Håll hårt i nätdokumentationen och sätt munkavle på leverantören
Nätskissen allt för vanlig i en presentation Vem har inte varit på en dragning där någon glatt presenterat sitt nätverk och gärna delat med sig av nätskisser. För den som önskar att begå ett intrång i presentatörens nätverk är det bara att buga. Nätskissen behöver inte vara nyckeln för ett lyckat intrång, men det förenklar intrånget oerhört.
En nätskiss med IP-adresser, telefonnummer till såväl analoga som digital abonnemang och fabrikat på nätkomponenterna är som att sätta sig vid ett väldukat julbord. Om Ni betraktar att en nätverksansluten fax är möjlig väg in i Ert nätverk, så förstår Ni vad små detaljer som kan vara avgörande. Med detta vill jag inte ha sagt att Ni skall upphöra med nätdokumentationen. Tvärtom. Däremot skall Ni hantera denna dokumentation som företagsintern och med en mycket begränsad målgrupp.
Leverantörerna betraktar inte Era nätlösningar med respekt
Bortsett från att nätskisser allt för ofta hamnar i orätta händer, så är den andra stora läckan rörande Era nätverk de leverantörer som Ni anlitar. Allt för få leverantörer betraktar Er nät-verkslöning med respekt. Två nyligen inträffade händelser från verkligheten;
I första exemplet så handlar det om den mycket sociala och trevliga konsulten som gärna berättar hur andra har löst en liknande problemställning som Ni ställts inför. Inget ont med det. Men, när den trevlige konsulten dessutom berättar vilka kunder som denne just hjälp med ett liknande problem, så har denne i samma ögonblick röjt de omnämnda kundernas nätverkslösning. Kanske delade den trevlige konsulten just ut den pusselbit som saknades för att pusslet skall bli komplett. Nästa gång är det Erat nät som exemplifieras.
I andra exemplet handlar det om den stora IT leverantören som via nya elektroniska verktyg i form av E-post skickar ut information till sina kunder. Leverantören gör som de alltid har gjort, skickar ett massutskick till de kunder som bör ta del av den aktuella informationen. I detta fall är det information rörande en brandväggstillverkares förändrade ägarstruktur. I ett traditionellt massutskick, så får varje kund sitt kuvert med sin adresslapp. Tack varje användandet av E-post, så räcker det med att skicka ett brev och enbart ange alla mottagare i adress-fältet. Praktiskt för leverantören. Men, väldigt naivt! Genom att studera denna information som distribuerats via E-post, så kunde man se alla kunder till den leverantören som har brandväggar av ett visst fabrikat. En samkörning med domännamnsdatabaserna var det enda som behövdes för att komplettera denna förteckning. En förteckning där Ni som är kund till leverantören troligen inte ens är medveten om att Ni hamnat i. En förteckning som kan vara intressant om det upptäcks en lucka i just den typen av brandvägg.
Bli inte paranoid
När man läser ovanstående, så får man känslan av allt skall skyddas. Datorer, information, relationer etc. Om man drar det till sin spets, så är det så. Men, sunt förnuft är det som saknats i det som exemplifierats ovan. Samtliga har hanterat tillgänglig information på ett naivt sätt.
Enkla råd
Hemligstämpla Er nätdokumentation och hantera dokumentationen därefter. Informera Era leverantörer att Ni förväntar Er att de hanterar den kännedom de har om Er nätverkslösning och Era nätverkskomponenter med största sekretess. Signera och kryptera känslig information som skickas med E-post. Använd sändlistor med förstånd, om inte, undvik dem.
Thomas Nilsson
