En liten säkerhetskrönika jag skrev innan jul..

Hur är det med säkerheten i din itmiljö?

Om du fick chansen att bygga en helt ny itmiljö för ditt företag, skulle den då se ut som den gör idag?

Det här är en fråga som jag ibland ställer när jag håller seminarier om it-säkerhet och det är så slående att se massor av tekniker bara skaka på huvudet i takt och därmed konstatera att deras miljöer inte direkt är optimalt byggda ut ett säkerhetsperspektiv. Faktum är att när man visar dagens konkreta hot och vilka nya mekanismer som finns för att bygga säkerhet håller dom allra flesta med om att deras miljöer snarare är felbyggda än "inte direkt optimala"

Varför är det då så? Jo enligt min erfarenhet som säkerhetskonsult i många olika verksamheter så finns det några grundläggande problem som återkommer hos de flesta.

Den kanske allra största är att miljöerna har vuxit kraftigt över tid och det som en gång var en liten, homogen och enkel miljö idag är en komplex, hereogen miljö med begränsade möjligheter att managera samtliga komponenter. Dessutom är det ju svårt att göra större förändringar utan att påverka den dagliga driften.

En annan viktig aspekt är att hotbilden förändrats så radikalt de senaste åren så det som ansågs vara en helt korrekt säkerhetsdesign för några år kan vara direkt felaktig enligt dagens mått mätt.

Under senare tid har jag genom mina uppdrag sett en skrämmande trend där jag kommer till kunder som utsatts för olika typer av intrång. Det mest påtagliga är att kunden själv ofta tror att man "bara" har problem med virus eller dyligt och vi kallas in för att hjälpa till med hanteringen. När vi senare konstaterar att flertalet datorer fjärrstyrs av okända personer på internet och att man genom beroenden har fullständig kontroll överätverket och kan komma åt all data i kundens hela it-miljö brukar det ta fart. I vissa fall har vi kunnat konstatera att kundernas nät varit utsatta för intrång under flera år utan upptäckt.

Idag har skett en stor förändring mot tidigare gällande reaktioner från verksamhetens ledning och styrelse när det gäller den här typen av problem. Idag kommer frågan för det mesta rakt upp på ledningen bord och resurser frigörs för att införa de förändringar som krävs för att få en fungerande itsäkerhet.

För bara ett till två år sen däremot fanns det i det närmaste en obefintlig förståelse från ledning när teknikerna förklarade att intrång skett. Jag har till och med hört en ledningsperson med det yttersta ansvaret över verksamhetens IT uttala sig om att "dataintrång endast är sådant som sker på film, så gå tillbaka och jobba istället". I regel vidtogs inga eller endast mycket begränsade åtgärder och än idag så känner jag frustration över att ha tvingats lämna dessa verksamheter med en insikt om att it-relaterade skador och stölder sker fortlöpande utan att man implementerar motåtgärder.

Det finns också ett missförstånd om att it-säkerhet enbart handlar om produkter som antivirus, brandväggar och dyligt. Visst är det bra med både antivirus och brandväggar men dom kraftfullaste säkerhetshöjande åtgärderna handlar snarare om att ha ordning och struktur i sin itmiljö, vilket i sin tur ger möjligheter att underhålla, härda, segmentera, monitorera och managera den på ett bra sätt. Vidare så är det oerhört viktigt att användare av IT, såväl administratörer som vanliga it-användare vet hur dom skall nyttja och skydda systemen på ett korrekt sätt.

Sist men inte minst är det viktigt att ha en modern infrastruktur. IT som teknologi är fortfarande under kraftig utveckling och plattformarna som lanserades för bara några år saknar i regel de säkerhetsmekanismer som krävs idag. Det är i det närmaste omöjligt att basera en säker itmiljö på Windows 2000 eller NT4 idag trots att dom var alldeles utmärkta när dom lanserades.

Det är ett stort teknikskifte på gång och jag och mina kollegor jobbar intesivt med dom nya säkerhetsfunktionerna i Longhorn Server och Windows Vista. Plattformar som är designade för att möta deagens och morgondagens it-relaterade hot.

Med Longhorn Server och Windows Vista som plattformar kan man bygga centralt managerade miljöer som erbjuder kraftfulla säkerhetsfunktioner.

Dom har stöd för hårddiskkyptering så att en angripare inte kan få ut känslig information ur en stulen dator. Utökat stöd och funktion för PKI, certifikat och smarta kort så att vi kan slippa dåliga lösenord en gång för alla, skydda vår nätverkstrafik och vårt känsliga data. Nya funktioner som NAP (Network Access Proftection), tillsammans med förbättrad inbyggd brandvägg och IPSEC gör att vi kan få fullständig kontroll över vilka datorer som kan komma åt resurser på vårt nätverk. Avsevärt förbättrade mekanismer för loggning och accesskontroll gör att vi begransa åtkomst till system och data samtidigt som att vi kan se vem som gjort vad i systemen. Detta och mycker mer skapar nya förutsättningar för svensk it-säkerhet.

Så vi står inför både en möjlighet och en utmaning.

Möjligheten är att bygga en ny strukturerad och managerbar med nya plattformar som ger oss fantastiska möjligheter att få ordning på itsäkerhetsproblematiken både idag och imorgon.

Utmaningen är att börja planera i tid och att förstå att vi kanske måste migrera till denna nya miljö stegvis och vid sidan om den befintliga för att verkligen kunna skapa en modern struktur. Det kräver planering, kunskap engagemang och resurser.

Dom som klarar av det kommer inte bara att få en säkrare it-miljö. Det kommer även att sparas pengar och frigöras resurser eftersom en strukturerad och managerbar miljö är avsevärt enklare och billigare att drifta när den väl är på plats.

Dom som inte klarar det kommer i framtiden att drabbas av allt allvarligare it-relaterade insidenter och ökade kostnader på grund av en allt komplexare itmiljö.