Sjokkbehandling ga bedre IT-sikkerhet

Etter foredrag og kurs om sikkerhet, ble 38.000 ansatte utsatt for uanmeldte «Kevin Mitnick»-angrep.

Münchener Rückversicherungs-Gesellschaft, bedre kjent som Münchener Rück, er en av verdens største reassurandører og samtidig Tysklands neste største innen forsikring. Selskapet har nærmere 38 000 ansatte og en markedsverdi på 26,2 milliarder euro.

– I 2002 bestemte vi oss for å kjøre et langsiktig program for å øke bevisstheten rundt IT-sikkerhet, fortalte «CISO» («chief information security officer») i Münchener Rüch, Mark Lardschneider, under et foredrag på Gartners toppmøte om sikkerhet i London denne uken. – Vi bestemte oss også for å teste virkningene av tiltakene på en måte som virkelig gjenspeilte hva staben og ledelsen hadde tatt til seg.

Etter å ha kjørt et allsidig og langvarig bevisstgjøringsprogram, med plakater, installasjoner, brosjyrer, spill, nettsider med sikkerhetsstoff, kurs i klasserom, kurs over web, plenumsforedrag og til og med en egen intern sikkerhetsmesse, fant Lardschneider at de skulle utsette ansatte på alle nivåer for uanmeldte «Kevin Mitnick»-angrep, etter hackeren som ble berømt, ikke for sine tekniske ferdigheter, men for sin evne til å lure seg forbi alle slags sperrer gjennom å spille på menneskelige ferdigheter.

– Utgangspunktet for hele bevisstgjøringsprogrammet var erfaringen vår med Goner-ormen. Bare én av avdelingene våre ble rammet, og det skyldtes menneskelig svikt. Sikkerhet må ta hensyn til menneskets natur. Vi er vanedyr, vi glemmer, vi er ikke så opptatt av risiko, og kulturen er lite opptatt av sikkerhet. Man må skape holdninger, motivere og få folk til å endre oppførsel. Det er en prosess som tar mange år.

Som så mange andre sikkerhetseksperter, er Lardschneider overbevist om at det svakeste leddet i enhver sikkerhetskjede er mennesket.

– Det er derfor maktpåliggende å virkelig få folk til å innse at sikkerhet angår absolutt alle.

Lardschneider henvendte seg til et eksternt selskap for å få gjennomført de uanmeldte, «sosiale» angrepene. Et viktig premiss for tilbakemeldingene, var at ingen i Münchener Rüch skulle få vite navnene på dem som lot seg lure. Poenget var ikke å peke ut syndebukker, men å evaluere hva folk hadde lært, og å bruke evalueringen til å øke bevisstheten enda mer.

– Det vi fant, var helt overveldende. Den viste at kampanjen vår var totalt mislykket.

Sikkerhetsfolkene i Münchener Rüch var så lamslåtte at de vurderte å ikke informere ledelsen om resultatene. Rapporten viste nemlig at også toppledere hadde latt seg sjarmere av dem som sto for de falske «Mitnick»-angrepene.

– Vi fant til slutt ut at det var helt nødvendig med åpenhet rundt hele saken for å komme videre med sikkerhetsarbeidet. Vi startet med en to timers detaljert presentasjon for ledelsen, og dokumenterte hvordan deres hemmeligheter var blitt tappet av folk utenfra, uten at de hadde fattet mistanke. E-postkontoer var blitt åpnet, og utenforstående hadde skaffet seg tilgang til blant annet personalarkivene.

Under diskusjonen gikk det opp for flere hvordan de hadde latt seg lure til å oppgi passord, gå fra bærbare PC-er, la være å følge besøkende utenfra tilbake til resepsjonen, tillatt falske teknikere å fikle med PC-ene og telefonene deres, og så videre.

– Vi kjørte samme type presentasjoner nedover i organisasjonen, ofte for mange tusen ansatte om gangen, og stadig uten å oppgi navn. Ingen i ledelsen fikk vite hvem under dem som hadde vist seg å være svake ledd i sikkerhetskjeden. Men vi la vekt på å avsløre metodene som ble brukt for å lure folk. Det fikk mange til å tenke nærmere over sin rolle. Det førte til at IT-sikkerhet ble diskutert over alt, og til at holdning og atferd ble endret. Teknikere ble ikke lenger godtatt bare fordi de hadde selskapets logo på skjorten. Det ble tabu å oppgi passord over telefonen.

Det kostet Münchener Rück 22 000 euro å få et eksternt sikkerhetsselskap til å gjennomføre de sosiale angrepene.

Til sammenlikning hadde de brukt 100 000 euro på nettstedet med sikkerhetsopplysninger og 200 000 euro på den interne sikkerhetsmessen. Begge de siste fikk gode skussmål når de ble evaluert. Men virkningen av den sosiale evalueringen var langt større, selv om den også var langt billigere.

– Vi arbeider kontinuerlig med å ajourføre nettstedet og tilbyr nye bevisstgjøringskurs online. Andre tiltak er å erstatte vanlige passord med smartkort og tofaktor autentisering. Erfaringene fra mange hold, er at sterke passord ikke gir bedre sikkerhet.

En eller annen gang vil Lardschneider også gjennomføre nye sosiale angrep mot sine kolleger, og så evaluere hvor dypt deres nye sikkerhetsinnsikt virkelig sitter.

– Vår erfaring er at jo sikrere folk føler seg i sitt miljø, jo mer tilbøyelig er de til å la seg lure. Holdningen må være at det alltid kan være noen i nærheten som ikke er «en av våre». Da vi presenterte resultatene av angrepene, skapte vi en fiktiv person med sjarmerende evner og skumle hensikter. Denne personen, «Michael Rhumba», er blitt en del av bedriftskulturen. Når noe går galt, er det han som får skylda, også når for eksempel heisen står. Da «har Rhumba vært her».

Til toppen