DEBATT

Ikkje utsett til i morgon det du burde ha gjort i går – eit skråblikk på dei daglege oppgåvene me ofte utsett for lenge

God sikkerheit betyr jamleg vedlikehald av alt utstyr og programvare, jamfør dei oppdaterte IT-sikkerheitsråda, skriv Magnar Barsnes i Conscia Norge i denne kronikken.

Altfor ofte kjem me i Conscia borti kundar som har gamal maskinvare med hauggamalt operativsystem og tilhøyrande programvare, skriv Magnar Barsnes, som er løsningsarkitekt for IT-sikkerhet i Conscia Norge.
Altfor ofte kjem me i Conscia borti kundar som har gamal maskinvare med hauggamalt operativsystem og tilhøyrande programvare, skriv Magnar Barsnes, som er løsningsarkitekt for IT-sikkerhet i Conscia Norge. Foto: Conscia Norge
Magnar Barsnes, løsningsarkitekt for IT-sikkerhet i Conscia Norge
28. sep. 2022 - 16:00

Hausten er her, og utsikta frå heimekontoret er ikkje lengre ein skyfri himmel og blomar i full bløm. Plutseleg plaskar regnet ned, blomane heng med hovudet, bassenget til borna får berre meir og meir vatn – og midt mellom alt dette står utemøblane. Du veit, dei eg burde ha pakka inn i førre månad då det var sol, temperaturen var heilt OK og – ikkje minst – møblane var tørre.

Så endar det, som alltid, med at eg pakkar inn utemøblane medan eg vert piska blaut av iskaldt, høljande regnvêr – eller i snøkave viss eg verkeleg har strekt strikken langt. Og det verste: Eg har ikkje brukt møblane ein einaste gong dei siste to månadane. Og sidan møblane var blaute då eg la presenning over, så er dei fulle av rust, mugg og eit rikt soppliv når dei vert tekne fram att på vårparten. Hurra for meirarbeid!

Brukar du maskinparken?

Kvar vil eg så med dette? Jau – det er nok mange IT-avdelingar rundt om i det ganske land som kan kjenne seg att i skildringa over, og det leiar oss rett over til IT-sikkerheit; kva oppgåver er det DU burde sjå til, men som du utset i det lengste, og som til slutt gjev deg meirarbeid?

Mange selskap har delar av maskinparken i bruk berre ein kort periode av året, gjeld det og deg? Kanskje er serveren skrudd av resten av tida, men truleg står den på med ein CPU på 1 prosent, fram til du igjen har bruk for tenestene og kapasiteten. Om du har heldt utstyret oppdatert, er det berre å sende data dit. Derimot er ikkje alle like «flinke» til å gjere dette jamlege vedlikehaldet – det som skal skje naturleg. På toppen av det kjem det innimellom nye krav frå leiinga, brukarar og/eller myndigheita. Og digitale kriminelle er vakne – dei finn heile tida nye metodar og vegar inn.

Altfor ofte kjem me i Conscia borti kundar som har gamal maskinvare med hauggamalt operativsystem og tilhøyrande programvare. Ofte har dei ikkje vore i bruk på ei stund, men dei står likevel på – i tilfelle dei plutseleg skulle oppdage at dei likevel treng tilgang til data som ligg der. Nokon står slik i veker – nokon i mange år. Dette er servere som er så stappa med sårbarheiter og opningar at dei lysar opp som den heilage gral for kriminelle.

MFA-trøttheit

Og når me snakkar om sårbarheiter: fleire selskap har den siste tida vorte utsett for MFA-trøyttheit (MFA fatique), noko min kollega Emanuel Lipschütz uttalte seg om i IDG.se. Har uvedkomande først kome seg på innsida – og flytta seg sidevegs i miljøet (grunna manglande segmenteringa og basissikring) – er vegen kort til å gjere meir skade.

Som artikkelen nemner, er det ei rekke tiltak du kan handtere dette med, men dei viktigaste tiltaka er dei som allereie burde ha vore på plass.

  1. Redusere området uvedkomande kan bevege seg på ved å segmentere og få kontroll over kva og kven som har tilgang kvar og når.
  2. Innfør eit rammeverk for rotasjon (life cycle management) for alle einingar i miljøet.
  3. Ha kontroll over alle sårbarheiter i ditt miljø. Ein sårbarheit som er klassifisert som minor, kan i akkurat ditt miljø vera critical – fordi denne, i kombinasjon med andre sårbarheiter, utgjer ein vidopen dør som skrik VELKOMEN!

Ein kan ikkje kjøpa seg fri

Moralen med historia mi om utemøblar og IT-sikkerheit er: Du kan ikkje kjøpa deg fri, IT-sikkerheit handlar om å handtera alle tre dimensjonar; menneske, organisasjon og teknologi. Teknologien kan hjelpa deg eit stykkje på vegen, men for å kome i mål må leiinga og brukarane spela på lag, og rutinane og prosessane må vera på plass.

Til slutt, hugs at lista over gjeremål ALDRI vert kortare. Det kjem heile tida nye råd og løysningar, oppgåver, tiltak og rutinar. Dermed er du avhengig av heile tida å automatisere eller sette ut oppgåver som vert vanlege – slik at du får tid til å handtere det nye som heile tida vert kasta på deg.

Ingenting eldast raskare enn råd og løysningar innanfor IT-sikkerheit!

No ser eg at det er meldt opphald i regnet i ein dag! Fram til hagemøblane er vel innpakka – ha ein strålande og sikker dag vidare!

Pst: Straumprisane set ny rekord kvar einaste dag – kva med å rydde på serverrommet? Kor mange servere MÅ eigentleg stå på? Dess fleire du slår av, dess betre vert det for alle. Og – det går rett på botnlina til organisasjonen du jobbar for OG FNs berekraftsmål.

Les også

Les mer om:
Del

Kommentarsystemet er deaktivert

Kommentarsystemet leveres av en ekstern leverandør, og kan ikke lastes inn uten at informasjonskapslene er aktivert. Endre dine Personvern/cookies innstillinger for å aktivere kommentering.