Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned i Børsen Informatik om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Jeg var for nylig i forbindelse med en dansk virksomhed, fordi vi havde mistanke om, at den var inficeret af en virus. Det medførte, at der fra virksomheden blev sendt angreb ud på internettet.
Den it-ansvarlige kunne først ikke forstå det. De havde haft nogle problemer, men de skulle være løst nu. Da han undersøgte sagen nærmere, opdagede han, at der ganske rigtigt var inficerede computere på hans netværk. Men det var ikke virksomhedens egne maskiner. De virusinficerede computere tilhørte konsulenter, der udførte opgaver i virksomheden.
Konsulenter og samarbejdspartnere spiller en stadig større rolle i virksomhedernes dagligdag. Det gør it også. Derfor er det naturligt, at virksomhederne giver adgang til it-systemerne, så deres gæster kan gøre deres arbejde bedst muligt.
I nogle tilfælde kan de slet ikke udføre deres arbejde uden adgang til it-systemerne. Det kan for eksempel være konsulenter, der tilretter økonomisystemet. I andre tilfælde vil det bare blive mere besværligt, hvis konsulenterne skal bede fastansatte medarbejdere om at udskrive de oplysninger, de har brug for.
Gæster er en risiko
Men gæsterne udgør en sikkerhedsrisiko. Det viser det aktuelle eksempel, hvor konsulenterne bragte virus med ind på kundens netværk. Hvad kan man gøre ved det? Her er nogle forslag:
Lad it-sikkerhed indgå i samarbejdsgrundlaget. For eksempel kan man skrive i kontrakten, at konsulenterne skal leve op til bestemte krav til it-sikkerheden. Et af kravene kunne være, at deres bærbare computere skal være udstyret med et opdateret antivirusprogram.
Begræns konsulenternes adgang. Den konsulent, der skal tilrette økonomisystemet, skal naturligvis have adgang til det. Men skal han også have adgang til firmaets filservere og printere? Skal han have internet-adgang? Og hvor stor en del af økonomisystemet har han behov for at kunne ændre på?
Kontraktansatte
Konsekvenserne for fortroligheden er også værd at overveje. Selvfølgelig har man tillid til de gæster, man lukker indenfor i virksomheden, fordi de skal udføre en opgave. Men hvis en hacker har formået at få installeret en bagdør på konsulentens pc, har han fri adgang til den. Derfor skal virksomheden også udarbejde regler for, hvilke data de kontraktansatte medarbejdere må kopiere over på deres computere.
Som det fremgår, er der ingen nemme løsninger. Hver virksomhed må træffe de forholdsregler, der passer til dens sikkerhedspolitik og den aktuelle situation.
Oprindelig bragt i Børsen Informatik den 13. maj 2003