Hvordan sikre seg mot utro tjenere?

LONDON: Sikkerhetsselskapet Secerno hevder at den største it-trusselen er intern. Det er de ikke de første til å hevde, men denne gangen belegges påstanden med en solid dose empiri.

LES OGSÅ: Fri flyt av fortrolige dokumenter

- Vi har gjort undersøkelser som viser at et av ti callsentre i Skottland er bemannet med utro tjenere, sier Paul Davie, administrerende direktør i Secerno.

Mange kilder

Det altså ikke nødvendigvis misfornøyde kolleger som er den største faren. Kildene for avlytting, overvåking eller dokumenttyveri kan være mange, og er ikke blitt færre i takt med trenden med å sette ut alle oppgaver som ikke er kritiske for en bedrifts økonomi.

Derfor kan callsentre brukes til industrispionasje. Davie har flere eksempler på hvordan bakmenn har operert diskret for å hente ut informasjon.

- Kriminelle plasserte vaskehjelper i en stor bank i London over lang tid. De var nær ved å lykkes i å smugle ut 400 milliioner pund, da planene om storranet ble avslørt.

Vanskelig åpenhet

Ingen ønsker publisitet om slike sikkerhetsbrister. Derfor blir slike tilfeller ikke offentliggjort i Europa. Ekspertene ber likevel om å bli trodd.

Hensynet til omdømme og risiko for økonomiske konsekvenser, gjør at næringslivet legger lokk på nestenskandalene. Men slik er det ikke overalt.

- Det er annerledes i USA. Der krever loven at firmaer går ut med slik informasjon, selv ved bare mistanke om at noe er galt. I Europa har vi ikke slike lover, derfor hører vi mindre om slike hendelser her, sier Davie.

Farlig tillit

Tall fra Secernos undersøkelser viser at legitime brukerkommandoer brukes i 87 prosent av registrerte datainnbrudd. 78 prosent utføres av autorisert personell.

- De fleste sensistive dataene befinner seg i databasen. Samtidig er det der dataene som regel er dårligst sikret. Når en person har fått tillit, har han som regel full adgang. Ingen leverandører greier å svare på hvordan denne utfordringen skal løses, sier Davie.

Han hevder at 80 prosent av risikoen for informasjonssystemer er angrep innenfra.

- Det er særlig to faktorer som bidrar, misnøye og finansiell drivkraft. Vi har sett at det siste er veldig sterkt.

Bred adgang

Databasene er alltid dypt begravd i organisasjonen, men det er mange ulike personer som trenger adgang til dem, for eksempel it-administratorer, utviklere, selgere, ledere og sekretærer.

Som et grelt eksempel nevner Secerno den britiske databasen for svakstilte barn, som mange tusen myndighetspersoner i Storbritannia har adgang til i forbindelse med behandling av søknader om ID-kort. At slike data kan misbrukes er åpenbart, derfor blir sikringsmekanismne svært viktige.

Men hvordan beskytter du dataene i forhold til arbeidstakere med så mange ulike roller?

Noen gode råd

Det finnes ingen systemer eller mennesker som kan sikre en vanntett organisasjon. Paul Davie har likevel noen gode råd for hvordan man begrenser risikoen så langt det er mulig.

Vurder incentivene til de ansatte for å smugle ut sensitive data

Skap en kultur som hegner om sikkerhet

Vis tillit og gi ansvar. Et undertrykkende regime gir gale signaler, men det skal ha klare konsekvenser å gjøre noe galt

Ansatte må vite at risken for å bli tatt om man gjør noe galt, er stor

Forstå hvordan datasystemene virker grundig, og bygg inn sikkerhet fra grunnen av.

Intelligente IDS/IPS-er (Intrusion detection System/Information Protection System) må bygges inn.

Lær hvordan data normalt blir brukt; identifiser og kontroller avvikende bruk

Se like alvorlig på eksterne og interne trusler

LES OGSÅ: Ti punkter for bedre it-sikkerhet