Det kan vi lære af Se og Hør-skandalen

Brug rollebaseret adgangskontrol og sikkerhedstjek it-folkene, før du ansætter dem. Sådan lyder rådet fra Shehzad Ahmad oven på Se og Hør-skandalen.

Shehzad Ahmad, der er chef for DKCERT, skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

Den betroede medarbejder, der misbruger sin position til at lække fortrolige data.

Det er et scenarie, der kan få det til at løbe koldt ned ad ryggen på enhver sikkerhedsansvarlig.

Hvis skriverierne i medierne holder stik, har en ansat hos IBM misbrugt sin adgang til systemerne hos Nets til at lække oplysninger om, hvor kendte mennesker brugte deres betalingskort.

Oplysningerne landede hos ugebladet Se og Hør, der benyttede dem til at finde frem til kendte og kongelige, der ikke ønskede mediernes opmærksomhed. Med oplysningerne kunne Se og Hør følge dem både herhjemme og i udlandet.

Jeg har ikke andet kendskab til sagen, end hvad der har været skrevet om den i medierne. Sagen udvikler sig løbende, utvivlsomt også efter den 1. maj, hvor jeg skrev denne klumme.

Formålet med min klumme er ikke at fortælle om selve sagen, men med afsæt i skandalen at besvare spørgsmålet: Hvordan kan it-sikkerhedsansvarlige undgå, at deres organisation kommer i en lignende situation?

Rollebaseret adgangskontrol
Et oplagt sted at sætte ind er brugerrettigheder.

Se og Hør-sagen bør få enhver organisation, der behandler fortrolige data, til at tjekke adgangstilladelserne: Hvem har adgang til hvilke data? Hvad må de gøre med dem? Hvordan bliver adgangen logget? Er der personsammenfald mellem dem, der har adgang, og dem, der tjekker logfilerne?

En god tilgang her er den såkaldte "separation of duties". Det er et princip, der kræver, at flere personer skal indgå, når bestemte opgaver skal løses. For eksempel skal en chef skrive under på et udgiftsbilag, før bogholderiet refunderer udgiften til medarbejderen.

I it-sammenhæng etableres "separation of duties" ofte ved hjælp af rollebaseret adgangskontrol. Det vil sige, at brugere af it-systemet kan tildeles en eller flere roller, som de udfører.

Rollen bestemmer, hvad medarbejderen har adgang til.

Kombiner gerne rollebaseret kontrol med princippet om at give adgang til det nødvendige – og absolut ikke mere.

Systemet virker dog kun, hvis folk rent faktisk er logget ind som sig selv. Samme svaghed har logningssystemer også: Hvis en bruger logger ind med andens brugernavn og password, er det sværere at opdage misbrug.

Så skal systemerne til at undersøge, om brugeren har logget ind fra en anden computer end normalt, på et usædvanligt tidspunkt eller andet, der virker mistænkeligt.

Her kan biometrisk autentifikation være nyttig: Når brugeren har logget ind med sit fingeraftryk, er det sandsynligt, at det er den rigtige bruger.

Suppler med kryptering
Hvis organisationen behandler meget følsomme data, kan der være grund til at supplere styresystemets brugerkontrol med yderligere mekanismer.

For eksempel findes der systemer, der kan kryptere data. Det har den fordel, at de driftsansvarlige kan tage backup, flytte data mellem disksystemer eller på anden måde arbejde med dem, uden at de kan læse dataene.

Kun medarbejdere udstyret med den rette krypteringsnøgle kan læse og skrive data.

Det er også muligt at sikre data ved at opsplitte dem. For eksempel kan man sikre, at en medarbejder kan se alle transaktioner tilknyttet et bestemt kreditkort, men ikke har mulighed for at slå ejerens navn op uden særlig tilladelse.

Endelig giver systemer til DLP (Data Loss Prevention) forskellige metoder til at styre, hvad medarbejdere må gøre med data. De kan for eksempel genkende et kreditkortnummer og forhindre, at det videresendes i en ekstern mail eller kopieres over på en USB-nøgle.

Vurder menneskene
Sikkerhed opstår i en kombination mellem teknik, mennesker og processer. Så de teknologier, jeg nævner her, kan aldrig stå alene.

Processen med at vurdere de mennesker, man ansætter til at arbejde med data, er derfor meget vigtig.

Her skal virksomheder lære, at it-systemer har bagveje. Jo dybere ned i teknikken, man graver sig, desto lettere er det ofte at få fat i data.

Driftsfolkene skal i sagens natur have adgang til at arbejde med data på det tekniske niveau. Derfor skal de også sikkerhedstjekkes lige så grundigt som dem, der arbejder med de samme data på det forretningsmæssige niveau.

Det tror jeg, mange virksomheder overser. De opfatter måske mere en driftsmedarbejder som et kontorbud.

Men lige som gamle dages kontorbud kunne kigge i de interne kuverter, som blev sendt rundt i virksomheden, kan vore dages driftsfolk se fortrolige data, hvis virksomheden ikke har indført nogle af de mekanismer, jeg nævner ovenfor.

Derfor er det vigtigt at være grundig med at sikkerhedsvurdere kandidater til ledige stillinger.

Når ansvaret for databehandlingen lægges ud til en ekstern leverandør via outsourcing, bliver det endnu vigtigere at få styr på datasikkerheden.

Her skal kravene til sikkerhed skrives ind i kontrakten via målbare SLA'er (service level agreement). Men igen – det menneskelige element er afgørende. Så outsourcingleverandøren skal være lige så god til at sikkerhedstjekke sine medarbejdere, som man selv er.

Teknikken mangler
Vi har allerede en række systemer, der skal sikre, at regler om it-sikkerhed bliver overholdt. Desværre er de tit mere fokuseret på, at processer og dokumentation er i orden, end at de også virker i praksis.

Den slags kontrol bør suppleres med en teknisk gennemgang. Her skal man tjekke, at de kontroller som står opført i ringbindene, også er implementeret i it-systemerne og arbejdsprocesserne.

Vi har brug for, at andre end jurister og revisorer står for kontrollen med informationssikkerheden. Måske skulle vi overveje at lægge ansvaret for denne tekniske gennemgang over til Datatilsynet – og så tilføre dem de nødvendige ressourcer til at løse opgaven.

Desværre er der ingen patentløsning, der garanterer mod lækager. Men ved at kombinere processer og teknologier, kan man mindske risikoen for en ny Se og Hør-skandale.


Oprindelig offentliggjort på Computerworld Online den 5. maj 2014 og i magasinet Computerworld den 9. maj 2014

LINKS

BT's dækning af Se og Hør-skandalen
Denne klumme på Computerworld.dk

Keywords: