Den danske befolkning, pressen og det meste af it-Danmark er blevet vækket fra en tornerosesøvn. Afsløringen af systematisk afvågning af kendte danskeres kreditkort oplysninger har sendt datasikkerhed til tops i medielandskabet og er blevet samtaleemne ved bordene i kantinen og i direktionen. Alle har en mening. Men kan vi danne os et realistisk billede af, hvor slemt det står til og er Se og Hør sagen et enkeltstående eksempel med en usædvanlig central person med udvidede systemrettigheder og en sjæl til salg for en slik?
IT-sikkerhedsstafetten
Flere tilfælde af hackerangreb på offentlige kernesystemer og Rigsrevisionens meget kritiske rapport i efteråret 2013 bør afføde en vigtig debat om IT-sikkerhed i Danmark.
Den totale digitalisering af al kommunikation mellem borgere, erhverv og offentlige instanser medfører mange udfordringer. Dem søger IT-stafetten på DenOffentlige.dk at adressere.
Læs alle indlæggene i IT-sikkerhedsstafetten her.
Indledningsvis en stor tak til Ivan Bjerre Damgård for at sende mig stafetten med spørgsmålet:
NETS har været under hård kritik efter Se og Hør-skandalen for mangelfuld intern sikkerhed. Og der er vel næppe heller tvivl om, at alt ikke har været håndteret som det skulle. Men er det her en enlig svale? Står det generelt skidt til med danske virksomheders IT-sikkerhed – og bliver det bedre eller værre af, at man outsourcer opgaver med at håndtere kritiske data?
Læs også: Borgernes datasikkerhed skal styrkes efter Se og Hør-sagen
Læs også: Professor: CPR-numre er rystende usikre
NETS- eller Se og Hør-sagen eller hvad vi nu skal kalde den, har bragt datasikkerhed ind i folks bevisthed på en helt ny måde og på et helt nyt niveau. Der skulle ikke en stribe Snowden-afsløringer om overvågning til at ruske danskerne op, men derimod en tidligere journalist på et kulørt dagblad og en bog, som umiddelbart efter at have ramt hylderne i landets boghandler, begyndte at skabe interesse i dagspressen. Og med god grund. En såkaldt tys-tys-kilde, ansat hos PBS, og dernæst hos IBM efter tilsvarende jobopgaver blev outsourcet til IBM, har i flere år tappet kreditkorttransaktioner fra mainframes og solgt disse videre til Se og Hør.
Det er den del af historien, vi kender så vidt, og mit spørgsmål i stafetten handler heldigvis også om andet end blot ét brodent kar. Men så alligevel ikke. En systemadministrator - som tys-tys -kilden - er nemlig en betroet medarbejder, og det centrale i denne sag drejer sig ikke om menige medarbejdere, som logger sig ind på systemer med fortrolige oplysninger men derimod om en person med udvidede rettigheder og med deciderede driftsopgaver på de systemer, som blev tappet for data. Alene det faktum gør historien interessant, ikke mindst fra en it-sikkerhedsmæssig vinkel, idet mange administratorer i sagens natur kan udføre ændringer, rette i logs og ja, har kontrol med serveren og under særlige omstændigheder endda en mainframe.
Man sætter da ikke ræven til at vogte høns, vel?
NETS-sagen er særlig kritisk fordi tys-tys-kilden efter alt at dømme har haft omfattende rettigheder på tværs af mange systemer.
I et driftsmiljø er det god praktis, at man laver en klar funktionsopdeling af opgaver, eksempelvis hvis en systemadministrator gennemfører ikke-jobrelaterede handlinger på et system. Man skal derfor, for at kunne dokumentere handlingen, flytte logs fra systemet og videre til et andet system uden for samme persons kontrol og ansvarsområde. I NETS sagen er dette et af de kerneproblemer, som har gjort det muligt for tys-tys-kilden at indsamle data i årevis uden at blive opdaget.
Et isoleret problem?
Som nævnt, er der elementer i denne sag, som gør den unik, men faktum er også, at outsourcing altid vil være et spørgsmål om en høj grad af tillid mellem kunden og leverandøren. En ting er de konditioner, der nedfældes i en kontrakt mellem kunden og leverandøren, og en anden er, hvordan driften i praksis er implementeret og forankret hos outsourcing-partneren. Mit generelle indtryk er, at it-chefer på forskellige niveauer, og ikke mindst it-sikkerhedscheferne i Danmark, har haft mere end almindelig svært ved at få budget til at gennemføre tiltag, der kan kontrollere, om leverandøren lever op til firmaets egen it-sikkerhedspolitik og forventninger, eller om det bliver et samarbejdet baseret på blind tillid. Det sidste er et scenarie, jeg desværre ser alt for tit, og som hyppigt fører til ’incidents’ af forskellige karakter, hvor efterfølgende efterforskning tilmed vanskeliggøres af manglende ordentlige sikkerhedsprocedurer, logning og overvågning.
Jeg har ikke spalteplads her til at understrege og dokumentere at samme udfordringer gælder i mange cloudløsninger, hvor ”tab af kontrol” og konstruktioner i cloudløsninger med tredjeparts management/drifts- og support-modeller stiller virksomheder over for tilsvarende udfordringer, som afdækket i Se og Hør-sagen.
Sikkerhed ind i budgettet
It-sikkerheden i Danmark kan afgjort blive markant bedre. Sager som denne, hvis man skal sige noget positivt, medvirker til at skabe opmærksomhed omkring vigtigheden af at forankre it-sikkerhedsløsninger i budgetterne, som et naturligt delelement, så der ikke tænkes isoleret på at køre bilen fra A til B, men også at den kommer frem intakt.
NETS-sagen er ikke en enlig svale, men er et konkret og brugbart eksempel på et område, som kræver langt mere opmærksomhed end, det hidtil har fået. At stille krav til en outsourcing-partner, både kontraktligt og ved samtidig at følge op med kontroller, er fundamentalt for, at historier som denne ikke skal gentage sig i fremtiden. Mange hændelser af samme karakter – dog måske en smule blødere i kanten - når aldrig vejen ud til medierne. Hændelserne isoleres for at sikre mod dårlig omtale og tab af omdømme. Det gør ikke vores udfordringer mindre, så med Se og Hør-skandalen i baghovedet kan vi måske gentænke vores lidt for blinde tillid til store såvel som små outsourcing-udbydere og samtidig stille krav til os selv om mere medansvar.
Når dagen er omme, er det virksomhedens data og integritet, som bringes i fare ved tab af kontrol. Det er vitalt, at it-sikkerhedsambitionen i virksomheden også omfatter et komplekst it-miljø med drifts- og servicepartnere, cloud-løsninger og eksterne konsulenter og forankres gennem transparente aftaler, løsninger og kontroller.
Stafetten går til William Sharp
Jeg vil gerne sende stafetten videre til William Sharp, der er Chief Information Security Officer i Arla Foods Amba med spørgsmålet:
Har man hos Arla gjort noget for at øge it-sikkerhedsawareness hos medarbejderne i virksomheden, og i givet fald, har der været fokus på en særlig målgruppe? Hvad mener Arla at kunne opnå igennem en øget it-sikkerhedsawareness strategi?