| Hjem
Om
Linker
|
|
|
|
Computersikkerhed
PROSA Bladet
Nr. 4, april 2000
Computersikkerhed - et spørgsmål om psykologi
Hvad har psykologi med computersikkerhed at gøre? Faktisk en hel del. Ifølge seniorforsker på Institut for Social Informatik David Stodolsky er psykologisk indsigt en forudsætning for at kunne forudse alle de faldgruber, som den teknologiske udvikling åbner op for
Af Pia Höegh-Nissen, journalist
Vidste du, at din virksomheds interne telefonbog indeholder følsomme oplysninger? At en gammel mødekalender kan udgøre en sikkerhedsrisiko? For slet ikke at tale om memos, disketter, bånd, breve osv.? Internettet har udvidet virksomhedens fysiske grænser - nogle virksomheder er sågar nærmest grænseløse. Det stiller nye krav til virksomhedernes sikkerhedsafdelinger, mener ph.d. i psykologi David Stodolsky. - Den tid er forbi, hvor computersikkerhed var en enkelt mands job. I dag er det op til hver enkelt bruger selv at varetage sikkerheden. Det betyder, at det er langt vanskeligere at sikre sig mod angreb udefra, fastslår den 55-årige amerikanske forsker, der med kortere afstikkere til Sverige og Norge har haft fast base i Danmark siden 1984. I dag er David Stodolsky ansat som seniorforsker på Institut for Social Informatik i København, hvor han bl.a. er optaget af, hvordan man kan bruge teknologien til at demokratisere virksomheder. Men også spørgsmålet om, hvordan man skaber den højst mulige grad af computersikkerhed, optager ham. - Tidligere var det først og fremmest et spørgsmål om at bygge en brandmur mellem virksomheden og Internettet og at sikre sig, at ingen kunne bryde gennem denne mur. - Men i 1990'erne begynder man at bygge tunneler (extranet, red.), så andre virksomheder kunne kigge ind i ens database, f.eks. underleverandører og distributører, der selv kan gå ind og tjekke, om de skal levere nye varer, eller om der er varer på lageret. Sikkerheden beror med andre ord ikke kun på ens egen brandmur, men i lige så høj grad på samarbejdspartnernes, fortæller David Stodolsky.
Den virtuelle udfordring
Seneste skud på stammen er virtuelle organisationer, der kun eksisterer i kraft af netværk og kommunikation. - Den type organisationer har ikke noget internt netværk, som man kan beskytte med en brandmur. Der er kun individer, der kommunikerer. Det betyder, at det er alles ansvar, at sikkerhedssystemet fungerer ordentligt, siger David Stodolsky. Det medfører nye problemer - også for traditionelle organisationer, som har hjemmearbejdspladser, eller som samarbejder med mange andre virksomheder, understreger han. - For det første skal man være sikker på, at folk er dem, de udgiver sig for. For det andet skal man sikre, at de kun får adgang til de nødvendige oplysninger. For det tredje opererer man med individer, som, man ikke kan være sikker på, er sikkerhedsspecialister - hvem kender ikke typen, der klistrer en gul sticker med sit password fast på computeren? - I den virtuelle organisation fungerer sikkerhedssystemet kun, hvis hver enkelt administrerer sin adgang ordentligt. Hvis bare en enkelt giver sekretæren sit password, kan der opstå problemer, understreger David Stodolsky.
Lettere at snyde sig vej
Når ansvaret for sikkerheden bliver lagt på den enkeltes skuldre, bliver det også meget lettere for uvedkommende at snyde sig vej gennem sikkerhedssystemet, mener han. - Hvad er lettest: At skyde vagten og løbe med pengeskabet eller at drikke bossen fuld og få ham til at røbe hemmeligheder? Det er det sidste selvfølgelig. På samme måde, hvis man ønsker at hacke sig ind i et fremmed system - så springer man selvfølgelig også over, hvor gærdet er lavest. - Folk bryder ikke nogen koder - det viser al erfaring. I stedet snyder de sig vej ind i systemerne ved hjælp af social engineering. De udgiver sig f.eks. for at være ansat i firmaet eller trofast kunde for på den måde at få lettere adgang til fortrolige oplysninger. Og de gør det i stort omfang - amerikanske undersøgelser viser, at antallet af den typer computerbedragerier vokser med 500 procent om året, og at tabene er store. Så det burde interessere folk. Men det gør det ikke - det skal åbenbart gøre ondt først, siger David Stodolsky. Han tilføjer, at det rent faktisk er såre let at snyde sig vej ind i edb-systemerne. - Hvordan kommer man med til en fest, hvis man ikke er inviteret? Man skal bare se ud, som om man lige har forladt festen for at trække frisk luft. - Det er nøjagtig det samme, man gør, hvis man vil tricke sig vej ind i et computersystem. Det gør man bedst ved at vide noget, som kun en insider ved, siger David Stodolsky.
Falsk tryghed
Det gælder med andre ord om at få fat i følsomme oplysninger. En meget benyttet metode er dumpster diving. - De færreste tænker over, at firmaets interne telefonbog indeholder følsomme oplysninger. Men her kan man bl.a. læse, hvem der laver hvad. Senere kan man så udgive sig for at være en, der skal have den service - det er der normalt ingen, der vil tjekke. Også memos, mødekalendere, disketter, breve og kassettebånd kan indeholde følsomme oplysninger, siger David Stodolsky. Han understreger, at intet sikkerhedssystem kan modstå social engineering. - Tværtimod. Hvis man har et vældig sikkert computersystem, slapper man af, og så er det lettere for ubudne gæster at snyde sig vej. Det er lige som, når man maler hvide striber på asfalten, for at folk ikke skal køre af vejen. Undersøgelser viser, at det faktisk øger antallet af uheld, fordi folk bare kører hurtigere, siger David Stodolsky. Set med hans øjne bør et sikkerhedssystem omfatte fire faktorer for at være effektivt: For det første selve netværket. For det andet den fysiske adgang til virksomheden, så fremmede ikke kan gå direkte ind fra gaden og sætte sig foran en computer eller endnu værre: Tag den under armen og gå. For det tredje selve organisationen, der som minimum bør have en skriftlig sikkerhedspolitik, så ingen er i tvivl om, hvad de skal gøre, når nogen bryder ind. Sidst, men ikke mindst skal man kunne stole på hver enkelt medarbejder.
Total sikkerhed - en illusion -
Medarbejderne er klart det mest sårbare sted. Ca. halvdelen af alle angreb kommer indefra. Der er ingen tvivl om, at skuffede medarbejdere udgør den største sikkerhedsrisiko, ikke konkurrerende virksomheder, siger David Stodolsky. Hvis man vil minimere risikoen for, at en utilfreds medarbejder falder virksomheden i ryggen, er det nødvendigt at betragte netværket som et middel til at udøve social kontrol, mener han. En kontrol, der f.eks. udøves, når man giver nogle medarbejdere password til følsomme oplysninger, andre ikke, eller når man lukker af for chat med personer uden for firmaet for at undgå, at følsomme oplysninger lækkes, og reducere den tid, medarbejderne spilder på non-produktivt arbejde. - Det giver mening i forhold til, at de fleste angreb kommer indefra. For dem, der bliver mest kontrolleret, er folk indenfor - de ansatte. - Men det betyder også, at man vil kunne se, hvordan man lettest reducerer sikkerhedsrisikoen. Man er ganske enkelt nødt til at se på, hvordan den sociale kontrol influerer på hver enkelt medarbejder - først da kan man begynde at se, hvor der er sikkerhedsrisici. Og beslutte, hvilke midler man skal tage i brug for at sikre maksimal sikkerhed, siger David Stodolsky. Sikkerheden kan dog aldrig blive total, understreger han. - Der vil altid være kompromiser. Man skal blot vide, hvilke kompromiser man laver, siger David Stodolsky.
|