Tillit er den største risikoen

Tillit er den største risikoen

BARCELONA: Trusselbildet ved bruk av internettet øker for hver dag. Sikringsvirkemidlene forbedres kontinuerlig. Bevisstheten om sikringsbehovet må økes tilsvarende.
BARCELONA: Flere sikkerhetseksperter med fortid fra den amerikanske presidentens sikkerhetsstab understreket behovet for økt sikring på RSAs sikkerhetskonferanse i Barcelona i november. De var ikke opptatt av terror, men hva organisert kriminalitet kan få til hos naive virksomheter.

-- Mye sikkerhetsarbeid er bortkastet fordi det ikke er gjort skikkelig. Selv tester jeg sikkerheten ved alltid å registrere meg som Benjamin Franklin, sier Richard Clark, tidligere sikkerhetsrådgiver for USAs tre siste presidenter.

Stikkord for utfordringene er autentisering, databaseangrep, identitetstyveri, kryptering, organisert kriminalitet, tjenestenekt, "Social Engineering" og webtjenester.

Overføres styret

-- Sikkerhetsopplæring er viktig. Alle som skal ta bilsertifikat, lærer nødvendigheten av sikkerhet. Denne forståelsen må overføres til styret og til lovgivere for at de skal lage gode lover med hensyn til sikkerhet, sier Howard Schmidt, sikkerhetssjef i Ebay og tidligere sikkerhetsrådgiver for den amerikanske president.

Sikkerhet må snus fra noe nødvendig for å stoppe neste angrep, til noe positivt, en teknologi som gir nye muligheter, som bidrar til tillit. Det er viktig å nå forbrukerne. Brukeridentifikasjon og passord er for dårlig. To nivås sikring er nødvendig. Det enkleste er å ta i bruk smartkort for digital signatur.

Dermed kan det oppnås universalpålogging hvor brukeridentifikasjon og passord for forskjellige applikasjoner hentes fra en sikret tabell.

Sun har utstedt nye adgangskort til sine 35.000 ansatte. Volkswagen har gjort det samme for sine 30.000. I Norge jobber Bank-ID med det samme. Idéen er at et smartkort utstedt hos en bank skal skape tillit hos alle samarbeidspartnerne.

-- E-signatur er en nøkkel i alle landene i EU, sier professor Reinhard Posch, sikkerhetsansvarlig for den østerrikske regjering.

Identitetsadministrasjon er derfor blitt et viktig innsatsområde hos alle de store it-leverandørene. Evnen til å garantere for ekthet av person eller dokument vil bli et betydelig innsatsområde.

Bevisst

Få virksomheter i Norge er like bevisst sikkerhet som rederiet Wallenius Wilhelmsen, som mottok It-sikkerhetsprisen i begynnelsen av desember.

Rederiets aktive arbeid for å koble sikkerhet med forretningsprosessene, synliggjøringen av sikkerhetsarbeidet og toppledelsens eget engasjement bidrar til at forretningsprosesser kan utføres over alt, på en tillitsvekkende måte.

Wallenius Wilhelmsen har egen sikkerhetssjef, hvilket ikke er vanlig i Norge, men mer og mer vanlig i utlandet. I flere land finnes det dedikerte fagtidsskrifter som rettes mot sikkerhetsarbeidet til den sikkerhetsansvarlige, CSO, Chief Security Officer.

I store virksomheter og bedrifter som jobber geografisk spredt, er interessen og forståelsen for sikkerhet stor. I små og mellomstore bedrifter er forståelsen for hva som kan skje ved bruk av internettet, liten.

De små bedriftene har ikke ressurser til å bruke på en sikkerhetssansvarlig. De bør ha ressurser til å bruke på innleide sikkerhetstjenester. De kommende årene vil it-sikkerhet administrert av et spesialistfirma bli et betydelig vekstområde. I Norge har Mnemonic vært tidlig ute.

Ødeleggende angrep

Alle sikkerhetseksperter synes å være enige om at komplekse programvareomgivelser får følger for sikkerheten. Det nytter ikke bare å beskytte seg med brannmurer og dedikerte sikkerhetsmaskiner. Det krever sikkerhet på alle punkter, for det trengs bare ett svakt punkt for at angripere kan ta over.

De fleste rettssaker om it-sikkerhet har vært mot personer som har utviklet ødeleggende virus. Den første som omhandler forsøk på ødelegge en bedrifts bruk av internettet, er under opprulling i USA.

Manglende tillit mellom to forretningspartnere fikk den ene til å lansere et angrep på den andre via et britisk hackerfirma. De som har gjort jobben, vedkjenner seg angrepet, den som har beordret det, har flyktet fra USA.

Det er tjenestenekt det britiske hackerfirmaet satte i gang. De hadde kontroll med 5.000 ) 10.000 pc-er rundt i verden som ble beordret til å bombardere det ene firmaet. Kostnadene for at firmaet ble utilgjengelig for handel på nettet og for oppryddingen etterpå, har kommet på 200.000 dollar.

Nye trusler

Kontinuerlig finner man nye trusler i form av ormer med ødeleggende virkning. For å forsterke budskapet betegnes de også for virus og trojanere.

Stadige nye angrep avslører dem som ikke tar sikkerheten sin på alvor. Det mangler ikke på oppmerksomhet rundt behovet for sikring ved all skrivingen om angrepene.

Selv om virksomhetene er blitt mer bevisste, minsker tiden de har til å reagere på trusler. På åttitallet kunne de ignorere et mulig angrep i mange uker, på nittitallet fra noen uker til mange dager, i dag bør varsler om angrep reageres på i løpet av dagen. I fremtiden tror man det bare vil gå minutter før virksomheten må ha en ny forsvarsmekanisme på plass.

Bedrifter som har avtaler med antivirusfirmaer, har slike forsvarsmekanismer. Antivirusfirmaene sender ut nye forsvarsmekanismer umiddelbart.

Problemet oppstår når tilliten til disse er stor. Kanskje har de ikke en mekanisme på plass når angrepet kommer, for de er helt avhengig av å oppdage nye trusler før angrepene settes i gang.

For stor tillit

Virksomhetene må bruke en rekke beskyttelsesmekanismer. Ifølge Ciscos europeiske teknologidirektør Alain Fiocco har folk hatt for stor tillit til internettet.

Av den grunn lar folk seg lure når identifikasjonsdata etterspørres fra virksomheter de har et forhold til. Slike identitetstyverier (Phishing) er blitt en stor plage i mange land. Det tar tid før enkeltpersoner forstår at de blir lurt.

-- Identifikasjonstyveri gir mest klager i USA. Det er viktig at offentlig og privat sektor jobber sammen, fremhever Howard Schmidt.

Identifikasjons og passordinformasjon er formålet med "Social Engineering". Ideen er å lure ansatte til å gi fra seg fortrolig informasjon. Sett at en jente med sexy stemme utgir seg for å jobbe i personalavdelingen, men dessverre har glemt passordet.

Andre ansatte man blir fortrolige med, er ansatte på sentralbord og rengjøringspersonell. Det oppnås ved å tilby en tjeneste for siden å be om tjeneste til gjengjeld som de ansatte ikke forstår konsekvensen av.

Bortkastet

Å prøve å utdanne eldre ansatte anses av fagfolk som bortkastet. Det nytter ikke å skylde på brukerne. Det er forsvarsmekanismene som må forbedres.

Bedre forsvarsmekanismer er ifølge Detlef Eckert, europeisk sikkerhetssjef i Microsoft, ekstremt viktig fordi angrepene kommer til å flytte seg fra elektronisk post til applikasjonene. Da blir det slitsomt kontinuerlig å legge inn forbedringer for hver svakhet som avdekkes.

Sikkerhet må bygges inn i applikasjonene, ikke spikres på som i dag. Dette har Oracle skjønt. Det er store forbedringer fra versjon 8 til versjon 10 av databasen.

-- Databaser var trygge for ti år siden. Nå er de blitt et svakt punkt fordi det er data kriminelle vil ha fatt i, sier Aaron Newman, teknologidirektør i Application Security.

Aaron påpeker at databasens lyttetjeneste er et av de svake punkt som kan benyttes for å starte angrepet. Siden er det et spørsmål om å skrive smarte SQL-kall som alltid er riktige selv deler egentlig vil bli avvist.

Særlig i versjon 8 er det mange svakheter som databaseansatte ikke er klar over. Anbefalingen fra et sikkerhetssynspunkt er oppgradere til versjon 10, Oracle 10g.

Web mangler sikkerhet

-- Alle vil ha SCM og CRM tettere til sin egen virksomhet, påpeker Richard Kaplan, direktør for sikkerhet i Microsoft.

SCM, Supply Chain Management, og CRM, Customer Relationship Management er to forretningssystemer som skaper grunnlag for et tettere samarbeid med sine partnere og kunder.

Bedrifter med saksbehandlere på begge steder kan kontrollere og følge opp at web-tjenestene utføres tilfredsstillende. Hvis to datamaskiners applikasjoner skal samarbeide, må sikkerheten være tilfredstillende og tjenestene bli utført innen en forventet tidsramme.

Usikre webtjenester

Dessverre mangler sikkerhet fullstendig for Web-tjenester. Før det er på plass er web-tjenester på alt annet en trivielle tiltak ikke til å stole på. Problemet er å stole på noe som er godkjent et sted, men som så skal jobbe et annet sted. Det er vanskelig juridisk.

Derfor må det utvikles gjennomsolide sikringstiltak for overføring av digitale sertifikater og nøkler, Public Key Infrastructure. Et slikt tiltak er å innføre sikkerhetsdata (Token Security) i SOAP Header (Simple Object Access Protocol).

-- Web Services Security vil kunne bli en "Killer App" for digitale sertifikater, fremhever Bronislav Kavsan, direktør i RSA Security.