Udfyld et spørgeskema og deltag i lodtrækning om to gavekort på hver EUR 100 til Amazon.
Linket til spørgeskemaet findes her:
https://docs.google.com/a/maxeo.dk/forms/d/15pIcI3Pb-taCcaBAYViHw-WibK2…
Jeg er i øjeblikket i gang med at gennemføre mit speciale ved University of Liverpool i England; et speciale som skal ende op med en MSc in Computer and Information Security. Min titel på specialet er ”Optimizing the economy of achieving ISO 22301 compliance by reusing information from information security and ITIL efforts”.
Et af hovedelementerne I mit speciale er en modenhedsanalyse af indsatsen på business continuity området. Analysen er udformet som et online spørgeskema og anvender modenhedsskalaen, der anvendes mange steder i f.eks. ITIL og COBIT.
For at få værdi i min undersøgelse, så skal jeg gerne have den ud blandt et større publikum, og jeg vil derfor bede jer hjælpe mig, ved at distribuere linket blandt jeres kontakter. Jeg vil meget gerne have 400+ svar, som vil give mig en fornuftig dækning.
Resultaterne af undersøgelsen vil I få adgang til, når specialet er afsluttet. Jeg vil offentliggøre hovedtrækkene på LinkedIn. Jeg vil selvfølgelig ikke på nogen måde udnytte besvarelserne til at kontakte respondenterne direkte, og alle resultater vil være aggregerede, så enkelte virksomheder ikke kan identificeres.
Undersøgelsen tages ned den 20. januar 2016. Vinderne får direkte besked.
I sidste uge skrev jeg til to virksomheder, hvor jeg ved et tilfælde opdagede sikkerhedsproblemer.
• Det ene firma, et stort varehus, har monteret switches med åbne RJ45 porte, så de er tilgængelige for offentligheden. Der var fire porte i switchen, den ene blev brugt af kasseterminalen, den ande
n af dankortlæseren. De to andre inviterer direkte til at stoppe noget ondt i.
• Det andet firma er en del af en stor bygemarkedskæde. Her larmede min android wardrive scanner op over et usikkert adgangspunkt. Det viser sig, at byggemarkedet har et WEP krypteret adgangspunkt tilknyttet deres administrative netværk. Det er efter min opfattelse en temmelig dårlig ide. De har mange andre adgangspunkter, der er sikret ordentligt.
Jeg skrev en mail til begge firmaers it-afdelinger om min observation, der var absolut ingen reklame i mailen udover min standard mail signatur, men blot en ganske kort anbefaling til, hvad de burde foretage sig – henholdsvis at afdække netværksudstyret og skifte til en mere sikker kryptering.
Jeg havde ikke forventet at få en ny kunde i butikken, men måske blot en bekræftelse på, at de havde modtaget min mail – evt. tak fordi jeg var opmærksom. Resultat = total tavshed.
Hvad er jeres – eller jeres firmas – holdning til og reaktion på, hvis nogle udefra påpeger et sikkerhedsproblem. Har I en procedure for det?
***I november 2012 skrev jeg i min firmablog at ”Sikkerheden er lavt prioriteret på nogle websider”. Det viser sig desværre stadig at være korrekt i 2013. Iflg. DKCERT var der 1.203 hjemmesider, som endte med en ændret forside; hængt til tørre som trofæer på zone-h.org i januar 2013.***
*Flere af de virksomheder, jeg gennem tiden har været i kontakt med føler sig ikke i en risikozone. De har en hjemmeside, et visitkort, men de føler sig ikke i en risikozone Men er deres følelse af trykhed reel? Jeg mener nej!*
[Læs i PDF-format](http://inhousesecurity.dk/inhouse/LinkClick.aspx?fileticket=2QHXiDPVaRs…)
En fordobling af antallet af hackede hjemmeside i januar virker temmelig drastisk. Et kig på tørresnoren på zone-h.org viser, at det ikke er de store firmaer, der har problemer. Derimod er foreninger og mindre firmaer vel repræsenterede her.
**Ikke i risiko siger de?**
Men hvad er realiteterne? Hvad kan der da ske?
- Hackeren kan ændre forsiden på din hjemmeside, så den bringer et politisk budskab. Det er måske ikke så slemt, og det vil blot tage omkring en dag at rydde op. Det er næppe pænt og kan koste lidt drilleri og noget på goodwill kontoen. Det er da ikke så slemt vel?
- OK! Så lad os sige, at hackeren får adgang til firmaets kunde- eller medlemskartotek på din hjemmeside. Så er vi ude i noget snavs, der hurtigt kan involvere pressen. Det er over pinlighedsniveauet og koster kunder og dermed penge. Måske pådrager firmaet sig endda myndighedernes interesse, hvis der er oplysninger på siden, der måske ikke skulle være offentlige.
- I den endnu værre kategori bliver hjemmesiden hacket, men hackeren ændrer ikke på noget – tilsyneladende. Men alle besøgende på siden får trykprøvet deres sikkerhed, fordi hackeren har beriget firmaets hjemmeside med nogle spændende funktioner, der angriber de besøgendes computere og leder efter kendte sårbarheder i f.eks. Adobe Reader, Flash eller Java. Konsekvenserne. Dårlig omtale, tabt tillid hos kunderne. Sådan noget vil kunne ses på bundlinjen.
- For virksomheder med en webshop er livet endnu mere spændende. For dem kan det få dramatiske konsekvenser i form af tabt omsætning, mistet goodwill eller direkte kundeflugt, hvis en af ovennævnte hændelser rammer dem.
**De spændende spørgsmål:**
Det er fristende at stille spørgsmål til virksomhederne, når de føler sig sikre. For baggrunden for den sikkerhedsfølelse mange har, kan jeg ikke helt forstå.
Spørgsmål:
- Hvordan ved du, at du ikke er mål for en hacker?
- Hvordan ved du, at sikkerheden på din hjemmeside er i orden?
- Hvordan ved du, at sikkerheden på hjemmesiden ikke forringes over tid, når nye opfindelser og sårbarheder opdages hos hackerne?
- Hvem har ansvaret for, at din hjemmeside er sikker?
- Hvordan ved de, at den er sikker?
- Hvor ofte får du at vide, at din ansvarlige har kontrolleret sikkerheden?
Svarene kan lyde noget i retning af:
- Øhhh
- Det ved jeg egentlig ikke
- Det ved jeg egentlig heller ikke
- Er det ikke webhotellet (klassisk fejl)
- Øhhh har de ikke folk til det?
- Aldrig – skulle jeg det?
**Mangler it-sikkerhedspolitik**
Mange firmaer og foreninger har ikke udarbejdet en it-sikkerhedspolitik med regler, som ville klarlægge, hvor ansvaret for sikkerheden ligger, hvor ofte it-systemer og hjemmesiden bør kontrolleres og hvordan det rapporteres. Det er de mange hackede en god indikator for.
It-sikkerhedspolitikken behøver ikke være omfattende, og den kan afpasses til firmaets størrelse og aktiviteter. Men det er vigtigt at få slået fast, at der er noget arbejde, der skal gøres med henblik på at sikre virksomhedens værdier.
Efter min mening, så har mange firmaer haft den holdning, at vi skal da på nettet – det er de andre. Så lader de reklamebureauet udarbejde en side og lægge den op. ”Vi sætter X i TO-DO listen, og så er den opgave løst”.
Der er bare det, at sikkerhed ikke er en opgave, der løser sig selv. Uopmærksomhed gør blot situationen værre. Sikkerhed er en opgave, der aldrig bliver løst, men som skal op og vende med korte mellemrum.
**Hvad og hvordan?**
Det er min anbefaling, at hjemmesider med jævne mellemrum – ca. en gang i kvartalet scannes med et automatisk værktøj, der kan se på infrastrukturen omkring siden – og på selve sidens sikkerhed. Er der huller i siden, så brugeren kan skrive kode, der kan skade de bagvedliggende systemer – eller kan brugeren komme til at ændre i selve hjemmesiden.
Det er ikke sikkert, at scanningen finder alle fejl og sårbarheder, men den giver en god indikation af, om der er problemer med siden.
Det vigtige er at fjerne de åbenlyse problemer, der kan gøre siden til en lavt hængende frugt for hackerne.
Indeholder siden fortrolige informationer, en webshop eller andet sårbart, så bør en erfaren konsulent tage stikprøver af sikkerheden og anvende nogle af de mere dybdegående værktøjer. Så sikkerheden bliver vendt på et niveau, der går et spadestik dybere.
En god regel siger, at siderne bør kontrolleres ca. én gang i kvartalet og umiddelbart efter større ændringer. Det bedste vil være, hvis siden kontrolleres i et testmiljø, inden at ændringer lægges ud i offentligheden. Det kan nemlig være en svær øvelse at trække nye funktioner tilbage, hvis der findes graverende fejl i forbindelse med testen.
De sidste dages nyheder med Se&Hør og IBM/Nets har fået mig til at forbinde ordet dysfunktionel med IT-sikkerhed. Eller rettere dysfunktionel – ikke fungerende -IT-sikkerhedsledelse.
Jeg vil ikke koncentrere mig omkring Se&Hør elementet, selvom det egentligt er slemt nok. Jeg er sikker på, at pressen, politiet og retsvæsnet tager sig af den del. Derimod vil jeg sætte fokus på datasikkerheden med udgangspunkt i IBM/Nets historien.
De fakta jeg har opfanget gennem pressen er indtil nu:
1. En ansat/konsulent har haft adgang til at trække fortrolige data omkring transaktioner ud af maskineriet – og sende dem videre.
2. For at kunne gøre dette, og automatisere det, så skal man:
a. Kunne oprette et program, en trigger i en database eller et script,
b. der kører uden om overvågningen, og
c. ikke bliver fanget af audit eller kode review.
3. I praksis, så betyder det, at
a. Personen har mange rettigheder til systemer,
b. Kan omgå change management procedurer og
c. Separation of duties, og
d. At der ikke er styr på, hvad der kører.
e. Herudover logges opslag fortaget uden for applikationerne næppe.
4. Supportmedarbejdere (studenter?) har almighty powers i relation til at slå transaktioner op. De misbruger deres rettigheder til at overvåge ex-kærester og andre interessante personer.
DYSFUNKTIONEL LEDELSE AF IT-SIKKERHEDEN
Al dette tyder på, at der er problemer, både med en række sikkerhedsteknikker og kontroller, men i første række opfatter jeg dette som et ledelsesproblem.
I mit virke som konsulent har jeg set mange forskellige former for dysfunktionel – altså ikke eller dårligt fungerende - IT-sikkerhed. Et par få eksempler kunne være:
• Et firma har lige haft besøg af revisionen, de har fået godkendt deres beredskabsplan. Da jeg senere besøgte IT folkene i driftsafdelingen, opdagede jeg, at de ikke kendte planen, og at den ikke var tilgængelig for dem på intranettet. I øvrigt kendte de ikke firmaets IT-sikkerhedspolitik.
• En økonomichef, der også var IT-chef fik et par råd fra mig om manglende kontroller for trådløs sikkerhed; et sektorkrav faktisk. Han var meget imod de råd, som han synes var besværlige. Han ringede til en kollega i samme sektor og bad om en vurdering. Kollegaen havde heller ikke etableret den slags kontroller; på baggrund af den information sagde økonomichefen, at han heller ikke ville tage nogle tiltag på området. Når andre ikke gjorde det, så ville det påvirke de økonomiske benchmarks mod sammenlignelige firmaer negativt. Ingen af disse beslutningstagere har en IT eller IT-sikkerhedsbaggrund, eller interesse for sikkerhed.
• Et firma har investeret i et ret omfattende IT-sikkerhedsarbejde, som omfatter IT-sikkerhedspolitik, regler, beredskabsplaner, kontroller osv. Alt sammen på baggrund af et revisionsbesøg. Da revisionen har godkendt planerne ved et opfølgningsbesøg, så bliver de stillet på hylden. Det var aldrig meningen, at de skulle sættes i drift. Det var kun for at få en godkendelse fra revisionen, at arbejdet blev gennemført.
• En IT-chef har gennem flere år søgt om at få bevilliget et nyt backupsystem, da det gamle ikke længere kan håndtere de stigende datamængder. Direktionen har afslået det hver gang. Først da et nedbrud betyder tab af data bevilliges systemet.
I alle disse tilfælde opstår dysfunktionen ved, at ledelsen ikke tager ejerskab for IT-sikkerheden, men betragter det som et nødvendigt onde – om ikke andet, skal der være noget sikkerhed for at revisionen ikke giver kritiske bemærkninger.
ET LEDELSESANSVAR
IT-sikkerhed er ledelsens ansvar. Inden for finanssektoren er der endog lovgivet på området. Men mange ledere kender ikke meget til IT-sikkerhed og støtter sig til deres IT-afdelinger.
Men når ledelsen mener, at IT-afdelingen har ansvaret for IT-sikkerheden uden at stille specifikke krav, så kan der opstå nogle kedelige problematikker.
IT-chefen har fået udstukket nogle opgaver fra ledelsen, som han skal løse. Det er det, han bliver målt på. De krav gennemsyrer organisationen, og han vil ofte være i konflikt med sig selv, når han skal arbejde med sikkerhed; for hvorfor gøre ting besværlige, når de skal være færdige i morgen. Ofte vil firmaets krav om høj tilgængelighed skubbe krav om fortrolighed og integritet til side.
I mindre virksomheder lægger IT-chefen ofte sikkerheden i hænderne på deres IT-leverandør. Det er endnu et led væk fra ledelsen og dens ansvar. Leverandøren har kender måske sine egne produkter, men integration med andre produkter – hmmm???!
I alle tilfælde ser jeg i den konstellation en mangel på holistisk syn på sikkerheden. Sikkerheden bliver på den måde opdelt i en række små sikkerhedsøer, og der ses ofte ingen tegn integration mellem disse øer. Her taber IT-chefen overblikket, og huller i sikkerheden kan opstå.
HVEM BÆRER KASKETTEN?
I disse tilfælde er der ingen, der bærer CISO’ens kasket. CISO står for Chief Information Security Officer, og han er den person i firmaet, der varetager informationssikkerheden – IT-sikkerheden.
Ansvaret for sikkerheden er ledelsens, og de bærer i første omgang selv CISO’ens kasket. Nogle gange sætter de IT-chefen (CIO) eller økonomichefen (CFO) til at slæbe rundt på kasketten. Jeg har endda set en direktør (CEO) have kasketten. Den bliver desværre ofte ikke båret, men ligger i en mappe eller på en hylde (sammen med IT-sikkerhedspolitikken), hvor det nu er belejligt at parkere den.
Når ingen har eller tager ansvaret, så bliver opgaven ikke udført. Det er et faktum.
Firmaer, organisationer, ja selv mindre bikse bør udpege en CISO – eller hyre en ind. Det kan være en fastansættelse eller en ekstern konsulent (Reklameadvarsel: Jeg sælger den slags ydelser). CISO skal over for ledelsen være ansvarlig for, at IT-sikkerheden tilrettes, så den beskytter virksomhedens værdier bedst muligt efter de krav, vilkår og kriterier, som ledelsen opstiller.
Når en person tager kasketten – og dermed ansvaret og opgaverne, har ledelsens opbakning og er givet en formel autoritet, så er der langt større chancer for, at IT-sikkerheden håndhæves.
HVAD SKAL IT-SIKKERHED EGENTLIG?
Nej! IT-sikkerhedsfunktionen og CISO’en kan og skal ikke afværge alle former for angreb og trusler. Men IT-sikkerhed har til formål at nedbringe en risiko til et for ledelsen acceptabelt niveau – og - at beskytte virksomhedens værdier på den mest økonomiske måde. Herudover er det væsentlig at slå fast, at IT-sikkerhed kan være med til at sætte virksomheden i stand til at indgå i forretningsengagementer, den ellers ville have været afskåret fra på grund af problemer med sikkerheden – altså en business enabler.
CISO’en leder det arbejde, forestår risikoanalyser og udarbejder grundlaget for at implementere den fornødne sikkerhed. Han refererer ofte til CIO, men med en stiplet linje til CEO, hvis der opstår menings forskelle mellem ham og CIO (og det gør der), så er det CEO, der må være overdommer og udtrykke ledelsens mening.
KONKLUSION
Alle virksomheder har brug for en funktion, der varetager IT-sikkerheden – en CISO, der bærer kasketten synligt, støttet af ledelsen. CISO’en kan have andre ansvarsområder, men det er vigtig at kasketten er synlig. Har jeres virksomhed ikke en CISO, så sørg for, at én har ansvaret og myndigheden – eller ansæt en person med sagkundskab – alternativt - hyr en konsulent, som kommer hos jer med jævne mellemrum, og indgår som en del af firmaet.
I alle tilfælde – støt personen i opgaven, vis tillid og giv nogle rammer at spille op mod. Sørg frem for alt for, at sikkerhed ikke bliver afkoblet - fremmedgjort - fra forretningen. Så løfter I som ledelse jeres del af ansvaret – og får styr på IT-sikkerheden - så vi ikke skal Se&Høre om problemer.
Just my 2 cents.
Det er rystende, jeg gentager lige, at applikationer kan komme i søen uden at være testet for OWASP top 10 fejl. Det er ganske enkelt uprofessionelt, at et system, der håndterer data om børn, på vegne af en offentlig myndighed ikke er testet. De fejl er ikke rocket science at finde. SQLi og XSS er nogle af de mest banale fejl, og de burde ikke eksistere i en professionelt udviklet applikation. Alligevel, så er det sådanne fejl, der går igen, og igen i hackmageddon.com - siden hvor notable hacks offentliggøres.
Som Henrik Kramshøj nævner, så er der en række værktøjer, der er meget nyttige ifm. forensics - herunder http://sleuthkit.org/, som findes på Backtrack. Ja, som oftest vil du kunne producere en fornuftig kopi, med mindre, at der er ændret i elementer som firmware eller lignende, så du blokeres. Det skal være en del af verifikationen. Jeg kan anbefale at se i Electronic Discovery Reference Model http://www.edrm.net/. EDRM beskriver udmærket processen i forensic.
Man kan også tænke sig, at man har gaflet nogle passwords på disken i klar tekst - og så har satset på, at de er genbrugt. Det ville være en approach, jeg ville kunne finde på. Men ja - for Windows' vedkommende, så kan dvalefilen indeholde ukrypterede passwords, som de forskellige forensics værktøjer kan trække ud.
Det er mod enhver god procedure at skrive på den originale disk, der skal bruges som bevismateriale. Der burde være gode muligheder for at bevare original disken uberørt. Det er godt nok uphill....
Jeg mindes stadig et besøg i et større varehus her i landet for ca. 1 år siden. Her lå der en 4 ports switch med to ledige porte ved næsten alle kasserne. Den ene var brugt til dankort terminalen og den anden til kassen. Det tredje og fjerde kunne du selv "disponere" over. Bagsiden vendte ud mod kunderne. Gad vide, hvad man kunne opnå. Jeg skrev til deres IT afdeling og fortalte om min oplevelse, men fik aldrig nogen respons. Der var ikke ændret noget, da jeg besøgte butikken for ca. ½ år siden.
Ja, de søger en medarbejder - ikke en sikkerhedschef. Det er selvfølgelig en start, men der skal nok mere pondus til, hvis medarbejderen skal have den fornødne gennemslagskraft. Hvis medarbejderen refererer til den chef, der skal have noget "udført", så kan krav til sikkerheden hurtigt blive kørt på en sidelinje og prioriteret ned.
...., der ikke var sikret mod DDoS angreb i udgangspunktet.
Jeg er umiddelbart indifferent omkring konsekvenser og sanktioner, men noget skal der være. Om det så skal være en "wall of shame", hvor man hænger virksomheder og institutioner ud. Private virksomheder kan man lade være med at handle med, men hvad med de offentlige syndere. Kommuner, universiteter og statsinstitutioner....
I 2012 deltog jeg i et Business Continuity Manager kursus med en instruktør fra Seattle. Hun fortalte, at i visse områder af USA var modne IT-sikkerheds- og business continuity programmer en konkurrence parameter. En række store virksomheder vil helst ikke handle med firmaer, der ikke har styr på deres sikkerhed, da man ikke kan være sikker på leverancer af varer og services.
Flere kilder nævner, at hackerne går efter det ”bløde underliv”, de mindre underleverandører til større virksomheder, når de driver spionage. Det kan derfor være en god ide at markere sig på IT-sikkerhedsområdet, hvis man gerne vil have nogle af de saftige ordrer som underleverandør.
Mange har en holdning til IT-Sikkerhed, men færre tager deres beslutninger med åbne øjne. Går den, så går den. Det er den holdning, vi skal væk fra. Jeg mener godt vi kan stille krav om at beskytte virksomhedernes data - i særdeleshed følsomme persondata med helbreds- og finansielle oplysninger samt oplysninger, der giver mulighed for identitetstyveri. Den offentlige sektors track-record for de seneste 1½ år er skræmmende. Konsekvensen hmmm.
Jeg har gennem min gang som konsulent set virksomheder tage chancer med deres sikkerhed og dukke sig for sektorkrav, fordi sikring, som den burde være, ville belaste nøgletallene. Men hvis der var en følbar konsekvens af den manglende sikkerhed, så ville sikringen forhåbentlig blive bedre – og beslutninger kunne blive truffet fra et oplyst grundlag.
Men jeg er jo ikke uvildig, for jeg handler med disse ydelser
Nej det synes jeg ikke det er. Vil folk have wifi, så må de anskaffe det selv - just my 2 cents. Er der ikke også noget med at kommunerne ikke må konkurrere med private firmaer. I dette tilfælde vil det nok koste nogle abonnementer hos de private, hvis det bliver rullet ud.
Today, 192 rockets were fired towards Israel. 141 of them hit Israel, and an additional 44 were intercepted by Iron Dome. http://en.wikipedia.org/wiki/List_of_Palestinian_rocket_attacks_on_Israel,_2014
Hvis nu tyske militante hældte et par hundrede raketter ind over grænsen, hvor hurtigt vil I regne med, at en folkekrav om reaktion rejste sig. Jeg tror næppe, at Danskerne vil finde sig i af blive beskudt, uden at ville skyde retur.
Noget af det, der undrer mig er, at forholdet omkring FTP serveren ikke er afdækket i en periodisk test. En FTP server er i min optik noget, der bør overvåges med ganske korte mellemrum.
... er vel, at det er den certificering, og den alene, du bliver målt på.
Er du compliant eller ej. Hvis man ensidigt fra ledelsen fokuserer på PCI, så kan man forledes til at glemme, at der er andre ting indenfor Informationsikkerhed, der bør tages højde for. ISO2700x for eksempel.
Det er lidt som med KPI'er. Hvis det er dem, du får din løn efter, så indsnævres scopet, og man reagerer måske ubalanceret.
COMMISSION REGULATION (EU) No 611/2013, Official Journal of the European Union, L 173/2.http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2013:173:0002:0008:EN:PDF
Jeg er faktisk ikke klar over, hvorvidt det falder for retsforbeholdet, men der er faktisk nogle udmærkede takter i dette. Datatilsynet som kompetent myndighed med de fornødne ressource, mandatory notifikation af datatilsynet ved brud på sikkerheden. Notifikation af brugere indenfor en kortere tidsfrist om, at deres data er kompromitterede, perioden kan forlænges af datatilsynet, hvis frigivelse vil forstyrre opklaring (forensics).
Det kunne være en meget værre tekst IMHO.
I lov om finansiel virksomhed er der jo nogle straframmer, som kunne komme i spil her, men når man tænker på at Finanstilsynet ikke har været på besøg i 4 år....
Under min gennemlæsning af artiklen og kommentarerne kom jeg til at tænke på denne gamle Disney sang - Stol på mig: https://www.youtube.com/watch?v=Xh15DXpKMvQ
;-)
Michael Christensen