Magma topp logo Til forsiden Econa

Erlend Skuterud er siviløkonom fra BI, Certified Information Systems Auditor og manager i PricewaterhouseCoopers avdeling for informasjonssikkerhet.

Sikring av forretningskritiske systemer

Forretningsmessig balansert informasjonssikkerhet

Hver dag utsettes forretningskritiske IT-systemer for inntrengningsforsøk. Truslene kommer i like stor grad internt i bedriften som fra eksterne «hackere». Bedrifter ser store forretningsmessige gevinster i å øke sin elektroniske tilknytning til eksempelvis kunder og leverandører, og IT-systemer som tidligere kunne karakteriseres som interne støttesystemer, har gjennom en rivende utvikling blitt til forretningskritiske applikasjoner. Dessverre har mange bedrifters arbeid innenfor informasjonssikkerhet ikke hatt glede av den samme utviklingen.

INFORMASJONSSIKKERHET -- EN DEFINISJON

Spør man bedriftsledere om hva de forbinder med begrepene IT- og informasjonssikkerhet, får man dessverre ofte unnvikende blikk og henvisning til at dette er noe IT-avdelingen håndterer. Sikkerhet kan grovt sett deles inn i to hovedkategorier: fysisk og logisk sikkerhet, hvor den logiske sikkerheten handler om å håndtere tilgang til systemer og informasjon -- ofte av forretningskritisk karakter. Det overordnede målet for logisk sikkerhet er i så måte å tilrettelegge for tiltak for å redusere risikobildet til hvaledelsen, ikke IT-avdelingen, oppfatter som et akseptabelt nivå. Hva må beskyttes? For hvem? Hvordan?

Logisk sikkerhet er beskyttelse av informasjon, systemer og tjenester mot kriminelle handlinger, uhell og manipulering, slik at sannsynligheten for og konsekvensen av hendelser minimeres. Logisk sikkerhet omfatter:

Konfidensialitet: sikkerhet for at bare autoriserte personer har tilgang til sensitiv informasjon, og at den ikke avsløres til uvedkommende

Integritet: sikkerhet for at informasjonen og informasjonsbehandlingen er fullstendig, nøyaktig og gyldig, og et resultat av autoriserte og kontrollerte aktiviteter

Tilgjengelighet: sikkerhet for at en tjeneste oppfyller bestemte krav til stabilitet, slik at aktuell informasjon er tilgjengelig ved behov

Både for virksomheten selv og for dens brukere er det viktig at sikkerheten i infrastruktur og datasystemer er på et nivå som sikrer tilfredsstillende konfidensialitet, integritet og tilgjengelighet av den informasjonen som behandles og lagres. Kontroller må dermed etableres for å begrense tilgangen til sensitive ressurser, sikre at data er komplette og nøyaktige, og sikre systemenes pålitelighet. Videre må den interne kontrollstrukturen sikre at informasjon som samles, behandles, brukes, formidles eller slettes, håndteres i tråd med relevante eksterne rammebetingelser (lover og forskrifter).

Tillit til elektroniske hjelpemidler og elektronisk kommunikasjon avhenger av at brukere besitter nødvendig kunnskap og kompetanse i å vurdere de tjenestene de forholder seg til. Det er en viktig oppgave for virksomheten å sørge for at interne og eksterne brukere føler trygghet når det gjelder håndtering av sensitiv informasjon. God sikkerhet er dessuten viktig for å oppnå tillit til bruk av elektroniske hjelpemidler og kommunikasjon, slik at man kan oppnå potensielle effektiviseringsgevinster relatert til ressursbruk. Sist, men ikke minst er god informasjonssikkerhet en forutsetning for god internkontroll og kvalitet i de berørte prosesser.

figur

Figur 1

HVILKE TRUSLER STÅR VI OVERFOR?

Figur 1 illustrerer at det internasjonalt har vært en eksponentiell vekst de siste årene i antall rapporterte sikkerhetshendelser, eller «hackerangrep», som det ofte refereres til. Begrepethacker ble opprinnelig benyttet for å beskrive en person som er dyktig til å programmere. I senere tid har begrepet i større grad blitt benyttet for å beskrive en person som gjennomfører inntrengningsforsøk mot IT-systemer, noe som av andre betegnes som encracker.

Grovt sett finnes det to typer hackere (eller crackere): de som lar metoden styre målet, og motsatt, de som lar målet styre metoden. Den første typen kjenner ofte til en, eller et par, metoder å ta seg inn i ett spesielt system på. Vedkommende kan disse teknikkene eller verktøyene godt og leter deretter, ofte ganske planløst, etter systemer som er tilgjengelige over Internett, som passer hans metode og kunnskaper. Når vedkommende finner et slikt system, angripes dette. Denne typen hackere har generelt begrensede kunnskaper om systemer og sikkerhet og har dermed spesialisert seg på et fåtall teknikker for å angripe et spesifikt system. De er ofte relativt unge, og det største problemet med dem er at «alle» er potensielle mål; alt fra privatpersoner med bredbåndtilknytning til de største selskaper er i faresonen. Disse hackerne gjør sjelden noen selektering av hvem som angripes -- her er det i første rekke antall vellykkede inntrengninger som teller.

Den andre hovedkategorien hackere, de som lar målet styre metoden, er som oftest mer erfarne og har meget god kompetanse om sikkerhet og ulike systemer. Målet kan for eksempel være å få tilgang til forretningshemmeligheter, kredittkortnummer eller annet ettertraktet materiale. Det kan også være å manipulere innhold på hjemmesider av politiske eller religiøse grunner. Denne typen hackere har ofte kunnskap nok til selv å utarbeide nye metoder for å angripe systemer -- og gjør også det etter som målene endres.

En målbevisst hacker av dette kaliber er ubehagelig å få imot seg. Heldigvis er antallet personer med denne formen for kompetanse og hensikt relativt begrenset, og den store majoriteten av dem som bedriver illegal hacking, faller i den første kategorien, altså de som lar metoden styre målet.

HVORDAN FORSVARE FORRETNINGSKRITISK INFORMASJON?

Det har gjennom de siste årene vist seg at vellykkede hackerangrep kan være kostbare og pinlige for dem som rammes. Det engelske selskapet PowerGen fikk føle dette da de sommeren 2001 måtte kontakte over 2000 kunder og be dem om å kansellere og erstatte kredittkortene sine. Grunnen var at en IT-konsulent gjennom uautorisert adgang til selskapets kundedatabase hadde fått tilgang til all kredittkortinformasjon for disse kundene. I tillegg til de 50 pundene selskapet betalte i kompensasjon til de kundene som ble berørt, hadde hendelsen renommémessige konsekvenser som er umulige å kvantifisere.

Vi har sett mange eksempler på lignende her i landet også. Kunder har fått oversikt over andres konti ved bruk av nettbankløsninger, og personlig e-post for et stort antall personer har vært tilgjengelig for alle. Det får være en liten trøst at det kan hende de beste -- selv det amerikanske justisdepartementet er blitt rammet. Imidlertid er det en del grunnleggende tiltak som alle organisasjoner burde få på plass, og noen av dem er så grunnleggende at det er utilgivelig å ignorere dem.

Første prioritet er å etablere det man kan kalle en sikkerhetskultur og gode holdninger. Mange bedrifter kommuniserer tomme ord og fagre løfter om sitt sikkerhetsarbeid, men for kreative angripere, både eksterne og interne, betyr dette lite. Enhver organisasjon som ønsker å oppnå tilfredsstillende preventive tiltak, må ha en klar og godt kommunisert sikkerhetspolicy som er tilstrekkelig forankret og kommunisert nedover i bedriften, helt ned til konkrete prosedyrer for hvordan dette skal utøves.

Mangelen av en slik sikkerhetskultur fører raskt til grunnleggende, hverdagslig likegyldighet til bedriftens forretningskritiske informasjon. I mange bedrifter kan de ansatte ringe IT-avdelingen og få en erstatning for passordet «de har glemt», uten å måtte bevise identitet og tilhørighet. Selv om dette er vanlig i praksis, er det bare én av mange muligheter som kan benyttes for å utnytte slappe holdninger og rutiner til informasjonssikkerhet.

Et annet svakt punkt oppstår i grensesnittet mellom selskapet og Internett. Interne nettverk og websider er avhengig av omfattende sikringstiltak for å motvirke at uautoriserte brukere får tilgang til forretningskritisk informasjon. Den vanligste formen for beskyttelse er implementering av en brannmur, som de fleste bedrifter kjøper og installerer som en «hyllevare».

Uansett hvor besnærende tanken på å kunne trekke tilfredsstillende sikkerhet ut av en boks måtte være, så kan ikke disse produktene bare installeres som de er, og overlates til å gjøre jobben. De behøver omhyggelig konfigurering for å tilpasses organisasjonens tekniske infrastruktur, protokoller og forretningsbehov. Og når de først er installert, så må de overvåkes, oppdateres og justeres i forhold til den siste utviklingen innenfor sikkerhetshull og lignende. Hvis brannmuren ikke får denne graden av oppmerksomhet, eller hvis organisasjonen har mangelfulle rutiner og systemer for overvåking, står man i fare for at man ikke avdekker at uønsket inntrengning til forretningskritisk eller sensitiv informasjon har skjedd, før man leser om det på førstesiden av VG.

Suksessfulle og langsiktige tiltak krever prioriteringer og bevisstgjøring i bedriftene, og i første rekke i bedriftenes ledelse. Drivkraften bak utviklingen i IT-sektoren har lenge vært funksjonalitet. Sikkerhet, som ofte handler om å begrense og kontrollere funksjonaliteten, har dermed naturlig nok fått lavere prioritet. Men i dag, hvor flere og flere uønskede hendelser rapporteres og avhengigheten av systemene øker, blir bevisstheten gradvis større, og et selskaps sikkerhetsnivå vurderes og granskes. Imidlertid belyses sjelden informasjonssikkerhet på et høyt nivå i bedriftsledelsen, og ikke sjelden er det klare avvik mellom bedriftsledelsens oppfatning av sikkerhetsnivået i bedriften og IT-avdelingens.

HVA SIER STATISTIKKEN?

De som predikerer behovet for god informasjonssikkerhet, blir ofte oppfattet som paranoide. Hvor reelle er egentlig de forespeilte truslene? En nylig avholdt undersøkelse foretatt av Computer Security Institute (CSI) og FBI 1 oppgir følgende resultater:

  • 90 prosent av bedriftene i undersøkelsen konstaterte sikkerhetsbrudd de siste tolv månedene. Undersøkelsen peker videre på at hele 60 prosent av disse hendelsene skjedde internt i organisasjonene (såkalt insiding).
  • 80 prosent erkjente økonomiske tap søm følge av sikkerhetsbrudd.
  • 44 prosent (223) av respondentene var villige til å kvantifisere de økonomiske tapene -- disse beløp seg til i underkant av 500 millioner dollar.
  • De største tapene hadde med tyveri av informasjon og økonomisk svindel å gjøre.

Respondentgruppen i denne årlige undersøkelsen representerer hovedsakelig store bedrifter, med størst konsentrasjon av teknologibedrifter og finansinstitusjoner.

Det finnes en rekke andre undersøkelser som gir tilsvarende konklusjoner. PricewaterhouseCoopers gjennomfører hvert annet år «Information Security Breaches Survey» 2, og resultatene fra 2002 viser følgende:

  • 80 prosent av bedriftene i undersøkelsen konstaterte sikkerhetsbrudd de siste tolv månedene. 17 prosent av disse hendelsene ble utført av autoriserte brukere.
  • 65 prosent opplevde utilgjengelige systemer etter sikkerhetsbrudd med påfølgende økonomiske tap.
  • I 33 prosent av tilfellene tok det mer enn åtte timer å få tilgang til systemene igjen.
  • De største tapene hadde med tyveri av informasjon og økonomisk svindel å gjøre.

Det som likevel kan overraske mest i denne undersøkelsen, er disse bedriftenes bruk av IT-sikkerhetsmekanismer. Eksempelvis rapporteres det at 69 prosent av respondentene har brannmurer, og at 21 prosent benytter innbruddsdeteksjonssystemer (IDS). 41 prosent av respondentene har etablert en gjennomarbeidet sikkerhetspolicy, mens bare 9 prosent har gjennomført sårbarhetsanalyser og risikovurderinger.

Dette impliserer at bedrifter generelt har altfor stor tillit til de tekniske løsningene rundt sikkerhet. For å skape et overgripende tilfredsstillende nivå på informasjonssikkerhet kreves det at arbeidet skjer kontinuerlig -- sikkerhet er en prosess, ikke et produkt. Mange bedrifter føler at bare brannmuren er installert, så er sikkerheten god. Virkeligheten er langt mer nyansert, og en brannmur er bare en bit i det puslespillet som utgjør det totale informasjonssikkerhetsbildet.

ET RAMMEVERK FOR BALANSERT INFORMASJONSSIKKERHET

Sikkerhet oppfattes ofte som produktivitetshemmende og kostnadsdrivende. Videre er det vanskelig å kvantifisere kostnadene ved åikke ha tilfredsstillende informasjonssikkerhet på plass før problemene inntreffer. Dette blir dermed også de mest fremtredende argumentene mot å bruke ressurser på informasjonssikkerhet. En nærliggende sammenligning kan være å kjøre bil uten forsikring; du sparer en god del pengerhvis lykken står deg bi i trafikken.

Et viktig element i arbeidet med informasjonssikkerhet er å finne enbalanse mellom for mye sikkerhet (begrenser kreativitet og produktivitet, dyre løsninger) og for lite sikkerhet (ubegrensede muligheter, stor sårbarhet, lave direkte kostnader).

Hvordan kan man så legge dette puslespillet på en tilfredsstillende måte? Satsing på informasjonssikkerhet og tillit krever en koordinert tilnærming. Dette bør ha sitt utgangspunkt i et helhetlig rammeverk for sikkerhetsarbeidet i organisasjonen. Et sentralt element her er å oppnå et balansert nivå på tiltak i forhold til den risiko og de rammebetingelser virksomheten står overfor. Figur 2 viser hvordan arbeidet kan struktureres for å sikre denne balansegangen.

figur

Figur 2

Modellen illustrerer hvordan det bør etableres en policy basert på de teknologiorienterte og prosessrelaterte utfordringer man er eksponert for, og hvordan dette må ses i sammenheng med det risikobildet man står overfor. En informasjonssikkerhetspolicy etablert med dette som bakgrunn kan dermed bidra til å sikre at det videre arbeidet med sikkerhet i forhold til prosesser og retningslinjer, rutiner og teknologi baseres på en helhetlig og balansert tankegang.

Følgende punkter kan representere alternative nyttårsforsetter for norske bedrifter:

  • Etabler en sikkerhetsbevisst kultur gjennom holdningsskapende arbeid.
  • Se på informasjonssikkerhet som et strategisk element og inkluder dette ved større forretningsmessige initiativer.
  • Kjenn verdien av selskapets systemer og data. Gjennomfør risiko- og sårbarhetsanalyser.
  • Etabler en sikkerhetspolicy balansert mot de forretningsmessige behovene og basert på anerkjente standarder (for eksempel ISO 17 799).
  • Planlegg, bygg og implementer sikkerhetsarkitektur i forretningskritiske systemer. Baser investeringer innenfor informasjonssikkerhet på kost/nytte-analyser.
  • Ha dedikerte ressurser til å koordinere og styre arbeidet med informasjonssikkerhet.
  • Implementer passende teknologiske sikkerhetsløsninger for å håndtere truslene i henhold til risikovurderingen.
  • Systemer og applikasjoner må justeres for kjente sikkerhetshull. Sikkerhetsfunksjonalitet i eksisterende maskin- og programvare bør benyttes effektivt og i henhold til etablert policy (operativsystem, brannmurer, rutere, ERP-systemer og andre applikasjoner).
  • Implementerte verktøy for beskyttelse må holdes oppdatert (for eksempel antivirusprogramvare).
  • Gjennomfør periodiske tester for å bekrefte reelt sikkerhetsnivå (for eksempel sikkerhetsrevisjoner og penetrasjonstester).

HVILKEN KONKLUSJON KAN MAN TREKKE?

I stor grad ser man at selskaper med et godt og hensiktsmessig nivå innenfor informasjonssikkerhet benytter de samme produkter og teknikker for å oppnå god sikkerhet som selskaper med alvorlige sikkerhetsmangler. Det innebærer at et fornuftig nivå på informasjonssikkerhet ikke bare tilskrives valg av produkt og tekniske løsninger. Gode tekniske løsninger for beskyttelse og overvåking (brannmurer og IDS-løsninger) er nødvendige, men på ingen måte tilstrekkelige. Analogien er klar: Det hjelper lite å låse døren med to låser når du drar på ferie, hvis kjøkkenvinduet står på vidt gap.

Forskjellen ligger dermed ikke i valg av teknikk, men snarere på hvordan den valgte teknikken implementeres og utnyttes. Selskaper som har oppnådd et tilfredsstillende nivå på informasjonssikkerhet, er som oftest de selskapene som har innsett de strategiske og organisatoriske forutsetningene for arbeidet med informasjonssikkerhet, i motsetning til en teknikkfokusert orientering av sikkerhetsarbeidet.

Derfor:

  • Det finnes ingen enkle, magiske knep eller produkter som kan løse alle sikkerhetsutfordringer og -problemer.
  • God og dårlig informasjonssikkerhet ser forvirrende like ut!
  • Grunnlaget for et effektivt og kontinuerlig sikkerhetsarbeid har lite å gjøre med tekniske løsninger.
  • Holdningen til informasjonssikkerhet fra bedriftens ledelse gjenspeiles raskt i den reelle sikkerheten i de forretningskritiske systemene. Informasjonssikkerhet er i stor grad et spørsmål om holdninger og prioriteringer.
  • Det vil alltid være mangler og sikkerhetshull i bedrifters systemer. God informasjonssikkerhet handler dermed om å kontrollere og balansere risiko, ikke om å eliminere risiko helt.
  • 1: http://www.gocsi.com/pdfs/fbi/FBI2002.pdf
  • 2: http://www.pwcglobal.com/Security

© Econas Informasjonsservice AS, Rosenkrantz' gate 22 Postboks 1869 Vika N-0124 OSLO
E-post: post@econa.no.  Telefon: 22 82 80 00.  Org. nr 937 747 187. ISSN 1500-0788.

RSS