Mar 03 2008

Skomakarens barn

Publicerad av under Allmän

De flesta av oss har säkert tagit notis om den senaste tidens olika incidenter i form av intrång hos Aftonbladet och Bilddagboken och nu senaste Dataföreningen samt Haverikommissionen. Någonstans så börjar man undra om det finns en extrem övertro på brandväggar och andra tekniska lösningar som gör att garden i övrigt sänkts eller tas bort helt. Den information som lagts ut kring Dataföreningens intrång är än så länge endast medlemslistan med användare id, lösenord i krypterad form samt e-post adress. Skadan för de enskilda kan i bästa fall bli att de får ökad andel oönskad e-post till deras publicerade adress och i värsta fall att någon provar att logga in med knäckt lösenord på de e-post tjänster de använder sig av samt olika stora portaler och företags sidor.

Den utlagda listan i sig själv är även intressant ur det perspektiv att den även ger insikt om att skomakarens barn oftast har de sämsta skorna. Tittar man igenom listan och kastar ett öga på en del av de företagsprofiler som finns med så bekräftas det som kanske många redan gissat; det var inte så mycket bättre ställt hos dessa.

För att få bukt med ovan så bör självklart ställas krav på både användare och leverantörer av system. Högre krav bör ställas på användarna att ha bättre lösenord och dessa uppgifter bör i sin tur inte likna id och lösenord som används i internt eller externt system inom den egna organisationen.

Även om majoriteten har tagit del av en säkerhetspolicy och/eller en lösenords policy så har man troligen inte gjort ett ordentligt förankrings arbete med att tala om vikten med policyn. Denna har i sig blivit ett dokument som måste finnas men som ingen läser eller orkar förstå. Med denna kunskapsgrund så spelar det egentligen ingen roll hur mycket vi försöker skydda våra tillgångar med tekniska lösningar om användarna ändå ignorerar de riktlinjer som finns och hittar genvägar för att kringgå system.

Att läsa uttalande som ”Det kom som en total överraskning. Jag trodde inte sånt här var möjligt och jag vet inte hur långt de kan gå” kommer även bli en klassiker inom säkerhets branschen. Om uttalandet är baserat på att man har för stor tilltro till eget utvecklat system för att det just är internt och ingen har dokumentationen för att skärskåda systemet – så är detta i sig en sårbarhet för att just ingen har tittat igenom koden. Detta förfarande har jag sett flertalet gånger tidigare; att man utvecklar egna komponenter för till exempel kryptering av data för att man anser sig då säker på att ingen kan klura svagheterna i systemet; frågan är om man själv känner till svagheterna.

För det flesta involverade parter handlar det primärt om förtroende kris i hur man har hanterat viktig data; men frågan är inte om dessa organisationer bör se över sin grundstruktur för hur man handskas med information; internt och extern (inklusive underleverantörer) då säkerheten inte blir starkare än svagaste länken.

Kim Haverblad

Inga kommentarer ännu

Trackback URI | Kommentars RSS

Lämna kommentar

Du måste vara inloggad för att lämna kommentar.