Prisverdig sjekkliste for datasikkerhet

Den ikke-kommersielle norske organisasjonen SIT (Secure Information Technology) har satt sammen et lite hefte som forenkler arbeidet med å få oversikt over den faktiske datasikkerheten i en organisasjon.

SIT-formann Eilert Hanoa, ellers kjent som daglig leder i Guru Software, relanserte heftet i forbindelse med tirsdagens åpning av messen Kontor og Data 1998. Det har vært tilgjengelig fra SITs nettsted siden mars i år.

Heftet innledes med en interessant og tankevekkende observasjon: Mange bruker i dag mer penger på tyverialarmer i firmabilen enn de gjør på å sikre bedriften mot virusangrep, uautorisert tilgang, år 2000 problemer og konsekvenser som følge av manglende lisenser. For mens et innbrudd i en bil sjelden gjelder verdier over en kvart million kroner, kan dataproblemer, dersom uhellet virkelig er ute, true hele bedriftens eksistens. Mister man en 20.000 kroners bærbar maskin, blottlegger man kanskje følsomme opplysninger om selskapets arvesølv.

Jeg synes spesielt godt om argumentene for sammenhengen mellom allmenn sikkerhet og bruken av lisensiert programvare. SIT peker på at risikoen man løper ved å benytte ikke-lisensiert programvare langt overgår det man eventuelt sparer ved å tukle med lisensene. Ta for eksempel hva som kan skje hvis du etter egen oppfatning uforskyldt lider store tap fordi en bestemt applikasjon gjorde uriktige beregninger som følge av utilstrekkelig håndtering av årstall i datofelt - det kjente år 2000-problemet. Hvor sterkt står du juridisk hvis en nærmere undersøkelse avdekker at du har misbrukt lisensen på den og på annen programvare? Ifølge SIT er svaret enkelt: I en juridisk tvist vil ulisensiert programvare kunne diskvalifisere virksomheten fra et oppgjør.

Et annet argument er like innlysende, men har heller ikke møtt den anerkjennelsen den fortjener. Piratjegerne er på offensiven og føler at bedriftene har fått god nok tid på seg til å ordne opp: Lovlig innkjøpt programvare garderer bedriften og daglig leder mot straffeforfølgelse, erstatningsansvar, stempel som kriminell og negativ omtale. Dette i tillegg til forhold som at piratkopiert vare kan lide av alvorlige feil og mangler, at du ikke har tilgang til oppgraderinger og rettelser, at du kanskje får mangelfull brukerveiledning og at du avskjæres fra service og support.

Et område som kunne vært bedre belyst, er tiltak mot ulovlig inntrenging utenfra. Særlig amerikanske undersøkelser har dokumentert at trusselen er større, og øker raskere, enn vi liker å tenke på. Her er spørsmålene på sjekklisten for allmenne, og det gis ikke bakgrunnsinformasjon for momenter som er spesielt aktuelle. Hvilken mening gir det for eksempel å svare "ja" på spørsmålet "Har bedriften sørget for at nettverket er sikret mot inntrengere utenfra?" uten en gjennomgang av noen helt sentrale tiltak? Her mener jeg ikke nødvendigvis finurlige brannmurer. Viktigere er for eksempel hvorvidt samtlige ansatte har forstått også enkle tiltak, som at passord ikke skal oppbevares i en ulåst skuff, og at PC-en skal slås av når man forlater pulten. I stedet for et spørsmål om det finnes rutiner for jevnlig bytte av passord, burde rutinene kvalifiseres. Det er nok av tilfeller hvor passordskifte følger et så åpenbart mønster at iherdige utenforstående gjetter seg til det bare de får gravet fram ett eller to tidligere passord.

Et godt sikkerhetsopplegg krever stadig oppfølging, fordi det gjelder å bekjempe dårlige vaner og inngrodd makelighet. De fleste av oss kan teorien. Med SITs lille hefte får vi sjekket om teorien vi bekjenner oss til, kan leses i vår daglige praksis.

Til toppen