Årsaken til økende IT-brister

Pasientsamtaler ble lagt ut på nett og utenlandske aktører fikk tilgang til viktige styresystemer. Dette er bare to av de store sikkerhetshull som har fått oppmerksomhet i det siste. Bak flere av dem finnes det – ja, nettopp, den menneskelige faktoren.

Hvor mange ulike IT-løsninger er koblet sammen i bedriften din?

Spørsmålet er antakelig umulig å svare på, siden digitaliseringen har pågått så lenge at det har blitt satt opp et mylder av systemer og komponenter. Det er i dag vanlig at det finnes flere hundre digitale systemer i en bedrift, sier Jonas Söderström, effektstrateg på inUse og forfatteren bak boken ”Jävla skitsystem”.

Dette uoversiktlige rotet er mange ganger årsaken til sikkerhetstabber og IT-havarier, mener han.

– Jeg har lest at det spekuleres i at årsaken til Boeing-krasjen var at systemet deres hadde blitt for komplekst, slik at en detalj kom i ”skyggen”. Også når pasientsamtalen til 1177 lekket, kan man si at det skyltes systemets tekniske kompleksitet. Vi bygger oss inn i en sårbar situasjon.

Behov for avviklere

Jonas Söderström anser derfor at det burde finnes en yrkesrolle ved siden av IT-utviklere, nemlig IT-avviklere.

– Det er naturlig at det finnes et sterkt fokus på utvikling – det er jo mye kjedeligere å måtte tenke på å avvikle ressurser. Men når vi hele tiden legger til nye deler, uten å fjerne gamle, vil det til slutt oppstå sikkerhetsrisikoer, sier Jonas Söderström.

Han anser også at det finnes en risiko med å ha alt for høye sikkerhetsambisjoner.

– Tenk så mange kontoer og passord du nå må holde orden på både i jobb og hverdag. Når du plutselig må sette opp en ny konto for å utrette et enkelt ærend, er det nærliggende å bruke standardpassordet som ligger lengst frem i minnet.

Til slutt kommer samme passord til å gjelde på en rekke ulike tjenester, og så er det plutselig en hacker som kommer over det på en triviell tjeneste der man ikke har hatt god nok kontroll.

Viste passord på TV

Er løsningen da å ha gjennomgående avanserte passord? Nja, det kan også slå tilbake – det har blant annet britiske togkontrollører , Super Bowls sikkerhetsavdeling og franske TV5 Monde blitt klar over. Kompliserte passord skrives opp på lapper som havner på skjermen eller veggen – og når så noen kommer for å filme eller fotografere plassen, kan lappen havne i bakgrunnen av bildet ...

– Det ser ganske komisk ut, men det kan være veldig alvorlige feilgrep. Det betyr jo at det skapes muligheter for kriminalitet, sier Jonas Söderström.

Det finnes to viktige lærdommer å ta med seg fra disse store sikkerhetstabbene, mener han.

– For det første: sikkerhet koster. Det er ingenting man kan spare inn på - det fikk Karolinska universitetssykehus føle da deres akuttrøntgen sluttet å fungere. Grunnen så ut til å være at de fortsatt brukte et gammelt operativsystem uten virusbeskyttelse . Og nettopp denne økte kompleksiteten gjør at også kostnadene for sikkerhet øker – og at de øker enda raskere.

Beredskap for rot

Den andre lærdommen er at ”feil skjer” – ingen systemer er feilfrie, og det gjelder at det finnes en beredskap når det blir rot.

– Arbeidet er organisert ut fra at vi skal jobbe med systemer som aldri går ned eller blir hacket. Men det er naivt å tro at det bare kommer til å fungere problemfritt i all evighet. For å kunne håndtere situasjoner så smidig som mulig, gjelder det først og fremst å ha rom for ”slack-tid”, altså når det ikke går an å jobbe som vanlig.

– Mange steder øver man nå på systemhavarier og sikkerhetsforstyrrelser. Men hittil har man gang på gang sett at uforutsette hendelser stadig inntreffer, og at sikkerhetstiltakene hver gang har vist seg å være utilstrekkelige – og må forsterkes enda mer, og mer igjen ...

Sikkerhetshavari vi husker (eller har klart å fortrenge):

Klarte å plugge inn en internettkabel ...

Computer Sweden avslørte i februar 2019 at de hadde funnet 2,7 millioner opptak av samtaler til rådgivningsnummeret 1177 på en åpen webserver, helt uten passord eller annen sikkerhet. Samtalene strakk seg tilbake til 2013, og det var snakk om 170 000 timer med sensitive samtaler som hvem som helst kunne laste ned eller høre på.

Ifølge lederen i det ansvarlige selskapet, Voice Intergrate Nordic, har ”noen sannsynligvis satt inn en internettkabel i harddisken under en oppdatering”. Den fikk da en ip-adresse, og så var det fritt frem.”

Sensitive opplysninger lå ute et par år

Cirka 80 IT-teknikere uten svensk sikkerhetsklarering hadde tilgang til Transportstyrelsens IT-systemer i 29 måneder. Det handler om teknikere hos IBMs søsterselskap i Ungarn, Serbia, Romania og Tsjekkia.

Det viste seg at blant annet sensitive opplysninger rundt førerkort- og vognkortregister hadde ligget åpent for uvedkommende fra mai 2015 til oktober 2017.

Ifølge Transportstyrelsens egne rapporter ligger en del av forklaringen til sikkerhetshavariet i utbyggingen av Transportstyrelsens omfattende og komplekse IT-miljø, som har blitt utviklet siden 1970-tallet og suksessivt påbygget utfra nye lover og endrede behov.

Skulle kunne forstyrre landets strømforsyning

Svenske kraftnett har gitt utenlandske IT-teknikere tilgang til systemer som styrer drift og overvåkning av strømnettet. Det har skjedd uten sikkerhetsklarering etter svensk lov. Systemet er klassifisert som av betydning for rikets sikkerhet. Gjennom systemet skulle teknikerne i praksis kunne forstyrre Sveriges strømforsyning.

Virusbeskyttelsen ble lurt til å åpne infiserte filer

Et alvorlig sikkerhetshull i antivirusprogrammet Microsoft Malware Protection Engine gjorde det mulig for hackere å lure antiviruset til spontant å åpne infiserte filer, noe som altså gjorde virusbeskyttelsen til angriperen. Dette ble oppdaget våren 2017.

Tilgang til hele datamaskinens minne – med alle passord

Sikkerhetsproblemet Meltdown skapte i begynnelsen av 2018 uro verden over – det gjorde at hackerne kunne kjøpe lagringsplass i en skytjeneste, og på den måten nå brukernes private informasjon. De kunne få tilgang til hele din datamaskins minne – og dermed også dine passord og krypteringsnøkler.

Kom forbi passordbeskyttelsen

Det var Intels prosessorer som var utsatt for Meltdown-problemet, og i samme runde viste det seg at hvis Intels system for å få fjernstyre datamaskinen ikke var korrekt innstilt, så var det skremmende enkelt å komme forbi datamaskinens passordbeskyttelse. I verste fall kunne man få full tilgang til datamaskinen på under et minutt.

Start datamaskinen fra en CD-plate

Til slutt en gammel ”klassiker” fra 2003: En bug i Windows XP gjorde at hvem som helst som hadde en CD-plate med Windows 2000 kunne velge å starte denne platen, og gjennom det få full tilgang til Windows XP-boksen, uten å bruke noen som helst passord.

Bug-en kunne visstnok bare benyttes dersom man hadde fysisk tilgang til en datamaskin, noe som innebar at sikkerhetsrisikoen var begrenset, men oppdagelsen må ha vært ganske pinlig ...

Kilde:
www.grahamcluley.com/train-control-centre-passwords-revealed/
www.sbnation.com/lookit/2014/2/2/5371540/super-bowl-2014-security-wifi-password-tv
www.independent.co.uk/life-style/gadgets-and-tech/news/tv5monde-hack-staff-accidentally-show-passwords-in-report-about-huge-cyber-attack-10168475.html
www.svd.se/datavirus-slog-ut-sjukhusrontgen
computersweden.idg.se/2.2683/1.714787/inspelade-samtal-1177-vardguiden-oskyddade-internet
www.dn.se/ekonomi/ansvarig-for-vardguiden-haveriet-manskliga-faktorn/
www.voister.se/artikel/2018/01/rapporten-fran-transportstyrelsen-om-it-skandalen/
www.dn.se/nyheter/sverige/svenska-kraftnat-gav-utlandsk-personal-tillgang-till-styrsystem-for-elforsorjningen/
techworld.idg.se/2.2524/1.682173/microsoft-massiv-sakerhetsmiss
www.expressen.se/dinapengar/tech/global-sakerhetsmiss-i-datorer-kriminellas-ingang-till-dina-losenord/
www.nyteknik.se/digitalisering/sakerhetsmiss-gor-det-busenkelt-att-knacka-losenordet-pa-datorn-6893112
pcforalla.idg.se/2.1054/1.67427/pinsam-sakerhetsmiss-i-windows-xp

10 juni 2019

CIO-rapport: IT på vei til å miste sin strategiske posisjon

IT-organisasjonen risikerer å miste sin betydning når en større del av IT-investeringene blir driftsfinansiert, ifølge en ny rapport.

15 august 2019

Sikre sensitive data i skyen

Den økte tjenestefiseringen i IT-bransjen betyr at mer og mer informasjonen blir håndtert i skytjenester, noe som krever høy bevissthet av bestillere innen virksomheter der man håndterer konfidensiell eller annen sensitiv informasjon.

12 juli 2019

Hvem er egentlig ansvarlig for IT-sikkerheten?

Sikkerhetseksperten Roar Thon deler sine innsikter rundt hvordan man legger en god strategi rundt IT-sikkerheten sin.

24 mai 2019

Hva er fordelene med et skyadministrert nettverk?

Skyadministrert nettverk innebærer en rekke fordeler sammenlignet med tradisjonelle løsninger. Har du skiftet ut ditt gamle nettverk enda?

23 mai 2019

Datakriminalitet koster mer enn naturkatastrofer

Den kraftig økende datakriminaliteten koster individer, organisasjoner og samfunnet enorme summer hvert år. Undersøkelser viser at nordiske bedrifter ofte mangler et grunnleggende forsvar mot disse angrepene.

15 april 2019

Dustin designer IT-infrastruktur for verden

PatientSky er en åpen plattform som gjør livet lettere for omsorgsgivere og deres kunder, takket være en robust infrastruktur som garanterer drift- og datasikkerhet.

13 mars 2019