den 24 september 2004 av Thomas Nilsson
Innan du begär en offert på en vara eller tjänst kan det
vara idé att söka efter offerter via fildelning. Med stor
sannolikhet får du inte bara tillgång till traditionell
offertinformation utan även interna prislistor, marknadsbedömningar
och konkurrensanalyser.
I min förra krönika belyste jag det informationsläckage som redan
börjat hos fler och hos andra är det nära förestående. I denna
krönika tänkte jag följa upp detta genom att visa två scenarios som
är hämtade direkt från verkligheten.
Offertsökning via fildelning är kanske inte det första man tänker
på i fildelnings sammanhang utan fokus har nästan uteslutande varit
musik- och filmindustrins kamp mot fildelarna. Faktum är dock att
sökningar efter annat än musik och filmer ger ett skrämmande
resultat. Anställda i så väl näringslivet som offentliga
organisationer har i stor utsträckning och helt ovetande om
riskerna använt fildelningsprogram för att ladda hem musik och film
helt obehindrat på grund av undermåliga regelverk i brandväggarna.
Parallellt med att den anställde letat efter sin favoritmusik och
efter sina favoritfilmer har det strömmat företagsintern
information ut från företaget.
I takt med ökade krav på mobilitet så är det inte bara från
kontoret det läcker information utan även via de VPN lösningar som
växer fram. Det har inte bara förenklat ett mobilt leverne utan
också lagt grunden till ett mobilt informationsläckage.
Kravställarna för de mobila lösningarna har i flera fall varit helt
fokuserade på att den mobila lösningen skall klara allt. "Det skall
inte vara någon skillnad om den anställde sitter framför datorn på
kontoret eller i hemmet". Man har visserligen hörsammat skydd såsom
antivirus, personlig brandvägg och diskkryptering. Vad hjälper det
när den anställdes son eller dotter svarat ja på alla frågor som
den personliga brandväggen ställt och sedan gladeligen kör
fildelning från hemdatorn samtidigt som hemdatorn har fullständig
access till filarkivet på kontoret? Informationsläckaget är ett
faktum.
Lärdomen är att så väl den interna IT-infrastrukturen som den
mobila IT-infrastrukturen måste konstrueras på ett sådant sätt att
användarens beteende inte kan leda till informationsläckage. Fokus
har legat på att designa IT-infrastrukturen för att stå mot hot och
attacker från Internet. Generositeten i vad som är möjligt att
utföra från den interna IT-infrastrukturen till Internet är ett av
grundproblemen. I flera fall finns det inte några begräsningar
alls. Här är det hög tid att tänka om.
Den försiktighet som råder när man definierar regler för trafik
som initierats från Internet till den interna IT-infrastrukturen
måste också infinna sig när man gör regler för trafik från den
interna IT-infrastrukturen till Internet.
© 2004 Thomas Nilsson, Certezza AB
