Analysföretagen är eniga, det investeras i it-säkerhet som aldrig förr och investeringarna väntas fortsätta kommande år. Inte oväntat är it-säkerhet ett kraftigt tillväxtområde och det är en av de branscher som förutspås växa allra snabbast. Givetvis är internet den enskilt starkaste drivkraften för den ökade fokuseringen på it-säkerhet samtidigt kan vi konstatera att respekten för internet fortsätter att avta och att allt för många lösningar är designade för att möta 90-talets hot snarare än dagens hot.
De investeringar som görs riktas snarare mot att realisera nya tillämpningar än att höja nivån på befintliga tillämpningar och befintliga säkerhetslösningar. Listan över exempel där mer finns att önska kan göras lång. Här kommer ett axplock utan inbördes ordning och utan att göra gällande att detta är de mest häpnadsväckande exemplen. Dessa är illa nog.
VPN-lösningar utan kryptering och stark identifiering. Ringa accesskontroll till egen infrastruktur. Avsaknad av tillämpningsbara policys och riktlinjer. Känsliga system skyddas enbart med användarid/lösenord. Obefintlig kontroll över vad som överförs till och från internet. Undermåliga loggrutiner där såväl historik som knytning till individer är obefintlig. Känslig infrastruktur sammankopplas med okänd infrastruktur. Generös tilldelning av admin-rättigheter. Avsaknad av tidssynkronisering. Spam-lösningar i strid med gällande RFC’s. Ringa förekomster av redundans för kritiska tillämpningar. Intrång som inte utreds. Illa fungerande DNS. IP-adress som enda accesskontroll av känsliga system. Horder av it-säkerhetsprodukter i disharmoni som istället för att samverka, motverkar varandra. Undermåliga rutiner för patchningar och uppdateringar. Överföring av krypteringsnycklar i klartext. Standard lösenord på nätverkskomponenter. Bruk av tvivelaktiga svartlistor. Projekt utan naturliga inslag av it-säkerhet. Känslig information i klartext på bärbar utrustning. Trådlösa nätverkskort aktiverade i klientdatorer anslutna till känslig infrastruktur. Illa genomförda riskanalyser. Sammanblandning av känsliga och mindre känsliga system.
Det är dags att dra upp huvudet ur sanden och konstatera att det nu krävs riktade insatser för att lyfta nivån på säkerhetslösningarna till en acceptabel nivå. Detta är inte bara ett tekniskt och strukturellt problem utan det krävs också stora doser kompetenshöjning. Både i det breda perspektivet, där användarna lär sig grundläggande it-säkerhet ur deras horisont, och i det djupa perspektivet där tekniker och specialister ges tid och möjlighet att lyfta sig till dagens nivå. Det hela måste sedan mynna ut i en levande förbättringsprocess. Det är svårt att se direkt ekonomisk avkastning på investeringen, men det skall ställas mot det omvända. Vad är kostnaden om investeringen uteblir?
© 2006 Thomas Nilsson, Certezza AB
Thomas Nilsson
