Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned i Børsen Informatik om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Vi kan ikke gøre noget ved hackerne og virusforfatterne. Vi kan derimod gøre noget ved de systemer, de angriber. Men travlhed forhindrer ofte, at de bliver sikret.
Ethvert it-system, der er på internettet, vil på et tidspunkt blive angrebet af hackere, orme eller virus. Det kan vi ikke hindre. Men vi kan gøre vort bedste for at forhindre, at angriberne får held med deres forehavende. Det kan gøres ved, at vi holder it-systemerne opdateret med de nyeste versioner og seneste fejlrettelser.
Desværre er den opgave ikke særlig glamourøs. Der er mere prestige i at installere den seneste Office-pakke på direktørens bærbare end i at vedligeholde gamle programmer. I it-afdelingens travle hverdag er det ikke sikkert, at nogen tager sig tid til at installere den seneste fejlrettelse fra Microsoft.
Læren fra Blaster
Det så vi konsekvenserne af den 11. august. Den dag begyndte ormen Blaster at angribe computere på internettet. En amerikansk undersøgelse viser, at hver femte større virksomhed blev ramt af ormen. Blaster udnytter et sikkerhedshul i Windows.
Men allerede den 16. juli havde Microsoft udsendt et gratis rettelsesprogram, der lukker sikkerhedshullet. Hvis de systemansvarlige havde udnyttet de tre uger, indtil Blaster dukkede op, ville deres systemer ikke have været sårbare.
Var det sommerferiens skyld? Opdagede it-afdelingerne ikke, at der var kommet en ny rettelse? Vurderede man, at risikoen ikke stod mål med arbejdsindsatsen ved at opdatere computerne?
Sikkerhed i jobbeskrivelsen
Der er utvivlsomt mange gode forklaringer på, at så mange ikke lukkede hullet og derfor blev ramt af Blaster. Arbejdsbyrden er en oplagt forklaring. Det er nemmere at retfærdiggøre, at man har brugt tid på at løse problemer for brugerne, end at man har installeret nye opdateringer. Hvis der ikke var kommet en Blaster, ville ingen have opdaget, at man havde installeret rettelsesprogrammet.
Ledelsen skal på banen. Den skal gøre det klart for alle, at it-sikkerhed prioriteres højt. Derfor skal opgaver som at installere programrettelser indgå i jobbeskrivelsen for it-folkene. På den måde bliver programrettelser en del af den travle hverdag - og dermed kan virksomheden undgå sikkerhedsproblemer, som skyldes, at nogen har for travlt.
Oprindelig bragt i Børsen Informatik den 14. oktober 2003