I föregående medlemsbladet beskrev jag de sårbarheter som
upptäckts i Microsofts operativsystem under juli. Flertalet av
sårbarheterna var allvarliga. Inte oväntat så resulterade detta i
en än mer händelserik augusti. Där dessa sårbarheter utnyttjades i
elak kod.
I kölvattnet av det inträffade, som inte var någon överraskning
utan högst sannolikt, så blommar en debatt upp vems fel de är att
något sådant kan inträffa. Om vi bortser från kvalitén på
operativsystemet så har Microsoft i alla fall varnat för de
upptäckta sårbarheterna och gjort en rad rättningar. På samma sätt
som skulle ha skett om sårbarheten upptäckts i exempelvis Solaris,
Linux, FreeBSD eller IOS.
Rimligen är det den IT-ansvarige som ansvarar för att de system
som exponeras mot Internet har fullgoda skydd. Dels genom att
använda teknik i form av brandväggar, VPN, antivirus, IDS etc, dels
genom att ha goda rutiner för att uppdatera operativsystem och
applikationer samt rutiner för att återkommande testa exponerade
system och tillgodose att nödvändig kompetens finns i
organisationen för att hantera mixen av exponerade system och
skydd. Kort sagt en samverkan mellan teknik och människa.
Vis av erfarenhet finns det mängder med nätsäkerhetsskydd i de
flesta organisationer som exponerar system mot Internet. Dessvärre
är lösningarna allt för sällan i harmoni. Om du använder
antiviruslösningar, så handlar det inte bara om att installera
antivirusprogram på klienterna. De skall installeras i servrar och
gateways också. Alla utposter mot osäkra nät måste förses med
brandväggsfunktionalitet. Att placera WLAN-utrustning på det
interna nätet utan någon form av brandvägg mellan WLAN och det
interna nätet är vågat, likaså att placera decentraliserade
arbetplatser direkt på Internet utan en personlig brandvägg. Listan
över hur man bygger en nätsäkerhetslösning i harmoni är givetvis
mycket längre. Till detta skall en till dimension adderas, nämligen
tiden. En nätsäkerteslösning är inte statisk, det som var tryggt
för fem år sedan behöver inte vara tryggt idag. Omvärlden förändras
i rask takt och med de hotbilderna.
En nätsäkerhetslösning är ett levande instrument och en självklar
del av en IT-infrastrukturen. Yttersta ansvaret för att de råder
harmoni även här kan inte överlåtas på en tillverkare. De bygger
avancerade verktyg som det är upp till oss brukare att använda
rätt. Fel använt är alla verktyg värdelösa eller till och med
farliga. Detta gäller oavsett om det är IT eller ej.
© 2003 Thomas Nilsson, Certezza AB
