Skrämmande dålig säkerhet på företagen

"De många ingångarna och bristerna i dagens PC-nät gör näten öppna för angrepp."

Det säger Mats Enquist, Som jobbar med datorer på ett företag som arbetar med säkerhetsrevisioner åt försvaret och andra känsliga kunder.

"Genom ganska enkla åtgärder kan säkerheten i datorerna så kan säkerheten ofta förbättras ordentligt",   -som tur är angreppen inte är fler än de är idag, säkerheten ute på många företag är skrämmande dålig och om ingenting görs kan det bli katastrofalt för många företag.

Ett dotterbolag till Saab Combitech, som framför allt arbetar med datasäkerhet. Dom menar och att utvecklingen mot PC-nät och Internet-kopplingar gör säkerheten allt sämre. - Att ta sig in i dagens stora komplexa PC-nät med många ingångar är mycket enklare än då stordatorernas relativt små stjärnnät var förhärskande. Riskerna är större idag än de varit tidigare.

Negativ stämpel

En av förklaringarna till att datasäkerhet fått en stämpel av att vara jobbigt, dyrt och meningslöst, av att forna tiders säkerhetskonsulter målat upp en allt för stark hotbild. En säkerhetsnivå som är omöjlig att ta sig igenom finns än så länge bara i teorin.

Men i verkligheten praktiskt taget omöjlig att uppnå med vettiga metoder som rekommenderats. I november 1995 ringde en kund inom försvaret och frågade om Nexus( Ett data företag som håller på med data säkerhet) kunde göra ett försök att med alla medel ta sig in i deras system, en metod som brukar kallas "Tiger Teams". Man ville helt enkelt se om systemet var så säkert som man trodde.

Nexus slog samman olika tester till ett paket och körde igenom det enligt kundens önskemål. Genomförandet blev framgångsrikt och Nexus erbjuder nu metoden till företag som vill ha en form av certifiering att de håller en hög nivå på säkerheten. Men att gå igenom säkerhetsprotokollet räcker inte. Sedan ska alla rekommenderade åtgärder genomföras.

Om företagets ambitionsnivå är hög kan arbetet vara lika slitsamt som en ISO-9000-certifiering. Säkerhetskraven kan också bli så höga att de i verkligheten motverkar sitt syfte.

Om användaren förväntas komma på ett nytt lösenord på åtta slumpmässiga tecken varannan vecka, leder det ofelbart till att orden skrivs ner på lappar under tangentbord och i skrivbordslådor.Då är det bättre att sätta en realistisk och effektiv nivå som kan hållas.

"Vissa företag lägger ned stor kraft och möda på vissa säkerhetsdetaljer för att sedan glömma andra, kanske viktigare saker." Ett av de vanligaste problemen ute i företagen är att säkerheten inte är balanserad. Det säger Mats Enquist på Combitech Nexus.
- Det är inte ovanligt att företag satsar hårt på lösenord och att styra rättigheter på nätverket, och sedan glömmer eller ignorerar att installera en firewall. En firewall, eller brandvägg, är en enhet som fysiskt skiljer trafiken på Internet från trafiken i det lokala nätverket. Utan brandvägg mellan nätverket och Internet, är det lokala nätverket öppet för intrång för alla på Internet.

  - På Internet kan du nå mellan 10 och 30 miljoner människor, och alla kan nå dig i ditt nätverk. Ett annat exempel på obalanserad säkerhet är det företag som hade gjort sitt nätverk mycket säkert med avancerade lösenordsrutiner och skalskydd. En koppling fanns till ett annat företag. Kopplingen var skyddad men säkerheten i det andra företaget var obefintlig. Därigenom var det enkelt att ta sig in i det oskyddade företaget för att därifrån gå vidare rakt in i det skyddade.

Se över lösenord

Det företagen framför allt måste se över är lösenordspolicyn och vägar in i nätet utifrån. Att lösenorden måste vara så krångliga beror på att det finns program som läser igenom krypterade lösenordsfiler. Genom att testa olika nycklar och sedan jämföra resultatet mot en inbyggd ordlista kan programmet dra slutsatsen att den har funnit en riktig nyckel. En intrångsmetod som har använts med framgång är något som Enquist kallar social cracking. Det betyder att en Nexus-medarbetare ringer upp PC-samordnaren och med självförtroende i rösten säger att han eller hon behöver ett lösenord för att kunna göra sitt arbete.

Det finns också många företag där ett antal supervisor-identiteter ligger och skvalpar i systemet. På ett företag där Nexus gjorde en revision hittade manden identitet och de lösenord som hade använts när man gjorde ett annat arbet åt företaget.

Även för företag som anser sig vara mycket säkerhetsmedvetna kan en säkerhetsrevision innebära att allvarliga luckor hittas. Det finns många olika aspekter på säkerheten och ibland kan det vara svårt för företaget att se var krutet ska användas.

Undersökningar visar dock att majoriteten av dataintrången görs av missnöjda eller nyfikna medarbetare som tar sig in dit de egentligen inte har någonting att göra. Ofta har de ingen önskan att förstöra något men sånt kan hända i alla fall.

Daniel Jernebring