Hackere tar ikke sommerferie

Hackere tar ikke sommerferie

KRONIKK: Bedrifter må vurdere å klassifisere sine data.

Skatteetaten har fått påpakning fra Riksrevisjonen i flere år. British Petroleum har ikke tatt den fysiske sikringen alvorlig nok. Spekulasjoner går om oljeselskapet overlever.

Revisjonsfirmaet Arthur Andersen overlevde ikke da de ikke sikret regnskapsdataene slik at gasselskapet Enron kunne blåse seg opp og skjule tap.

Uttak og betaling sikres ikke godt nok. Bankene som for ti år siden sa at det var umulig å svindle med minibankkort, har blitt forbausende stille etter all svindelen ved hjelp av ekstra kortlesere i minibankene og på betalingsterminaler, senest på en bensinstasjon.

Samtidig øker interessen for sosiale medier. Blogger, interessegrupper, videoer er bare noen av virkemidlene. Spørsmålet er hvor godt en interessegruppe på Facebook er sikret? Det gjelder bedrifter likeså mye som individer. Svindelindustrien tar ikke sommerferie.

Gullmyntene

I H. C. Andersens eventyr om fyrtøyet møter soldaten tre hunder som bevokter hver sin kiste med skatter. Den første har øyne så store som tekopper, den andre som møllehjul, den tredje som Rundetårn.

Ingen tør røre skattene, men soldaten har et blårutet forkle som han setter hundene på. Deretter er det bare å forsyne seg.

For mange synes dagens sikkerhet å virke på samme måte. Hunden er den ytre beskyttelsesfunksjonen; brannmuren. Størrelsen på hunden tilsvarer hvor mange ekstra funksjoner som eksempelvis innbruddsavsløring, beskyttelsesfunksjonen har.

De profesjonelle lar seg ikke skremme. De jobber for å finne det forkleet som gir direkte tilgang til herlighetene. Det er data som nå er våre kobber, sølv og gullmynter.

Det gjelder derfor å finne frem til beskyttelsesmekanismer som gjør at man ikke uten videre kan bre ut forkleet og forsyne seg. Det skaper en dobbelt utfordring, både på grunn av den enorme veksten i data som transporteres og arkiveres, og den stadig større eksponeringen på nettet.

Data, data, data

Ekte, garanti, rettigheter, roller, sikring og sikkerhetsnivåer er noen av stikkordene som avgjør om bedrifter vil få suksess eller forsvinne.

For data samles som aldri før. Først kom EMCs rapport om datautviklingen frem til 2020 med 35 milliarder TB med data. Dernest fulgte Cisco opp med sin vurdering for de nærmeste fire årene om hvor mye data som skal overføres.

Det er ikke lenger snakk om nødvendig hastighet, bare volumet. Og volumet skremmer. Det gjør også mangel på sikring. Men ikke alle data trenger å bli beskyttet like godt.

En uskyldig video på nettet trenger kanskje ikke mye beskyttelse, men hvis kriminelle klarer å overta, kan videoen bli leverandør av faenskap til alle som vil se.

Derfor må bedrifter alvorlig vurdere og deretter klassifisere sine data, de som er innenfor veggene, de som er hos en dataleverandør, de som er på Facebook.

Dernest må de enkelte data klassifiseres. Post med økonomiske data bør automatisk låses slik at de ikke kan manipuleres.

Alle typer data som kombinerer personopplysninger med transaksjoner må krypteres. Nettbanksystemer trenger en solid overhaling med hensyn til datasikkerhet.

Betalingskortindustrien forlanger nå større sikkerhet. Betalingsdata skal være kryptert. Hvilket hotell foretar kryptering av kortdataene de samler ved innsjekk?

Ingen hindring

Det er ved kilden, der dataene samles, at applikasjonene må klassifisere og sikre dataene på forskjellige nivåer. I postsystemer bør det være mulig for forfatter å angi sikkerhetsnivå.

Informasjon om bedriftshemmeligheter eller intellektuelle rettigheter som patenter, bør kunne klassifiseres på samme måte som det offentlige gjør med dokumenter.

Fortrolig, hemmelig og strengt hemmelig bør følge dokumenter selv i bedrifter, slik at kun de med nødvendig sikkerhetsklarering er de eneste som kan lese.

Spørsmålet er om sikkerhetsfolk kan nok om sikkerhet? Det er ikke nok å forstå hvordan man leser en logg med data. Det er ikke nok å forstå hvordan man legger inn et system for innbruddsavsløring.

Den tekniske siden av sikkerhet kan sikkerhetseksperter, men forstår de hva som bør sikres, hvordan ansattes roller har betydning for sikkerhetsnivået, hvordan ledelse bør se på sikkerhet, ikke som en hindring, men som et grunnlag for nye muligheter?