Hvor sikre er egentlig norske IT-systemer, og hva er de vanligste sikkerhetsfeilene?
Nasjonal sikkerhetsmyndighet ser med bekymring på at vi ofte på kort tid og ved hjelp av enkle teknikker, er i stand til å bryte oss inn datasystemer – selv i samfunnskritiske organisasjoner.
Alt er ikke dårlig. Informasjonssikkerheten i mange norske virksomheter er bra – og godt er det. Men trusselaktørene som norske virksomheter møter på internett viser seg etter NSMs erfaringer både å ha nødvendig kompetanse, ressurser og ikke minst vilje til å bryte seg inn i norske nettverk. Derfor er det stort behov for å lukke så mange sårbarheter som overhode mulig snarest mulig.
Tester innbrudd
I NSM jobber vi blant annet med å teste hvor lett det er å bryte seg inn i datasystemer.
Verktøyene er de samme som en hvilken som helst hacker vil ta i bruk for å prøve å bryte seg inn. Testene er nøye avtaleregulert og utføres for å hjelpe norske virksomheter med å styrke sikkerheten sin.
Her er et utvalg typiske feil vi finner når vi tester sikkerheten.
Manglende oppdateringer
Våre erfaringer viser at de fleste norske virksomheter blir stadig bedre til å oppdatere sine operativsystemer og vanlig kontorstøtteprogrammer (eksempelvis Microsoft Office-pakken).
For annen programvare er bildet dessverre annerledes.
Manglende sikkerhetsoppdateringer gjør IT-systemer unødvendig sårbare for dataangrep.
Microsofts oppdateringstjeneste, Microsoft Update, har gjort det relativt enkelt å oppdatere deres programvare. Vedlikehold av tredjepartsapplikasjoner, altså applikasjoner som er laget av andre enn virksomheten selv eller leverandøren av operativsystemet (som i de fleste tilfeller er Microsoft) krever som regel mer arbeid.
Det handler om blant annet den faktiske jobben med å utføre oppdateringen, mens den største forskjellen ligger i behovet for å teste oppdateringene, slik at produktene de oppdaterer fungerer som de skal.
Manglende oppdateringer er fremdeles et stort problem for norske virksomheter, som gjør at døra står på unødvendig mye på gløtt mange steder for folk som måtte prøve å bryte seg inn.
Svake passord
En enkel vei inn i mange datasystemer er passord som er lette å gjette seg frem til.
Dessverre er jobben ofte altfor enkel. Brukere velger svake passord, mange er mulig å gjette seg frem til.
Det er ikke uvanlig å bruke passord som «Sommerferie2014» eller kombinasjoner av virksomhetens navn og kjente årstall. Passord kan gjettes automatisert med en hastighet på flere milliarder kombinasjoner i sekundet.
I tillegg finner vi ofte standardpassord i bruk på printere og nettverksutstyr. Mange ellers godt sikrede nettverk kan følgelig enkelt kompromitteres gjennom enkle internettsøk etter produsentens standard brukernavn og passord. Problemet gjøres enda verre som følge av mangelfull nettverksfiltrering.
Mangelfull nettverksfiltrering
Svært mange angrep kunne vært stoppet, eller i alle fall gjort betraktelig vanskeligere, gjennom bedre nettverksfiltrering. Alt for mange virksomheter organiserer nettverkene sine som «flate nett». Dette betyr at de plasserer alt utstyr i samme nettverkssone.
For å forbedre sikkerheten, burde virksomhetene skilt brukerne fra servere og administrasjonssegmenter. Mange av de virksomhetene som faktisk skiller nettene sine, plasserer printerne sine i serversegmentet. Det er heller ikke uvanlig at printere ikke er underlagt filtrering. En eventuell angriper med fysisk tilgang til bygget kan følgelig omgå store deler av de implementerte sikkerhetsmekanismene i bygget gjennom å koble nettverkspunktet printeren er koblet til inn i en egen maskin.
Jo bedre virksomheter klarer å identifisere hvilke behov brukere og utstyr har for å kommunisere seg imellom, desto bedre er det mulig å sikre nettverkene sine gjennom nettverksfiltrering. Hvis brukeres datamaskiner ikke har behov for å kommunisere direkte med andre brukeres maskiner, er det heller ingen grunn til å åpne for det.
Om mulig bør adskillelse av ulike grupper gjøres ved hjelp av dedikerte brannmurer. Det bør som et absolutt minimum skilles i separate virtuelle lan (VLAN). Disse kan gjerne kombineres, for eksempel gjennom å skjerme brukere fra hverandre i ulike VLAN, mens servere og nettverksutstyr beskyttes mot brukere eller hverandre gjennom bruk av brannmurer.
Utgått på dato
Alle virksomheter bør regelmessig gjennomgå regelsettene på brannmurene sine. Brannmurregler kan enkelt forklares som å gi beskjed til informasjonssystemenes portvakter om hvem som skal slippes inn gjennom hvilke dører, og dermed også hvem som ikke skal slippes inn.
Stadig ser vi ellers gode brannmurregelsett som blir omgått gjennom mer eller mindre bevisst innføring av enkle feil. Mye tyder på at dette ofte skyldes midlertidig testing, gjerne i forbindelse med lansering av nye tjenester. Dette gjelder ikke minst virksomheter som har outsourcet drift.
Noen eksempler:
- NSM har sett brannmurregler som var tydelig merket med "SKAL DENNE VÆRE HER?", som slapp all trafikk gjennom virksomhetens brannmurer.
- Man har også sett konkrete eksempler på regler merket "Midlertidig, fjernes innen 2006" som slapp igjennom all trafikk mellom deler av nettverket de siste par årene.
- Det er heller ikke uvanlig å finne umerkede brannmurregler som gir store tilganger, som viser seg å være presset igjennom av prosjektledere i forbindelse med prosjektleveranser.
- For virksomheter som har outsourcet drift, finner man ofte at virksomhetenes brannmurer er satt opp til å slippe igjennom all trafikk fra den eksterne driftsleverandøren.
Overdreven bruk av administratortilgang
NSM ser at de fleste systemer har mange brukere med unødvendig høye rettigheter - ofte full administratortilgang.
Ansatte med behov for ekstra rettigheter, eksempelvis IT-drift, bør bare gis de rettighetene de faktisk trenger, ikke generelt fulle rettigheter. Eksempelvis bør en medarbeider på brukerstøtte som bare har behov for å kunne bytte brukeres passord bare gis denne rettigheten.
De som har høyere rettigheter, bør i tillegg ha konto med vanlige rettigheter som bør brukes når det ikke er nødvendig med høyere tilgang. Grunnen til dette er at de fleste virus eller annen skadevare som brukeren kan kjøre, for eksempel som følge av surfing på nettsider eller lesing av epost, får samme rettighet som brukeren selv.
Skadevare som har høyere rettigheter kan potensielt gjøre mer skade i systemet.
Mangelfull oversikt over brukere og utstyr
NSMs erfaringer viser at mange virksomheter har mangelfull oversikt over eget nett og egne ressurser. Mye gammelt og utdatert utstyr kjører i norske virksomheter uten at noen har oversikt over dem. Mye av dette utstyret viser seg å ikke være underlagt sikkerhetsoppdateringer eller annet vedlikehold.
Dette gjør at virksomhetene er unødvendig sårbare for eventuelle angrep.
For å gjøre vondt verre viser det seg i mange tilfeller at dette sårbare utstyret plassert på sentrale steder i nettverkene utenom eventuell nettverksfiltrering. Utstyret kan følgelig relativt enkelt fungere som et springbrett til å kompromittere sentralt utstyr som ellers hadde vært betraktelig bedre sikret mot eventuelle angripere.
Systemadministratorer er ofte ikke gode nok til å holde orden, og lar ofte gamle brukerkontoer være tilgjengelige. En brukerkonto, og aller helst en konto med administratorrettigheter, er en åpen dør inn til virksomhetens datasystemer.
Virksomhetene bør alltid fjerne all tilgang fra ansatte og andre som forlater virksomheten. For å sikre logger, bør ikke brukerkonti slettes, men sperres og fratas alle rettigheter. I tillegg bør virksomheter bli flinkere til å fjerne rettigheter de ansatte ikke lenger trenger, for eksempel ved intern endring av stilling eller arbeidsoppgaver.
Et komplisert felt
NSM er selvfølgelig klar over at det å utbedre feil krever tid og ressurser, og kanskje aller mest kompetanse. Dette kan virke som en stor utfordring, spesielt for små virksomheter.
For store organisasjoner er ofte oppetid høyere prioritert enn sikkerhet, og arbeidet blir vanskeliggjort av at nettverkene gjerne blir komplekse.
Allikevel er det nødvendig å prioritere sikring av datasystemer.
Delta i debatten
Informasjon om debattinnlegg og kronikker i digi.no
Alle innlegg må sendes til redaksjon@digi.no. Husk å legge ved et portrettbilde. Vi forbeholder oss retten til å redigere innsendt materiale.
