Sikkerhetsteknologi er keiserens nye klær

Passord på et ark ved siden av pc-en, veldig enkle passord som er lett å knekke, passord som aldri skiftes ut, det er mange måter å gjøre teknisk gode sikkerhetsløsninger åpne for uvedkommende på.

En ny studie gjennomført av den norske studenten Øyvind Fredstie ved University of Otago i New Zealand, viser at det er en god del som må til for å sikre norske virksomheter.

Fredstie fant i studien (End Users Attitude and Behaviour towards Passwords Management) mange manglende rutiner hos 200 ansatte i en norske bedrift han undersøkte. Han mener at resultatene er ikke unike, men representativt for mange andre.

- Noe som overrasket meg var hvor mange, 34.5 prosent, som kun brukte en kombinasjon av ord eller navn i tillegg til tall som passord, som f.eks. "rogaland01", og at kun 2,1 prosent brukte spesielle tegn som @, $ og # i passordet sitt, sier Fredstie til Computerworld.no.

Ikke-teknisk sikkerhet

Passordbeskyttelse er ofte det viktigste i en virksomhet, fordi det hindrer uvedkommende å finne all slags informasjon. Bedriften må ta høyde for dette, og være mer aktiv i opplæring av de ansatte, mener Fredstie.

- Det at 85 prosent innrømmet at de kun skiftet passord når systemene tvang dem til å skifte dem, viser hvor viktig det er å ha utløpsdato på passordene. Man bør altså ikke forvente at brukeren selv endrer passordet sitt, sier Fredstie.

Forskeren synes ikke at sikkerhetsnivået i Norge dermed er urovekkende, men mener det trengs mye mer fokus på problematikken.

- Jeg vil ikke kalle sikkerhetsnivået for lavt, heller tvert imot, men resultatet poengterer viktigheten av å fokusere mer på de ikke-tekniske sidene ved informasjonssikkerhet, sier han.

Naken sannhet

Passord-problematikken har mange sider. Å lage vanntette systemer vil i mange tilfeller medføre uhåndterlige innloggingsprosedyrer for brukerne.

- Å skifte ut passord og gjør dem vanskelige vil føre til at flere vil skrive ned passordene. Det virker mot sin hensikt. Det første en virksomhet bør gjøre er å lage en vurdering av hvilken informasjon som skal være tilgjengelig for hvilke ansatte, sier Bjørn Holmen i RSA Securty til Computerworld.no.

Det handler ifølge Holmen om å forenkle hverdagen for de ansatte, ikke å forverre den. Nye teknologier som smartkort og passordkalkulator kan bidra til dette, men opplæring av de ansatte er viktigst.

- Teknologien er ikke noe verdt hvis personene som anvender den ikke forstår hvordan den må brukes. Vi har mange "dumme brukere". Hvis ikke de har forståelse for hva de driver med, er mye penger og energi bortkastet, sier Holmen.

Holmen påpeker også at nye regler og lover vil medføre at autentisering vil få mye mer oppmerksomhet fremover. Han mener bedrifter må legge opp til et skikkelig regelverk rundt sikkerhet for å unngå problemer.

- Bare å kjøpe ny teknologi kan bli som keiserens nye klær. Man tror man er sikker, men følger man ikke med på hva som skjer, hjelper det lite. Da får du et dødt sikkerhetsregime, sier han.