Tre sikkerhetstabber du kan lære av

Til alles underholdning røper analyseselskapet Gartner hvordan tre kunder dummet seg ut på helt elementære punkter.

Hackere er flinke og kan av og til utnytte selv de mest teoretiske sikkerhetshull til å komme seg inn. Men dessverre viser det seg at det ofte er kløning og dårlig planlegging som kjører de fleste datasystemer og bedrifter i grøfta.

At dine egne ansatte er den største sikkerhetsrisikoen er gjentatt mange ganger, men for å banke det inn har Gartner gått til et ganske dramatiske og underholdende skritt. I en fersk rapport forteller selskapet hva tre av deres store kunder klarte å gjøre.

Her er historiene til skrekk og advarsel:

Taktisk tabbe:

En mann kjøper en brukt PC på en nettauksjon og oppdager at den ikke bare inneholder all programvare, men masse bankdata og digitale sertifikater med ferdig oppsett for oppkobling mot intern-nettverket i en bank. Mannen var hyggelig og ringte banken.

"Hans" maskin og flere andre var stjålet noen uker tidligere, men kontoene var fremdeles ikke slettet og ga tilgang til mye informasjon. De andre maskinene med samme oppsett er ikke kommet til rette.

Moral: Ta i det minste i bruk standardmulighetene boot-passord samt kryptering av filsystem og enkeltfiler.

Adgangskontroll:

Hos en Internett-leverandør i Hong-Kong lå alle regninger til kunder på samme server som brukerkontoene og ved en feil kunne alle lese og endre regningene. Dette oppdaget en konkurrent og gikk til media.

Moral: Dobbeltsjekk tilgangskontroll - det er alfa og omega.

IP-nettverk:

IT-sjefen hos et stort nord-amerikansk selskap fortalte en Gartner-analytiker at ledelsen ville styre fabrikksystemene over et IP-nettverk. Alt skulle styres fra en sentral, noe som skulle spare mye penger.

Samtalen skal ha gått som følger:

Analytiker: - Vil fabrikknettet være knyttet til servere som har kontakt med Internett?
IT-sjef: - Ja, ledelsen vil ha et nettverk for å spare penger og gi alle tilgang til de samme data fra sine PC-er.
Analytiker: - Vil fjernbrukere kunne koble seg til og kontrollere maskinene på i fabrikken?
IT-sjef: - Ja.
Analytiker: - Hva er det verste som kan skje?
IT-sjef: - Hvis man øker trykket nok på et system, vil det eksplodere.
Analytiker: - Hvor mye skade vil det forårsake?
IT-sjef: - Det vil blåse bort hele byen (It would take out the entire city).
Analytiker: - Det er kanskje ikke en så god idé.
IT-sjef: - Det var det jeg sa...

Moral: At industri-utstyr kan styres over IP-nett øker konsekvensene av et sikkerhetsbrudd. Dette må man unngå gjennom nøye planlegging.

Til toppen