Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned i Børsen ITinnovation om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
En af dine ansatte modtager en e-mail, der indeholder en vedhæftet fil. Medarbejderen dobbeltklikker på filen. I løbet af nogle minutter bliver netværksforbindelsen meget langsom. Det samme gælder de pc'er, medarbejderne sidder ved.
Din virksomhed er udsat for et virusangreb – eller mere præcist: Et angreb fra en mail-baseret orm. Den skal fjernes fra alle de computere, den har inficeret. Men hvem skal gøre det? Hvem skal informeres om angrebet – og hvordan?
Den slags spørgsmål er aldrig nemme at besvare, mens netværket er ved at falde sammen om ørerne på en. Derfor er det en god ide at overveje dem, før de bliver aktuelle.
Har du for eksempel sat tal på, hvad et it-nedbrud vil koste din virksomhed i kroner og øre? Hvad koster det jer at være uden internetforbindelse i to timer? I en dag? I en uge?
Få et overblik
Det kan være skræmmende at forestille sig alt det, der kan true ens virksomhed. Men kun ved at få et overblik over truslerne kan man beskytte sig mod dem.
Den amerikanske organisation CERT/CC (Computer Emergency Response Team Coordination Center) har sammen med forskere fra Carnegie Mellon University udviklet en metode til at klassificere trusler med. Metoden har fået navnet OCTAVE: Operationally Critical Threat, Asset, and Vulnerability Evaluation.
Klassificer trusler
OCTAVE er en metode, som virksomhedens it-folk, forretningsansvarlige og eksterne konsulenter kan bruge til at klassificere de typer af trusler, virksomheden er sårbar over for.
Modellen opdeler alle trusler i fire hovedtyper ud fra hvem, truslen stammer fra: Trusler fra mennesker med netværksadgang til it-systemet, trusler fra mennesker med fysisk adgang, trusler som følge af systemproblemer og endelig andre trusselstyper.
Tilsvarende er der en række mulige konsekvenser, som en trussel kan medføre: Afsløring af data, ændring af data, ødelæggelse eller tab af data – og endelig afbrydelse af systemet, så det ikke længere kan bruges.
Når man bruger modellen, gennemgår man en konkret trussel og overvejer, hvor den passer ind i skemaet. Ud fra den viden afgør man, hvad der skal gøres for at beskytte it-systemet mod truslen.
Den færdige analyse kan danne udgangspunkt for, at virksomheden udarbejder en egentlig it-sikkerhedspolitik. Har din virksomhed skrevet sådan en?
Oprindelig bragt i Børsen Informatik den 3. maj 2005