It-sikkerhed - Er det andet end det der er oppe i tiden?

Når medierne finder et spændende emne, bliver det ofte genstand stor fokus og megen omtale. Men hvad med den mere dagligdags it-sikkerhed? Dette er en ofte overset og forsømt disciplin. Ikke desto mindre er ”den daglige” it-sikkerhed vigtig for alle virksomheder.

Af statsautoriseret revisor Michael Clement

Indenfor det seneste års tid har virus angreb, orme og andre emner indenfor it-sikkerhed haft stor medie bevågenhed. Det er glimrende, at den brede offentlighed bliver informeret om disse emner, da de ofte berører alle der, enten privat eller på deres arbejde, bruger it. Vi må bare ikke ”glemme” ”den daglige” it-sikkerhed, da det er værnet, der skal beskytte virksomhedens systemer, data og drift, mod såvel interne som eksterne trusler.

Vi vil derfor med udgangspunkt i DS 484, fremhæve en række områder, der ud fra vores praktiske erfaringer fra revision af it-sikkerhed, ofte bliver overset eller ignoreret, forsøge at give vores bud på hvad it-folk bør være opmærksomme på, og hvad der eventuelt kan gøres for at imødegå trusler og dermed forbedre it-sikkerheden.

Norm for edb-sikkerhed

DS 484 er udgivet af Dansk Standard. Dens formål er at støtte virksomheder i at opretholde og forbedre sikkerheden omkring it-systemer og -anlæg herunder danne grundlag for virksomhedens målsætning for it-sikkerhed. I DS 484 defineres it-sikkerhed som citat: ”….resultatet af den samlede mængde af beskyttende foranstaltninger….”. I denne definition ligger, at det ikke er indsatsen på et enkelt område, der er udtryk for den samlede it-sikkerhed. Da ingen kæde som bekendt er stærkere end det svageste led, er virksomheden, herunder dens it-medarbejdere nødt til at anlægge en helhedsbetragtning.

Efter denne indledning kommer vi til noget af det der gør normen interessant. Den fastslår nemlig, at det er virksomhedens ledelse, der har ansvar for at tilrettelægge styringen af it-sikkerheden sådan at tre overordnede krav om tilgængelighed, integritet og fortrolighed tilgodeses. Det er altså ikke it-afdelingens ansvar at fastlægge krav til it-sikkerhed, men ledelsens. Vi møder dog ind imellem at ledelsen lægger hele ansvaret i it-afdelingen.

Det skal i øvrigt bemærkes at den danske standard tager udgangspunkt i den britiske standard BS 7799 fra 1995. Denne standard blev opdateret i 1999 og kort efter ophøjet til den international standard ISO 17799.

Elementer i it-sikkerhed

Det der er udfordringen, er at tilrettelægge det der kan betegnes som en passende sikring. Hvad det er, kan der være delte meninger om. Det kan derfor være hensigtsmæssigt at tage udgangspunkt i DS 484, der har en meget fyldig beskrivelse af hvad der er normen inden for it-sikkerhed.

Vi har valgt at gennemgå 5 elementer fra DS 484, som vi ved it-revisioner ofte oplever, giver anledning til anbefalinger til styrkelse af it-sikkerheden. Disse elementer er følgende:

• Fysisk sikkerhed
• Styring af drift
• Kontrol af adgang til systemer, data og netværk
• Beredskabsplanlægning
• Overordnede retningslinjer

Fysisk sikkerhed

Her er et område som de fleste kan forholde sig til. Grundlæggende handler det om at beskytte it-systemer og -anlæg mod uautoriseret adgang (både fra medarbejder og tyve) og uheld (brand, varme og vand). Når placeringen af udstyr skal vælges, bør man tænke sig godt om. Som udgangspunkt bør der til centrale servere og udstyr (f.eks. krydsfelter) findes et egnet lokale der helt og holdent kan dedikeres til formålet. Lokalet bør vælges ud fra overvejelser som f.eks. placering i bygningen. Kælderrum er et traditionelt valg. Fordelen er, at det er gemt lidt af vejen, og at der typisk ikke er vinduer i lokalet. Desværre er der også en række klassiske ulemper man bør være opmærksom på. Vand er typisk den største ulempe ved kælderlokaler. Her er der typisk rørføring fra både vand og varme der kan spring læk, kældervinduer og udluftningshuller hvor regn- og smeltevand kan trænge ind og afløb der kan blive stoppet og løbe over.

Hvis vi går videre til stuen er fordelene her, at lokalet ofte ligger bekvemt, og at man som regel er fri for de vandproblemer, der er ved kælderrum. Til gengæld er ulempen, at et sådant lokale ofte er forsynet med vinduer (nogle gange oven i købet vinduer mod offentligt tilgængelige arealer).Det kan derfor være svært at finde et godt lokale til it-udstyr. Uanset hvilken placering der vælges, er der en række grundlæggende forhold som skal være i orden. Lokalet skal være aflåst og kun it-afdelingen og evt. it-ansvarlig bør have adgang. Det er en dårlig ide at have fælles netværksprintere eller papirlager i lokalet. Adgangen kan styres af enten nøgler eller kort. Desuden bør der være indbrudsalarm i lokalet. Det er bedst med rumfølere, der kan sikre både dør og vinduer. It-udstyret skal sikres ordentlige arbejdsbetingelser, hvilket blandt andet betyder, at der skal holdes en konstant temperatur ved f.eks. air condition anlæg. Temperaturen bør overvåges og anlæg serviceres jævnligt. For at sikre el-forsyningen bør nødstrøm i en eller anden form overvejes, således at servere o.l. som minimum kan lukkes ned, uden risiko for tab af systemer og data. Også her gælder det at det skal overvåges og serviceres, ligesom der bør ske regelmæssig test af at nødstrømsanlægget virker. Endelig er der brandfaren. Afhængigt af virksomhedens forhold kan der vælges mellem automatisk slukning, alarmering af brandvæsen (ABA anlæg) eller egnet slukningsudstyr i nærheden af lokalet.

Top

Styring af drift

Det der er mest interessante i DS 484 er, at man har valgt at placere ”Beskyttelse mod ondsindede programmer” her. Alt det som i medierne bliver meget stort, er i DS 484 beskrevet på cirka en side. Det handler mest om antivirus programmer, men også om brugernes opmærksomhed omkring virusangreb og hvad de skal gøre. Selvom der har været stor fokus på dette område, ser vi desværre alt for ofte svagheder på dette område. Det er ikke nok bare at installere et antivirus program. Det skal holdes opdateret og ikke mindst skal it-afdelingen sikre sig at brugerne ikke bare slår det fra, fordi det ”er irriterende og gør systemet langsomt”. Desuden bør it-afdelingen sikre sig at ALLE medier, mails m.v., kontrolleres af antivirus programmet. Vi ser flere og flere anvender USB memory keys, og de er ikke altid omfattet af antivirus programmets scanning.

Sikkerhedskopiering ligger også i dette afsnit. Her har vi igen et område, hvor de fleste føler sig godt rustet, fordi de tager en omfattende sikkerhedskopiering, typisk en daglig fuldstændig sikkerhedskopi. Men bliver det kontrolleret, at medierne indeholder det forventede, og at de overhovedet kan læses? Vi høre desværre alt for ofte et nej til dette spørgsmål. Hvad med beskrivelser af indlæsning af sikkerhedskopier og jævnlige test af dette til f.eks. et testmiljø? Også her får vi ofte nej. Det betyder, at sikkerhedskopieringen kan være falsk sikkerhed og der er ikke noget værre. Her er det it-medarbejderne der skal forsøge at bevare overblikket og få alle aspekter af sikkerhedskopieringen med. Dette bør også omfatte ekstern opbevaring af sikkerhedskopier.

DS 484 beskriver også forhold som kapacitet og planlægning af netværk. It-sikkerhed handler faktisk også om tilgængelighed, altså om brugerne kan få adgang til data og systemer når de har brug for det. For at sikre dette, er det nødvendigt, at it-afdelingen overvåger brug af netværk og it-anlæg, så flaskehalse og kapacitetsproblemer opdages og afhjælpes i tide.

Kontrol af adgang til systemer, data og netværk

Her omtaler DS 484 en lang række aspekter omkring adgangskontrol og administration. Vi vil ikke fokuser på de kontroller, der kan etableres og diskussioner omkring kvaliteten af passwords (længde, sammensætning og skift), men i stedet redegøre for nogen af de problemer, vi oftest støder på, når vi foretager en detaljeret gennemgang af de brugere, der er oprettet på it-systemerne. Udfordringerne falder i 2 kategorier: De ”almindelige” bruger, der typisk anvender netværk og systemer og så netværksadministratorer eller andre privilegerede bruger, der typisk passer netværk og servere.

De almindelige brugere først. Her er handler det om at oprette bruger ID med password og de rigtige adgange til systemer og data, så det hele er klart når den nye medarbejder starter, sørge for at brugerne hele tiden kun har lige præcis den adgang de har arbejdsmæssigt har behov for og endelig at få nedlagt bruger ID, når medarbejderen forlader virksomheden. Vi støder ofte på uhensigtsmæssigheder indenfor de 3 nævnte handlinger. Den første kategori vil dog blive rettet til hurtigt, for hvis brugeren ikke har den rigtige adgang skal de nok brokke sig. Omkring det med at sørge for at brugene har de rigtige adgange, støder vi ofte på, at brugerne har for vide rettigheder. Det sker f.eks. ved, at brugerne skifter funktion eller afdeling, og derfor får tilføjet flere adgange eller rettigheder i systemerne. Hvis ikke der gøres noget for at holde øje med rettighederne, kan hele adgangskontrollen meget hurtigt sande til. Endelig er der udfordringerne omkring adgange for de medarbejdere der forlader virksomheden, enten for en kortere periode ved f.eks. orlov eller permanent. Vi oplever ofte, at der er medarbejdere, som er fratrådt eller lignende, som stadig har adgang til systemer og data. Vores råd er, at udarbejde en beskrivelse af de forretningsgange, der skal følges ved brugeradministration, herunder periodisk gennemgang af om brugerne har de rette adgange. Beskrivelsen bør som minimum indeholde de her beskrevne forhold.

De privilegerede brugere er en opgave for sig. Det kommer bag på mange, at reglerne for adgangskontrol også gælder netværksadministratorer. Det nytter f.eks. ikke, at brugere med særlige konti slår skift af password fra, bare fordi de kan, og ikke mener det er ”nødvendigt” at skifte hver tredje måned. Desuden skal der holdes øje med standardbrugere, som f.eks. ROOT og Administrator, systembrugere til f.eks. backup software m.v. Her bør gælde samme retningslinier som for øvrige brugere. Endvidere bør der være en særlig opmærksomhed på eksterne konsulenters og leverandørers adgange. Vi ser alt for ofte, at disse har ubetingede rettigheder til hele virksomhedens system og data. Vi anbefaler, at der etableres faste forretningsgange der beskrives og selvfølgelig at det kontrolleres, at de følges.

Top

Beredskabsplanlægning

Jævnfør DS 484 handler dette om, at mindske konsekvenserne af ulykker og fejl. Bemærk at det her handler om, at det ER gået galt. Vi ser efterhånden mange steder, at der er etableret rigtigt god sikring af tilgængelighed på det fysiske område. Det vil sige at it-anlæg befinder sig i godt sikrede lokaler og hardware og forbindelser er redundant. Dette er dog ikke det samme som en beredskabsplan. Indimellem høre vi, at beredskabsplanen er ”vi læser bare backup’en ind igen”. Dette er heller ikke en beredskabsplan. Hvad er så en beredskabsplan? DS 484 beskriver de overvejelser virksomheden (ledelsen) skal gøre omkring hvilke ulykker og fejl i it-systmer og -anlæg, der kan have indflydelse på virksomhedens aktiviteter, hvilke systemer der er kritisk i forbindelse hermed, og hvor hurtigt it-systemer og anlæg skal kunne reetableres. På baggrund af dette skal der beskrives en beredskabsorganisation, kontaktlister, hvilke faciliteter der skal være til rådighed på et alternativt driftssted m.v.. Når man nu læser alt dette og tænker ”Det er slet ikke nødvendigt for os”, så tænk igen - bare i mindre baner og stil spørgsmålene : hvem ved hvilke leverandører vi skal have fat i? Hvem ved hvilket udstyr vi skal bruge? Hvem ved hvor sikkerhedskopierne er og hvordan vi læser dem ind i et nyt system? Vi tror i kender svaret! Prøve så at sende (mentalt) de 2 it-folk der kender svarene på kursus i USA og stil spørgsmålene igen. Vi er nu sikre på at I ved hvorfor, det er godt at have en beredskabsplan. Desværre høre vi alt for ofte, at der ikke findes beredskabsplaner.

Overordnede retningslinjer

For at holde styr på alle de områder vi har behandlet i denne artikel og øvrige it-sikkerhedsområder, er det nødvendigt, at skabe gode rammer for arbejdet med it-sikkerhed i virksomheden. Disse rammer skal fastlægges i en it-sikkerhedspolitik, der tager udgangspunkt i en overordnet risikovurdering.

Hvis vi starter bagfra er det meningen, at ledelsen skal foretage en overordnet risikovurdering, der identificere trusler mod virksomheden internt som eksternt, hvor sårbar virksomheden er overfor de identificerede trusler, og hvad konsekvenserne er hvis truslen bliver til virkelighed, herunder i hvor lang tid, systemer eller data kan undværes uden at det får væsentlige økonomiske konsekvenser. Det at lave en risikovurdering er bestemt ikke en simpel øvelse, men hvis det ikke bliver gjort kan man risikere, at der findes trusler man ikke har opdaget eller at sikringen mod truslen ikke er god nok. På den anden side behøver det heller ikke være raketvidenskab, at tage en drøftelse af hvad ledelsen mener er vigtigt for virksomheden og som it-afdelingen derfor skal beskytte efter bedste evne. I DS 484 er der en kort vejledning om risikovurdering og en henvisning til DS/INF 85: Risikoanalyse: Kvalitetskrav terminologi. Dansk IT har udgivet hæftet ”It-sikkerhed i små og mellemstore virksomheder” der blandt andet indeholder en metode til analyse og vurdering af virksomhedens it-sikkerhedsniveau..

Efterfølgende skal rammerne så fastlægges i en it-sikkerhedspolitik. Det er her kravene, som it-afdelingen og virksomhedens medarbejdere i øvrigt skal leve op til fastlægges. Vi har gode erfaringer med, at selve it-sikkerhedspolitikken kan holdes på et overordnet niveau, men at detaljerede regler, retningslinjer og forretningsgange beskrives separat. Det er også det, der lægges op til i DS 484, hvor der er et eksempel på en it-sikkerhedspolitik. Bogen ”Sikkerhed i windows-miljøer” af Morten Strunge Nielsen kan også anbefales. Forfatteren er meget rettet mod den internationale standard, men budskaberne omkring it-sikkerhedspolitik er klare og tydelige. Hvis virksomheden er underlagt Lov om finansiel virksomhed skal man være opmærksom på, at Finanstilsynet har udgivet vejledning nr. FN 402 ”Vejledning om kontrol- og sikringsforanstaltninger på it-området”. Denne vejledning stiller en række krav til hvordan it-sikkerheden skal være tilrettelagt.

Når risikovurdering og it-sikkerhedspolitik med tilhørende regler og retningslinjer er på plads, kommer vi til en væsentlig del af hele arbejdet omkring it-sikkerhed, nemlig implementeringen. Det er vigtigt, at hele virksomheden bliver bekendt med indholdet i it-sikkerhedspolitikken ellers dur den ikke til noget. Man kan gribe det an på mange forskellige måder, men det der kaldes en ”Awareness” kampagne virker efter vores erfaringer fint. Her udbredes indholdet af it-sikkerhedspolitikken på forskellige let tilgængelige måder.

Desværre ser vi alt for ofte, at der ikke findes en skriftlig it-sikkerhedspolitik og at der ikke er foretaget en formel og skriftlig risikovurdering. Til gengæld er det også vores erfaring, at der i de virksomheder der har gjort et stykke arbejde omkring it-sikkerhedspolitik og risikovurdering har et væsentligt bedre sikkerhedsniveau.

Top

Afslutning

Vi er helt klar over, at it-folk har en travl og spændende hverdag, hvor det ofte kan knibe med tid til fordybning i andet end det der lige nu og her kræver en løsning. Dette kan dog aldrig blive en undskyldning for at springe over hvor gærdet er lavest, når det gælder it-sikkerhed. Så længe det går godt, er der ingen der brokker sig, men når it-sikkerheden på bare et enkelt af de punkter vi her har beskrevet, bliver kompromitteret med en lang række af uoverskuelige konsekvenser til følge, vil ledelsen og resten af virksomheden pege en anklagende finger i én retning: it-afdelingens. For at undgå dette er der, som vi ser det, kun en vej frem: på med it-sikkerhedsbrillerne og se din virksomhed eller arbejdsplads i et nyt lys. God arbejdslyst med it-sikkerhed.