, og både Se og hør sagen, Stein Bagger sagen, og for ikke at nævne, Nordisk Fjer sagen er et godt eksempel på sager som er sværre at forhindre.

Omvendt er det nemt at opdage hvis for eksempel en medarbejder tager en sodavand fra hylden og drikker den uden at betale ligesom i den sag vi læste om forleden dag.

God sikkerhed kræver at man gennemtænker hele ens netværk struktur fra bunden af, og vælger den rigtige hardware og software, hvilket omvendt kræver en hel del års erfaring. Den type erfaring er ikke nemt at lære og der burde vel næsten også oprettes et decideret uddannelse, hvilket der sikkert ikke eksistere i dag, og desuden er der vel heller ikke mange virksomheder som er villige til at tage praktikanter ind således at uerfarne kan opnå den fornødne erfaring.

Jeg vil næsten mene at Mærsk sagen viser at den ansvarlige ikke har den fornødne erfaring til at designe netværket således at en virus i en afdeling ikke uden videre kan sprede sig til andre afdelinger, hvilket de vel burde have tænkt ind i deres netværks design.

Jeg har meldt mig til Robinsonlisten. Det betyder, jeg har hemmeligt nummer og hemmelig adresse. Min mand har også gjort det.

Men det betyder uendeligt bøvl: Banken, Skat og NEMID. De kan pludselig ikke se vores adresse, så det er systemet ikke klar til! De har da ellers CPR-, telefonnumre og vores adresse ellers. Men nu er vi "Usynlige", jeg måtte sidst tale med min bank og besvare helt rimelige spørgsmål, men jeg er hørehømmet og sad med snot i kraniet, så det var nemmere, hvis min mand kunne ordne det. Mobilforbindelsen er oveni lavet af en dåse med en snor som ledning... Føles det som! Jeg kan ikke høre en meter.

Men jeg har ikke destomindre sat ting til salg på nettet:
Så jeg bliver kimet ned af Telemarketingssider, dem, jeg gerne ville være fri for!

Så banken og NEMID, kan ikke finde min "hemmelige" adresse- altså finde den.

Hvorfor er systemerne ikke forberedte på dette?

Min mand var inde på Borgerservice i dag, de fortalte ham, at fordi, jeg er på "Robinsonlisten", så KAN det betyde, at jeg ikke får tilsendt et nyt NEMID-kort, når det gamle er udløbet. Så det skal jeg selv ind på NEMID*s side og rode med.
Det lyder jo som om, at det har ingen tænkt på/at det skal implementeres.

Min bank- har jeg endda haft i 17 år...

Mvh
Tine

Øhhh, nej. Den såkalde robinsonliste har ikke noget med hemmeligt nummer eller hemmelig adresse at gøre og det her ingen indflydelse på om man får tilsendt NemID nøglekort.

Jeg tror at alle der arbejder med IT Sikkerhed i praksis godt ved at sikkerhed er en svær størrelse at retfærdiggøre overfor senior management i konkurrence med mange af andre stakeholders der kræver midler til alverdens mere eller mindre legitime formål. Udgiften til implementering af mere sikkerhed er ret håndgribelig - den er ofte direkte specificeret i en faktura, med et ikke ubetydeligt beløb. Udgiften ved IKKE at investere i IT sikkerhed er langt mere uhåndgribelig indtil de ubehagelige incidents indtræder og ledelsen opdager at deres disaster recovery plan ikke eksisterer. Hvad er værdien af skade på et brand? Hvad er værdien af tabt salg hvis man i en licitation ryger ud pga utilstrækkelig sikkerhed og laves dén business case iøvrigt nogensinde? Hvis de sikkerhedsansvarlige i Maersk har haft blot lidt af de samme udfordringer som jeg beskriver her så synes jeg man skal udvise forsigtighed med at dømme dem for inkompetance i bagklogskabens klare lys. Utilstrækkelig IT sikkerhed er efter min mening oftere et ledelsesproblem (dvs mangel på ledelsens buy in) snarere end et teknisk kompetence problem. Jeg kan omvendt godt forestille mig hvor svært det må være at prioritere imellem problemstillinger som man som C level manager måske dybest set har svært ved at gennemskue. Det er et svært game at navigere i og i den konkrete sag er jeg sikker på at ingen af parterne har handlet uforsvarligt. Maersk har blot været ude for den situation som alle større virksomheder må forberede sig på kan indtræffe i fremtiden. En solid veltestet BCP/DRP er måske forskellen på om virksomheden så overlever eller forsvinder fra markedet.

Spot on!

Med tryk på veltestet BCP/DRP og 100% commitment fra ledelsen (som kan være den største udfordring).

Sikkerhed handler ikke om hvis noget sker. Det handler om når det sker (og typisk på det værst mulig tidspunkt).

Her må jeg tillade mig at være helt uenig.
Ingen organisation i historien har nogensinde brugt deres budget til at opbygge et netværk, så de kunne sikre det.

Nix! – netværket bygges, så så organisation kan lave deres arbejde, for at organisationen skal kunne arbejde på en hurtigere og mere effektiv måde.

Med andre ord netværket bygges for at understøtte organisationens mission. Du kan godt give nogle sikkerhedsniveau for det pågældende netværkssegmentet men for at understøtte denne mission og så længe sikkerheden ikke står i vejen for organisationen og forretningen.

I det her tilfælde med Mærsk og ransomware grunder snarer er:

Du kan ikke forhindre hvad du tillader

Sandt nok lyder dette forenklet, men det er det der ofte glemmes. Du vil tit høre "Min webserver kan ikke angribes, den ligger jo bag en firewall ... "

Men så glemmer man det ved definition at en World Wide Web server skal tillade forbindelser fra alle i verden på TCP port 80 - og derfor skal firewall'en foran den tillade samtlige disse forbindelser. Derfor, hvis angrebet bruger TCP port 80, vil firewall'en tillade trafikken (og angrebet) igennem uforhindret.

Dette er blot et eksempel på mange (SMB, RPC, LDAP,DNS, NetBIOS, IPsec osv.), men det illustrerer pointet. Ja, deep packet inspection kan hjælpe her ... men i sidste ende, hvis en port er åben, så så er den åben for al trafik, om det er godartet eller ondsindet. Og når (ikke hvis) et ondsindet program er på indersiden, så er der næsten ligefrem for alt.

Og så vil jeg til sidst smide en god gammel:

Security is a process… not a product

Men når vi bygger huse tænker vi flugtveje og dørlåse med fra starten.
Og biler designes til højeste personsikkerhed.
Hvorfor er et it netværk anderledes end et husbyggeri eller et bildesign?

Helt rigtigt.

I 50'erne var biler ikke designet med henblik på passagerernes sikkerhed men hvor man senere fandt ud af at det var vigtigt. På samme måde startede de fleste store virksomheder med interne netværk, som så senere blev åbnet mod internettet. Og i starten var internettet befolket af nørdede akademikertyper som kunne lide at lave sjov med hinanden, men hvor risikoen for seriøs hacking var begrænset.

Verden har ændret sig og det må kravene til netværk og IT systemer generelt reflektere. Så hvis man i dag skal designet et nyt netværk, en ny applikation eller blot installere en applikation leveret af 3. part, så bør sikkerhed være en vigtig parameter (men ikke den eneste parameter ... http://dilbert.com/strip/2007-11-16). Alle der har eksisterende systemer bør også lave et grundigt review.

Pointet er:

Security must always be driven by business needs

I den kommercielle verden kaldes missionen for "indtægter". Hvis du nogensinde gennemfører sikkerhedsforanstaltninger, der forhindrer indtægtsgenerering, vil ledelsen fortælle dig præcis hvor forkert du er og præcis hvor lidt tid du skal have for et fikse det. Gør det et par gange nok og vil ledelsen finde en anden til stillingen.

Sikkerheden må aldrig forstyrre forretningen. Hermed det vigtigste er at have 100% ledelsens opbakning. Går man på tværs af forretning, mister man den opbakning på ingen tid. Vores (sikkerhedfolk) job er hermed at sige "ja - men lad os gøre det på den sikreste muligt måde".

Kort sagt: sikkerhed er en service og giver kun værdi når man kan sælge den ud til forretningen. Man kan aldrig være sikker nok, kun usikker nok accepteret af forretningen (Risc Analysis/Risc Management anyone?)

Tine: I mange år var CPR's login til download af Robinsonlisten beskyttet med brugernavn og kodeord. Brugernavnet var "robinson" og kodeordet var "listen".
Det blev så vidt jeg husker ændret for et par år siden, så nu har jeg ikke længere "abonnement" på dem der ikke vil kontaktes.
Men nej, det er ikke en måde at få hemmelig adresse på.

På samme måde som: låse på dørene, brandsikring, etc. IT sikkerhed er vigtigt for alle virksomheder der bruger IT. Hvis det er værd at investere i IT, så er det værd at sørge for at systemet fungerer og at sensitivt information ikke slipper ud.

Jeg kan ikke mindes at have set et stykke IT i en virksomhed, hvor man objektivt var ligeglad med sikkerheden. Problemet er snarere at man ikke forstår risikoen og vælger at løbe risikoen.

Selvfølgeligt må den det. På samme måde som at låse på dørene både holder tyveknægte ud men også generer de ansatte, så vil IT sikkerhed også opfattes som en forstyrrende element af forretningen. Tricket er at finde det rigtige niveau for sikkerheden fordi det er et kompromis overfor brugervenlighed.

Men det bør være en del af IT folkets DNA at de løsninger vi leverer er sikre. På samme måde som at det er en selvfølgelighed at bygninger ikke braser sammen, at vandrør ikke lækker, at vrideren på låsen sider på den rigtige side af døren, etc.

Det samme kunne siges om forsikringer. De er kun en udgift indtil de bliver brugt. Og udgifter må om noget stå i vejen for indtægter. Men stadig bliver de tegnet af virksomheder.

"Låse på dørene" er ikke den eneste løsning der vil holde tyveknægte væk.

Det kunne være at sætte låse på døre var en dyrere løsning end at betale tyveriforsikring eller have nogle billige vægter eller trænede hunde, eller blot acceptere tyveri og købe nyt udstyr - rent hypotetisk.

Det jeg vil frem til er at risk assigment/acceptance (mitigation/transfer/avoidance/acceptance) er en rolle ledelsen har, ikke sikkerhedsfolk.

I sidste ende er det ledelsen der foretager vurderingen og hermed bestemme om de vil have låse på dørene, brandsikring etc. eller accept the risk og leve med konsekvenser inkl. regningen der følger med (på den ene eller anden måde).

Lige præcis, men vil du stadig betale forsikring hvis den årlig forsikringspræmie overstiger værdien af varen? Eller blot acceptere risiko og købe ny vare når uheld indtræffer?

Jeg synes det er en anelse unuanceret. IT sikkerheden må jo heller ikke koste mere end værdien af virksomheden, eller, det må den godt, men så lever virksomheden jo ikke. Nogle IT systemer er indført for at der overhovedet kan genereres et overskud. Selvom jeg selv interesserer mig for sikkerhed, så må man også erkende IT sikkerhed ikke har en direkte handelsværdi for virksomheden.

Jeg har omvendt heller ikke set en virksomhed, der havde sikkerhed som første prioritet. Funktion har en pris, og så må man vurdere hvad man er villig til at ofre på sikkerheden. Jeg tror der er lige så mange der tager kalkulerede risici, som der er virksomheder der ikke forstå risikoen. Selv hvis du havde alle penge i verden, kunne du ikke sikre noget 100% alligevel. Sikkerhed op til 80-90% er rimelig billig, men i takt med at man nærmer sig de 100% vil udgiften stige eksponentielt.

Men ingen systemer er jo sikre? Nogle er mere sikre end andre, men der er ingen systemer der er sikre. Og hvornår er det så sikkert nok, ved 96% eller 98%?

Helt enig. Uanset hvor meget vi elsker IT sikkerhed, så kan man ikke undgå at sikkerheden skal afvejes ift andre af virksomhedens forhold. Man sætter jo heller ikke kontor pc'erne ind i en bankboks, fordi det er mere sikkert hvis nu der skulle ske et indbrud. Der findes ikke 100% sikkerhed.

Ja, men det er da under meget stor overvejelse om det kan betale sig. Om det kan betale sig er så en vurdering der bliver foretaget af ledelsen, og ikke noget der sker pr automatik, med mindre det er lovpligtig forsikring. Virksomhedens interesse i at købe forsikring hænger stærkt sammen med risiko. Hvis forsikringen langt overstiger risikoen eller værdien, så køber virksomheder ikke forsikringer.

Og her 60 år efter, dør folk stadig i massevis i deres biler. :) Det understreger vist pointen helt fint - sikkerhed er aldrig 100%, og da man stadig sælger masser af biler, så er indtjening vigtigere end sikkerhed.

Hus og bil kan både ses og de kan berøres - som os, nogle langsomme analoge væsner, samt de er kendt af næsten alle mht. anvendelse, samt sikkerheden ifm. hus/bolig samt bil/trafik bliver gerne indlært både derhjemme samt tilmed via vores folkeskole.

It så mange selv fornuftige som noget teknisk legetøj, og de selvsamme "kloge" fattet ikke at it+netværk blev vitalt for alle og i alle samfund ;)

Morale. Det bliver rigtigt slemt før det igen bliver godt. Læn dig tilbage, vent blot og se på - suk.

oo O oo -

It som før hed "edb" var fortrinsvis noget praktisk og administrativt noget, der sammen med transmission og netværk var noget usynligt man nu ikke skulle tage sig af - nogle som "andre" ordnede.. den holdning er stadig fremherskende overalt i samfundet, og der sker anno 2017 ingen formel indlæring af it-og datasikkerhed.

Selv vores 179 på Borgen er it- og sikkerheds-analfabeter, og de tror som befolkningen af "nogen" ordner "det der", medens de er optaget med "det der" som hos en politiker kaldes Fjæsbog, Flitter oa.

Edb/It (1950'ne) samt senere netværk og langt senere (1990'erne) kom det nu folkelige "InderNettet" til - var da ukendt for de fleste og først synligt for alle i slutningen af dette århundrede.

Ligeledes var også it- og netsikkerhed dengang også ukendt for menigmand. Menigmand derude (os) ja selv medierne med deres journalister vidste og ved jo stadig intet, og opdager derfor heller intet samt kan af samme grund ikke blive data- og net-sikkerhedsbevidste.

Det er en ret alvorlig og reel udfordring. Det er sikkert ikke populært at sige, men opmærksomheden på IT sikkerhed og forståelse af samme er ganske enkelt utroligt lav hos rigtigt mange ansatte i IT branchen.

Nogle gange har jeg lyst til at genindføre spanskrøret - som f.eks. dengang supporten modtog en laptop fra en tidligere administrator. På den var der med blyant skrevet brugernavn og password til et par af de systemer han administrerede.

Der er så utroligt mange tiltag der reelt ikke koster noget og ikke involverer ledelses beslutninger - men som bliver totalt ignoreret fordi de gør hverdagen livet lidt mere besværligt.

Efterhånden føler jeg mig som "Mordac - The Preventer" selvom jeg slet ikke ønsker at være sådan..

Varnish er vel et udmærket eksempel på, at ligegyldigt hvor megen umage software bliver skrevet med - Så kan det, når det granskes af 1000-vis af hjerner, pludselig vise sig at det kan bruges på "en anden måde".

http://varnish-cache.org/security/VSV00001.html

Ville du nogensinde have skrevet koden, hvis du havde in mente at du muligvis om XX år ville kunne blive erstatningsansvarlig for XXXX vellykkede DoS angreb?
Ville der nogensinde være nogen der ville videreudvikle "ovenpå"?
Ville nogen være med i et community omkring sådan software, hvis de dermed kunne blive ansvarlige?

Ja, vi skal skrive gennemtænkt, sikker kode, selvfølgelig.

Men ingen, heller ikke bilproducenter, kan være forpligtet ud over gældende viden.
I "bil-universet" er reglerne ret simple og har stort set ikke ændret sig siden hjulet blev opfundet.
I "IT-universet" er vi stadig så tæt på "Big Bang" at den ene ende af netværkskablet ikke nødvendig vis afspejler hvad der sker i den anden ende.

Hvem skal afgøre hvem der er erstatningsansvarlig for XXX stykker software, som kombineret på den rigtige måde, kan lægge en virksomhed, offentlig service eller lign. ned?
Er det gældende viden, eller er det som i skak - Når et nyt træk "opdages" - Så kan alle jo, mere eller mindre, se fidusen... På trods af at trækket jo "altid" har eksisteret.

I forhold til at levere et system der fungerer som ønsket, kan jeg følge dig mht. producentansvar. Det ville formentlig hjælpe overordentligt i mange systemer leveret til det offentlige.
Sikkerhed er mere diffus - For hvem kan se ind i fremtiden?

Vær sikker på, at der er mange sikkerhedshuller.

Er Mærsk villig til at betale to milliarder for hvert sikkershul?

Et angreb kan være fatalt, hvis det bringer en kritikal infrastruktur ned. At sidde pænt og vente på, at en angriber finder det næste hul svarer til, at man bygge en atomparaply og lukker hullerne efterhånden, som atombomberne rasler igennem.

Hvis produkterne er fulde af huller, har svage kryptografiske algoritmer, osv., så hjælper nok så mange procedurer og beredskaber ikke.

Tænk på en middelalderby med ringmur omkring. Man forbereder sig på fjenden. Man har alle procedurer og al planlægning i orden, men man tænker ikke på bymuren, som er faldefærdig. Den når man ikke at bygge op, når fjenden står udenfor. Det er billedet på vor IT-sikkerhedsaktiviteter.

Vi har bygget en vældig IT infrastruktur og har vilde planer om fremtiden uden at sikre "bymuren".

Det kan godt være, at jeg overdriver, men nok ikke så meget.

https://www.version2.dk/comment/362485#comment-form

Du underdriver, men desværre er området så lavt prioriteret, samt omfanget er aldrig seriøst undersøgt, da fornødent mandskab + bevilling aldrig er afsat til dette formål.

Rigsrevisionen[1] fortæller os sammen med Datatilsynet[2] derfor jævnligt i medierne om de sørgelige tilstande.

CfCS er vel en legetøjs-Maginot-linjen, der kun har muskler til at se på få vitale områder. Rekrutteringsmæssigt er den offentlig sektor i konkurrence med den private. "..kommuner og regioner samt private virksomheder, som er beskæftiget med samfundsvigtige funktioner, kan anmode om at blive tilsluttet Center for Cybersikkerheds netsikkerhedstjeneste..."

Som ved Maginot-linjen tror man og lytter så efter de dummeste, der plotter i "vandgraven"[3] ved netværk-perimeteren.

Det nuværende syn er, at de ældste systemer allerede er fortabte, og lappeskrædderne leverer sikkerhed, og at de fremtidige nye systemer må bygges med tanke på sikkerhed anno 201X.

Men man har en masse underskrifter på papir med juridisk sikkerheds-mumbo - underligt nok, da en hacker da aldrig underskriver på forhånd ;)

Man har også kilometerhøje bunker med log over hvem, hvor og hvornår har gjort hvad. I nogle vitale installationer (kun i de senere år) har en snuser og alarm af og til fortalt om mistænkelig adgang/trafik - men kun for disse nogle installationer og kun nogle mistænkelige misbrug fanges, og de resterende er ukendte. CSC-hullet blev aldrig fanget af systemet, men en person opdagede "noget"[4].

Man har da heldigvis utallige logs i de nævnte kilometerhøje bunker, der aldrig blev kontrolleret[2] eller er slettet[4} - mængden er enorm og det koster virkelig mange penge.. da ingen har spurgte så blev det vist lige "glemt" ;)

[1] ..https://www.version2.dk/artikel/forsvaret-har-stadig-ikke-rettet-paa-kri...
[2] ..https://www.version2.dk/artikel/datatilsynet-vi-bliver-sat-skakmat-naar-...
[3] ..https://www.version2.dk/artikel/dropper-seks-aar-gamle-sniffer-bokse-cfc...
[4] . .CSC sagen ..https://da.wikipedia.org/wiki/Gottfrid_Svartholm

Uanset hvor godt man sikrer sig, må man regne med at nogen kommer ind før eller siden. Derfor må beredskabet være nr. 1. Mon ikke også Mærsk gør nogle ting for at styrke sikkerheden? Såsom bedre segmentering af netværket.

Jeg lå og drømte om en idé, hvor alt som udgangspunkt var låst ned. Hvis man skulle andet end at køre starndardprogrammer, gemmer filer i Dokumenter eller snakke med en anden PC, skulle man godkende det ved hjælp af fx en kode fra et hardware token.

Mange steder skal managers sparke boller med IT-afdeligen for at få åbnet for forbindelser, uden det giver så meget mening. Hvis det nu var meget nemt selv at åbne, men ikke kunne gøres ved hjælp af computeren alene, kunne man låse meget mere ned uden at ramme særlig hårdt. Når en åbning ikke har været brugt i fx 3 mdr kunne den lukke igen.

Ikke nogen dårlig ide faktisk, men vi kender det jo allerede fra en standard måde at lave hardning nemlig whitelisting, - bit9 f.eks - men jeg har ikke set metoden kombineret med sådan en Challenge Response feature, som en hardware token eller lign. Det ville så heller ikke være nogen beskyttelse imod sårbarheder i standardprogrammer og os kernel, men det vil klart gøre omfanget af et et angreb noget mindre i et fornuftigt patchet system. Jeg har hørt om en feature i Windows10 som giver tidsbegrænset admin privilegier hvis man lige skal installere noget som alm bruger, så dét med tidsfaktoren findes vist også allerede, men din ide er ikke helt tosset. Lav det og sælg til Microsoft om 2 år. Måske blir du rig :-)