De vindar som blåser över våra IT-miljöer bidrar till att
såväl system som information sprids allt mer. Allt från att alla
komponenter finns i egen regi till att all IT är utkontrakterad i
en eller annan form. Det stora flertalet befinner sig någonstans
mitt i mellan. Ytterst få har den fulla bilden av vilka sårbarheter
och skyddsmekanismer den utkontrakterade miljön egentligen
har.
Vis av erfarenhet så har alltför många av de aktörer som
specialiserat sig på drift enbart fokuserat på fysisk säkerhet.
Stolt visar aktörerna upp sina bergrum, sina elverk och sin extremt
förfinade släckutrustning. Imponerande och många gånger ett
självklart krav från den som väljer att placera delar av sin
IT-miljö hos aktören. Beställaren tar ofta för givet att en aktör
som satsat på fysisk säkerhet gjort minst lika stora satsningar på
nätsäkerhet och datasäkerhet. Faktum är att när det kommer till
"sladden" som gör IT-miljön tillgänglig så bleknar på tok för många
aktörer. Få har några andra skyddsåtgärder utöver en klassisk
brandvägg som glatt accepterar trafik för några utvalda
protokoll.
Granskar man designen hos aktörerna så kan man se att det äntligen
börjar infinna sig ett zon-tänk, där kanske presentation befinner
sig i en zon, logik i en annan och information i en tredje vilket
är klart försvårande för en illvillig. Tyvärr är det sämre ställt
med selekteringen av vad som infinner sig i varje zon. Betänkt att
utrustningen sällan är härdad, att utrustning från flera kunder
delar zoner och att flera kunder delar hörnstenar som webbserver,
databasserver, katalogtjänst, namnserver, autentiseringslösning och
hypervisor. Detta sammantaget gör det relativt fritt fram att hoppa
mellan system för att den illvillige skall nå sitt slutmål.
I såväl teorin som praktiken kan den illvillige lätt utnyttja det
faktum att IT-säkerhetsarbetet är eftersatt. Lek med tanken att
även den illvillige utkontrakterar sin webblösning, vilken från
start innehåller färdiga säkerhetsbrister att utnyttja vilket leder
till att övriga kunders system är inom en armlängds avstånd. Med
vetskapen om att övervakning, i bästa fall, monitorerar
systemresurser och nätresurser med fokus på att upprätthålla den
avtalade tillgängligheten på 99,9999987% så har den illvillige all
tid i världen att agera. Behöver jag poängtera att hos flera
aktörer är ytterligare övervakning en tilläggsoption.
Ovanstående scenariot är inte extremt på något sätt. Den som tar
kontroll över miljön kanske inte behöver tillhöra det övre skiktet
kunskapsmässigt då det redan finns färdiga verktyg för ändamålet.
De utnyttjar istället det faktum att beställaren och utföraren inte
är det minsta samspelt. Utföraren har givetvis löst det hela
avtalsmässigt på bästa sätt, för sin verksamhet.
Avståndet mellan bergrummet och den illvillige virtuella grannen
är så fruktansvärt långt att det känns emellanåt som en evighet att
komma ikapp. Hur varma vindarna än känns så har du som beställare
ofta det yttersta ansvaret och du tvingas ställa även de mest
självklara frågor för att vara säker på att den miljö du
utkontrakterat är fortsatt i tryggt förvar. Bli inte förvånad över
svaren.
