Den menneskelige faktor – svakheten i din sikkerhet!

Mange firma har det, forståelig nok, travelt med å sikre seg mot uautorisert besøk i virksomheten. Firmaene isolerer seg bak høyteknologisk hard- og software, firewalls, sikre krypterte forbindelser, algoritmer, PKI-nøkler og mange andre tekniske sikkerhetsforanstaltninger, og alt dette skaffer den fornødne IT-sikkerhet. Slik fremstår firmaet som totalt ugjennomtrengelig, men husker man samtidig å informere brukerne av sikkerhetssystemene?

Det er viktig å huske at IT-sikkerhet er en dynamisk ting, som hele tiden endrer form og farge. Man kan ikke forvente at en statisk forhindring vil kunne løse et firma sine IT-sikkerhetsproblemer i all evighet.

Den enes død - den annens brød!

På tross av store sikkerhetsforanstaltninger i mange firmaer, er det faktisk foruroligende hva som etterlates av "spor" til en potensiell hacker.

Noe av det en hacker behøver for å "komme inn" i et firma, er opplysninger som kan gjøre henne troverdig. Dette for å arbeide seg lenger og lenger inn i hjertet av firmaet. Enkeltstående opplysninger, som umiddelbart ikke fremstår som hverken fortrolige eller klassifisert, kan faktisk bli den første nøkkelen en hacker bruker på veien inn i et firma.

Tenk bare på personlige notater, telefonnummer, noterte passord, regnskap, databaseutskrifter, samt de små gule huskelappen, osv. Vi er nå på et stadie hvor selv den mest raffinerte teknikk må gi tapt, fordi det her dreier seg om det enkelte individ, hvor enhver forutsigelse er umulig.

Nå kunne forsåvidt løsningen på det konkrete problemet med notater og huskelapper være at man "oppdrar" personalet til å makulere alt papir som forlater firmaet, men hvem tenker på en makulator når det dreier seg om IT-sikkerhet?

Nettopp derfor er det gjennom utdanning, kommunikasjon, IT-strategi og spesielt IT-politikk man skal nå sitt personale, for å gjøre firmaets IT-sikkerhet kjent og forståelig for dem. De fleste tenker umiddelbart på store servere, firewall og antivirusprogrammer når man nevner ordet IT-sikkerhet, for det er de håndgripelige og fysiske tingene man lettest kan forholde seg til.

Kikker vi i feil retning?

Hvis man f.eks. stoler blindt på at alle hackerangrep og trusler kommer utenfra, er det på tide å våkne og komme tilbake til virkeligheten. Selv om det er tatt forbehold for mange sikkerhetshull i de siste nye hard- og softwareteknologiene, så er det ennå vanskeligere å gardere seg når det er snakk om den menneskelige faktor.

Hvordan er ansettelsesprosedyrene i firmaet, hvordan er oppsigelsesprosessen, hvem er det vi lukker inn i hjertet av firmaet og "forer" med fortrolige oplysninger, hvem får lov til, og kan, hva? Alle disse spørsmålene, og mange flere, er bare noen av de en virksomhet bør ha med i sin IT-sikkerhetspolitikk og -strategi.

Hva har den utilfredse medarbeideren, som får sparken, i mellomtiden fått tid til å ødelegge på firmanettverket? Eller kopiere fra det? En ansatte med tårnhøy privatgjeld, som i et svakt øyeblikk fristes til å videreselge informasjon til en konkurrent. Eller hva med den uvitende medarbeider som åpner "det morsomme bildet", og slipper løs et virus på firmaets server?

Noen av tallene under, som er hentet fra det amerikanske firmaet The Garner Group, under "Information Security Trends", taler sitt helt eget og tydelige språk.

90 % av alle firmaer har opplevd IT-sikkerhetsbrister i større eller mindre omfang.
85 % av firmaene har vert rammet av virusangrep.
79 % har vert utsatr for misbruk, begått av ansatte.
71 % har hatt uautorisert besøk gjennom nettverket.
66 % har vert kompromitteret av ansattes bruk av nettverket.

Flere og flere undersøkelser viser nemlig, at den største sikkerhetsbrist i ethvert firma, er firmaets egne ansatte. Det er ofte tøft å se sannheten i øynene, fordi det handler om gjensidig tillit og fortrolighet personalet imellom.

Vi skal lære å forstå at IT-sikkerhet ikke kun løses gjennom kjøp av et enkelt produkt, men som en dynamisk og bevegelig prosess. Hvis vi ikke får personalet, altså brukerne, med i utviklingen, fortsetter de å være det svakeste leddet i ethvert sikkerhetskonsept.

Hvad kan man gjøre?

Hvis vi forestiller oss hvor motivasjonsnivået vi har når vi skal forstå hvorfor vi må kaste den uåpnede halvliteren med Cola i sikkerhetssjekken på flyplassen, kan vi overføre den samme mentaliteten til vår egen virksomhet. Hvis vi ikke vi forstår vår egen rolle, situasjon, funksjon og nyttevrdi i sikkerhedskjeden, så går vi enkelt og greit utenom den i det daglige. Vi blir ikke automatisk medspillere, snarere motspillere. Hvis noen begrenser vår mulighet for ferdsel på internettet - uden nærmere forklaring - så finner vi bare alternativer og skaffer oss det vi "pleier" å ha - det ligger basalt i den menneskelige natur.

Derfor skal og må utdannelse gå hånd i hånd med tekniske og statiske sikkerhetsløsninger. Vi blir nødt til å forstå både hvordan, på hvilken måte, når og især hvorfor, vi sikkerhetsmessig har valgt de eksisterende løsninger. Alternativt vil mennesket alltid søke nærmeste løsningsmodell - og sjeldent henger sammen med virksomhetens sikkerhetspolitikk eller ønskede sikkerhetsnivå.

Gi undervisning og motiver de ansatte til å forstå sin egen funksjon, svakhet, mulighet, evner og fallgruver. En mulighet er å bruge eksempler fra den fysiske verden som sammenligning til den digitale verden. Her er noen få eksempler:

Husk at IT-sikkerhet ikke bare er et produkt - men en prosess.

Jesper Lundorf
Sikkerhedskonsulent

• 
  Tilbake for oversikt