Håll hårt i nätdokumentationen och sätt munkavle på
leverantören
Nätskissen allt för vanlig i en presentation Vem har inte varit på
en dragning där någon glatt presenterat sitt nätverk och gärna
delat med sig av nätskisser. För den som önskar att begå ett
intrång i presentatörens nätverk är det bara att buga. Nätskissen
behöver inte vara nyckeln för ett lyckat intrång, men det förenklar
intrånget oerhört.
En nätskiss med IP-adresser, telefonnummer till såväl analoga som
digital abonnemang och fabrikat på nätkomponenterna är som att
sätta sig vid ett väldukat julbord. Om Ni betraktar att en
nätverksansluten fax är möjlig väg in i Ert nätverk, så förstår Ni
vad små detaljer som kan vara avgörande. Med detta vill jag inte ha
sagt att Ni skall upphöra med nätdokumentationen. Tvärtom. Däremot
skall Ni hantera denna dokumentation som företagsintern och med en
mycket begränsad målgrupp.
Leverantörerna betraktar inte Era nätlösningar med
respekt
Bortsett från att nätskisser allt för ofta hamnar i orätta händer,
så är den andra stora läckan rörande Era nätverk de leverantörer
som Ni anlitar. Allt för få leverantörer betraktar Er
nät-verkslöning med respekt. Två nyligen inträffade händelser från
verkligheten;
I första exemplet så handlar det om den mycket sociala och
trevliga konsulten som gärna berättar hur andra har löst en
liknande problemställning som Ni ställts inför. Inget ont med det.
Men, när den trevlige konsulten dessutom berättar vilka kunder som
denne just hjälp med ett liknande problem, så har denne i samma
ögonblick röjt de omnämnda kundernas nätverkslösning. Kanske delade
den trevlige konsulten just ut den pusselbit som saknades för att
pusslet skall bli komplett. Nästa gång är det Erat nät som
exemplifieras.
I andra exemplet handlar det om den stora IT leverantören som via
nya elektroniska verktyg i form av E-post skickar ut information
till sina kunder. Leverantören gör som de alltid har gjort, skickar
ett massutskick till de kunder som bör ta del av den aktuella
informationen. I detta fall är det information rörande en
brandväggstillverkares förändrade ägarstruktur. I ett traditionellt
massutskick, så får varje kund sitt kuvert med sin adresslapp. Tack
varje användandet av E-post, så räcker det med att skicka ett brev
och enbart ange alla mottagare i adress-fältet. Praktiskt för
leverantören. Men, väldigt naivt! Genom att studera denna
information som distribuerats via E-post, så kunde man se alla
kunder till den leverantören som har brandväggar av ett visst
fabrikat. En samkörning med domännamnsdatabaserna var det enda som
behövdes för att komplettera denna förteckning. En förteckning där
Ni som är kund till leverantören troligen inte ens är medveten om
att Ni hamnat i. En förteckning som kan vara intressant om det
upptäcks en lucka i just den typen av brandvägg.
Bli inte paranoid
När man läser ovanstående, så får man känslan av allt skall
skyddas. Datorer, information, relationer etc. Om man drar det till
sin spets, så är det så. Men, sunt förnuft är det som saknats i det
som exemplifierats ovan. Samtliga har hanterat tillgänglig
information på ett naivt sätt.
Enkla råd
Hemligstämpla Er nätdokumentation och hantera dokumentationen
därefter. Informera Era leverantörer att Ni förväntar Er att de
hanterar den kännedom de har om Er nätverkslösning och Era
nätverkskomponenter med största sekretess. Signera och kryptera
känslig information som skickas med E-post. Använd sändlistor med
förstånd, om inte, undvik dem.
