den 29 maj 2006 av Thomas Nilsson
Analysföretagen är eniga, det investeras i it-säkerhet som
aldrig förr och investeringarna väntas fortsätta kommande år. Inte
oväntat är it-säkerhet ett kraftigt tillväxtområde och det är en av
de branscher som förutspås växa allra snabbast. Givetvis är
internet den enskilt starkaste drivkraften för den ökade
fokuseringen på it-säkerhet samtidigt kan vi konstatera att
respekten för internet fortsätter att avta och att allt för många
lösningar är designade för att möta 90-talets hot snarare än dagens
hot.
De investeringar som görs riktas snarare mot att realisera nya
tillämpningar än att höja nivån på befintliga tillämpningar och
befintliga säkerhetslösningar. Listan över exempel där mer finns
att önska kan göras lång. Här kommer ett axplock utan inbördes
ordning och utan att göra gällande att detta är de mest
häpnadsväckande exemplen. Dessa är illa nog.
VPN-lösningar utan kryptering och stark identifiering. Ringa
accesskontroll till egen infrastruktur. Avsaknad av
tillämpningsbara policys och riktlinjer. Känsliga system skyddas
enbart med användarid/lösenord. Obefintlig kontroll över vad som
överförs till och från internet. Undermåliga loggrutiner där såväl
historik som knytning till individer är obefintlig. Känslig
infrastruktur sammankopplas med okänd infrastruktur. Generös
tilldelning av admin-rättigheter. Avsaknad av tidssynkronisering.
Spam-lösningar i strid med gällande RFC's. Ringa förekomster av
redundans för kritiska tillämpningar. Intrång som inte utreds. Illa
fungerande DNS. IP-adress som enda accesskontroll av känsliga
system. Horder av it-säkerhetsprodukter i disharmoni som istället
för att samverka, motverkar varandra. Undermåliga rutiner för
patchningar och uppdateringar. Överföring av krypteringsnycklar i
klartext. Standard lösenord på nätverkskomponenter. Bruk av
tvivelaktiga svartlistor. Projekt utan naturliga inslag av
it-säkerhet. Känslig information i klartext på bärbar utrustning.
Trådlösa nätverkskort aktiverade i klientdatorer anslutna till
känslig infrastruktur. Illa genomförda riskanalyser.
Sammanblandning av känsliga och mindre känsliga system.
Det är dags att dra upp huvudet ur sanden och konstatera att det
nu krävs riktade insatser för att lyfta nivån på
säkerhetslösningarna till en acceptabel nivå. Detta är inte bara
ett tekniskt och strukturellt problem utan det krävs också stora
doser kompetenshöjning. Både i det breda perspektivet, där
användarna lär sig grundläggande it-säkerhet ur deras horisont, och
i det djupa perspektivet där tekniker och specialister ges tid och
möjlighet att lyfta sig till dagens nivå. Det hela måste sedan
mynna ut i en levande förbättringsprocess. Det är svårt att se
direkt ekonomisk avkastning på investeringen, men det skall ställas
mot det omvända. Vad är kostnaden om investeringen uteblir?
© 2006 Thomas Nilsson, Certezza AB
