De vindar som blåser över våra IT-miljöer bidrar till att såväl system som information sprids allt mer. Allt från att alla komponenter finns i egen regi till att all IT är utkontrakterad i en eller annan form. Det stora flertalet befinner sig någonstans mitt i mellan. Ytterst få har den fulla bilden av vilka sårbarheter och skyddsmekanismer den utkontrakterade miljön egentligen har.
Vis av erfarenhet så har alltför många av de aktörer som specialiserat sig på drift enbart fokuserat på fysisk säkerhet. Stolt visar aktörerna upp sina bergrum, sina elverk och sin extremt förfinade släckutrustning. Imponerande och många gånger ett självklart krav från den som väljer att placera delar av sin IT-miljö hos aktören. Beställaren tar ofta för givet att en aktör som satsat på fysisk säkerhet gjort minst lika stora satsningar på nätsäkerhet och datasäkerhet. Faktum är att när det kommer till “sladden” som gör IT-miljön tillgänglig så bleknar på tok för många aktörer. Få har några andra skyddsåtgärder utöver en klassisk brandvägg som glatt accepterar trafik för några utvalda protokoll.
Granskar man designen hos aktörerna så kan man se att det äntligen börjar infinna sig ett zon-tänk, där kanske presentation befinner sig i en zon, logik i en annan och information i en tredje vilket är klart försvårande för en illvillig. Tyvärr är det sämre ställt med selekteringen av vad som infinner sig i varje zon. Betänkt att utrustningen sällan är härdad, att utrustning från flera kunder delar zoner och att flera kunder delar hörnstenar som webbserver, databasserver, katalogtjänst, namnserver, autentiseringslösning och hypervisor. Detta sammantaget gör det relativt fritt fram att hoppa mellan system för att den illvillige skall nå sitt slutmål.
I såväl teorin som praktiken kan den illvillige lätt utnyttja det faktum att IT-säkerhetsarbetet är eftersatt. Lek med tanken att även den illvillige utkontrakterar sin webblösning, vilken från start innehåller färdiga säkerhetsbrister att utnyttja vilket leder till att övriga kunders system är inom en armlängds avstånd. Med vetskapen om att övervakning, i bästa fall, monitorerar systemresurser och nätresurser med fokus på att upprätthålla den avtalade tillgängligheten på 99,9999987% så har den illvillige all tid i världen att agera. Behöver jag poängtera att hos flera aktörer är ytterligare övervakning en tilläggsoption.
Ovanstående scenariot är inte extremt på något sätt. Den som tar kontroll över miljön kanske inte behöver tillhöra det övre skiktet kunskapsmässigt då det redan finns färdiga verktyg för ändamålet. De utnyttjar istället det faktum att beställaren och utföraren inte är det minsta samspelt. Utföraren har givetvis löst det hela avtalsmässigt på bästa sätt, för sin verksamhet.
Avståndet mellan bergrummet och den illvillige virtuella grannen är så fruktansvärt långt att det känns emellanåt som en evighet att komma ikapp. Hur varma vindarna än känns så har du som beställare ofta det yttersta ansvaret och du tvingas ställa även de mest självklara frågor för att vara säker på att den miljö du utkontrakterat är fortsatt i tryggt förvar. Bli inte förvånad över svaren.
Thomas Nilsson