I föregående medlemsbladet beskrev jag de sårbarheter som upptäckts i Microsofts operativsystem under juli. Flertalet av sårbarheterna var allvarliga. Inte oväntat så resulterade detta i en än mer händelserik augusti. Där dessa sårbarheter utnyttjades i elak kod.
I kölvattnet av det inträffade, som inte var någon överraskning utan högst sannolikt, så blommar en debatt upp vems fel de är att något sådant kan inträffa. Om vi bortser från kvalitén på operativsystemet så har Microsoft i alla fall varnat för de upptäckta sårbarheterna och gjort en rad rättningar. På samma sätt som skulle ha skett om sårbarheten upptäckts i exempelvis Solaris, Linux, FreeBSD eller IOS.
Rimligen är det den IT-ansvarige som ansvarar för att de system som exponeras mot Internet har fullgoda skydd. Dels genom att använda teknik i form av brandväggar, VPN, antivirus, IDS etc, dels genom att ha goda rutiner för att uppdatera operativsystem och applikationer samt rutiner för att återkommande testa exponerade system och tillgodose att nödvändig kompetens finns i organisationen för att hantera mixen av exponerade system och skydd. Kort sagt en samverkan mellan teknik och människa.
Vis av erfarenhet finns det mängder med nätsäkerhetsskydd i de flesta organisationer som exponerar system mot Internet. Dessvärre är lösningarna allt för sällan i harmoni. Om du använder antiviruslösningar, så handlar det inte bara om att installera antivirusprogram på klienterna. De skall installeras i servrar och gateways också. Alla utposter mot osäkra nät måste förses med brandväggsfunktionalitet. Att placera WLAN-utrustning på det interna nätet utan någon form av brandvägg mellan WLAN och det interna nätet är vågat, likaså att placera decentraliserade arbetplatser direkt på Internet utan en personlig brandvägg. Listan över hur man bygger en nätsäkerhetslösning i harmoni är givetvis mycket längre. Till detta skall en till dimension adderas, nämligen tiden. En nätsäkerteslösning är inte statisk, det som var tryggt för fem år sedan behöver inte vara tryggt idag. Omvärlden förändras i rask takt och med de hotbilderna.
En nätsäkerhetslösning är ett levande instrument och en självklar del av en IT-infrastrukturen. Yttersta ansvaret för att de råder harmoni även här kan inte överlåtas på en tillverkare. De bygger avancerade verktyg som det är upp till oss brukare att använda rätt. Fel använt är alla verktyg värdelösa eller till och med farliga. Detta gäller oavsett om det är IT eller ej.
© 2003 Thomas Nilsson, Certezza AB
Thomas Nilsson
