Oracle viser til tall fra IDG for å underbygge påstanden om at det er et misforhold mellom der et sikkerhetsbrudd gjør størst skade, og der det investeres mest i sikkerhetstiltak.

– Bedrifter bommer på IT-sikkerhet

Investerer ikke mest der risikoen er størst, viser Oracle-rapport.

Det er et misforhold mellom der datainnbrudd gjør størst skade og der bedrifter investerer mest for å sikre seg, konstaterer Oracle i en ny utredning publisert i samarbeid med Custom Solutions Group: An Inside-Out Approach to Enterprise Security (pdf, 4 sider).

Utredningen viser blant annet til IDG-tall som påviser at mens 67 prosent av alle bedrifter legger mest vekt på å beskytte nettverket mot inntrengere, er det innbrudd i databaser som gjør suverent størst skade.

Oracle sammenlikner dette med familier som bruker masse penger på alarmsystemer, mens verdigjenstander som smykker og sølvtøy ikke en gang låses ned. Utredningen anbefaler en annen tilnærming til IT-sikkerhet, der man starter innenfra: Utgangspunktet bør være en gjennomtenkt vurdering av hva det framfor alt gjelder å verne. Neste trinn er å gjennomgå prosesser og brukerrettigheter: De alvorligste sikkerhetsbruddene skjer ved at utenforstående kaprer brukernavn og passord knyttet til kontoer med altfor vide fullmakter i forhold til det som faktisk er nødvendig. Til slutt gjelder det å begrunne IT-sikkerhetstiltak i forhold til faktisk risiko.

Utredning påviser at det er bred støtte til denne typen tilnærming – i teorien. I praksis er det lite samsvar mellom der man investerer mest i IT-sikkerhet og det man kan forvente av praktisk effekt. Spektakulære dataran skjer ikke ved teknologisk avansert hacking mot nettverksinfrastruktur. De skjer ved kyndig utnyttelse av menneskelig svakhet for å få tilgang til brukerkontoer med vide fullmakter, og lykkes fordi database, applikasjoner og mellomvare ikke vernes av elementære tiltak. Murene mot omverden kan være høye, men når tyven først er inne er det lite som kan stanse herjingen.

Oracle-utredningen argumenterer ikke for å la være å sikre periferien: Det er nødvendig å låse, og å ha solide låser. Men det er umulig å sikre periferien 100 prosent. Der IT-tjenester settes ut eller flyttes til skyen blir det stadig vanskeligere å gardere seg utelukkende i periferien.

Oracles utredning anbefaler å starte med sikkerhetstiltak innenfra.
Oracles utredning anbefaler å starte med sikkerhetstiltak innenfra.

Utredningen viser til Verizon-rapporten 2012 Data Breach Investigations Report (pdf, 80 sider) der det konstateres at tallet på vellykkede og alvorlige datainnbrudd mot bedrifter øker: 98 prosent av tilfellene kommer eksternt fra, og 96 prosent faller i kategorien «ikke spesielt teknisk utfordrende». I 85 prosent av tilfellene tok det «ukevis eller mer» før innbruddene ble oppdaget.

Sikkerhetsproduktsjef i Oracle Naresh Persaud sier i utredningen at for mye av investeringene i IT-sikkerhet er reaktiv. Det brukes mye når et innbrudd er konstatert, men lite på langsiktig vern av databaser og annen verdifull informasjon.

Til toppen