Den menneskelige faktor – svagheden i din sikkerhed!

Mange firmaer har, forståeligt nok, travlt med at sikre sig i mod uautoriseret besøg i deres virksomhed. Firmaerne isolerer sig bag højteknologisk hardware og software, firewalls, sikre krypterede forbindelser, algoritmer, PKI-nøgler og mange andre tekniske sikkerhedsforanstaltninger. der alt sammen skaffer den fornødne IT-sikkerhed, således at firmaet fremstår som totalt uigennemtrængeligt, ... men husker man samtidig at informere brugerne af sikkerhedssystemerne?

Man skal huske på, at it-sikkerhed er en dynamisk ting, der hele tiden ændrer form og udseende. Man kan ikke forvente at en statisk forhindring vil kunne løse et firmas IT-sikkerhedsproblem i al evighed.

Den enes skrald - den andens guld!

Begrebet Social Engineering er absolut ikke nyt. Et begreb der kendes af mange der kender til intrigernes kunst. Det er et yderst effektivt stykke "værktøj" at være i besiddelse af - nemlig det at kunne anvende sin modparts oplysninger mod pågældende selv. På trods af store sikkerhedsforanstaltninger i mange firmaer, så er det faktisk foruroligende hvad firmaerne efterlader af "spor" til en potentiel hacker.

Noget af det som en hacker skal bruge for at komme ind i et firma er oplysninger, som kan gøre ham troværdig for at arbejde sig længere og længere ind i firmaets hjerte. Enkeltstående oplysninger som umiddelbart ikke fremstår som hverken fortrolige eller klassificeret kan faktisk blive den første nøgle, som en hacker skal bruge for at komme ind i et firma.

Tænk blot på personlige notater, telefonnumre, nedskrevne passwords, regnskaber, databaseudskrifter, samt de små gule huskesedler osv. Vi er nu på et stadie, hvor selv den mest raffinerede teknik må give fortabt, fordi her drejer det sig om det enkelte individ, hvor enhver forudsigelse er umulig.

Nu kunne løsningen på lige netop dette konkrete problem med sedlerne jo være at man "opdragede" sit personale til at makulere alt papir, der forlod firmaet. Men hvem tænker på en makulator, når det drejer sig om it-sikkerhed?

Netop derfor er det med uddannelse, kommunikation, it-strategi og især it-politik, at man skal nå sit personale for at gøre dem firmaets it-sikkerhed forståeligt. Alle tænker umiddelbart i store servere, firewalls og antivirusprogrammer når man nævner ordet it-sikkerhed, for det er de håndgribelige og fysiske ting man som oftest kan forholde sig til.

Kigger man nu i den forkerte retning?

Hvis man fx. blindt stoler på at alle hacker-angreb og trusler kommer udefra, så er det på tide, at vågne op og komme tilbage til virkeligheden. Selv om der er taget forbehold for mange sikkerhedshuller med den sidste nye hard - og softwareteknologi, så er det endnu sværere at gardere sig imod den menneskelige faktor.

Hvordan er firmaets hvervningsprocedure, hvordan er firmaets afskedigelsesproces, hvem er det vi lukker ind i firmaets hjerte og fodre med fortrolige oplysninger, hvem må og kan hvad? Alle disse, og mange flere spørgsmål er nogle af dem, som firmaet bør have med i sin it-sikkerhedspolitik og strategi.

Den utilfredse medarbejder, der bliver fyret, hvad har han i mellem tiden nået at ødelægge eller kopiere på firmaets netværk. Eller medarbejderen med den tårnhøje privatgæld, der i et svagt øjeblik bliver fristet for videresalg af informationer til konkurrenten. Den uvidende medarbejder, der åbner "det sjove billede" på firmaets server og udløser en virus.

Nogle af nedenstående tal, som er hentet fra firmaet The Garner Group under Information Security Trends taler deres helt eget sprog.

90 % af alle firmaer har oplevet it-sikkerhedsbrister i større eller mindre omfang.
85 % af firmaerne har været ramt af virus angreb.
79 % har været udsat for misbrug begået af ansatte.
71 % har haft uautoriseret besøg igennem netværket.
66 % har været kompromitteret af ansattes brug af netværket.

Flere og flere undersøgelser viser nemlig, at den største sikkerheds brist i et hvert firma kommer fra firmaets egne ansatte. Det er ofte svært at se sandheden i øjnene fordi det handler om gensidig tillid og fortrolighed personalet imellem.

Vi skal lære at forstå, at it-sikkerhed ikke kun løses ved køb af et enkelt produkt, men som en dynamisk og bevægelig proces. Hvis ikke vi får personalet, altså brugerne, med i udviklingen, så forbliver de ved med at være det svageste led i ethvert sikkerhedskoncept.

Hvad kan man så gøre?

Hvis vi tænker på hvor lidt motiveret vi er når vi skal forstå hvorfor vi skal smide en nykøbt ½ liters Cola ud ved sikkerhedscheck i lufthavnen, så kan vi overføre den samme mentalitet til vores virksomhed. Hvis ikke vi forstår vores egen rolle, situation, funktion og nytteværdi i sikkerhedskæden, så omgås vi den i det daglige. Vi bliver ikke automatisk medspillere. men snarere modspillere. Hvis nogen begrænser vores mulighed for at færdes på Internettet - uden yderligere forklaring - så finder vi blot selv et alternativt og skaffer os det vi "plejer" at kunne hente - det ligger basalt i den menneskelige natur.

Derfor skal uddannelse gå hånd i hånd med tekniske og statiske sikkerhedsløsninger. Vi bliver nødt til at forstå både hvordan, hvorledes, hvornår og især hvorfor vi sikkerhedsmæssigt har valgt den givne løsning. Alternativt vil mennesket altid søge den nærmeste løsningsmodel - og det hænger som oftest slet ikke sammen med virksomhedens sikkerhedspolitik eller det ønskede sikkerhedsniveau.

Undervis og motivér de ansatte til at forstå deres egen funktion, svaghed, mulighed, evner og faldgrupper. Eksempler der tidligere har hjulpet kunne være anskuelighedsundervisning. Se enkelte eksempler fra en lang liste i omhandlende model:

Husk at it-sikkerhed er ikke blot et produkt - men en proces.

Jesper Lundorf
Sikkerhedskonsulent