Årsagerne til ukendte IT-fejltagelser

Patientsamtaler lægges ud på nettet, og udenlandske aktører fik adgang til vigtige styresystemer. Det er bare to af de seneste store sikkerhedsbrud. Bag mange af dem spiller den menneskelige faktor en rolle.

Hvor mange forskellige IT-løsninger er koblet sammen i jeres virksomhed?

Spørgsmålet er egentlig umuligt at svare på, eftersom digitaliseringen har stået på så længe, at der er skabt et mylder af systemer og komponenter. Det er i dag normalt, at der findes flere hundrede forskellige, digitale systemer i en virksomhed, siger Jonas Söderström, effektstrategi hos inUse og forfatter til bogen ”Jävla skitsystem” (Fandens lortesystem).

Det her uoverskuelige mylder er mange gange årsag til sikkerhedsfejl og IT-svigt, mener han.

– Jeg har læst, at man faktisk mener, at årsagen til Boeing-flyenes styrt skyldes, at deres systemer var blevet for komplekse, så der var nogle detaljer, der forsvandt i ”cloud-forvirringen”. Selv når patientsamtaler, der ringes ind til 1177, bliver lækket, kan man sige, at det skyldes systemernes tekniske kompleksitet. Vi skaber en stadigt mere sårbar situation omkring os.

Behov for afviklere

Jonas Söderström mener derfor, at der burde findes en jobbeskrivelse ved siden af IT-udvikler – nemlig IT-afvikler.

– Det er helt naturligt, at der er meget fokus på udvikling – det er jo altid mere kedeligt at skulle tænke på at lægge ressourcer i afviklingen. Men når vi hele tiden lægger nye dele til uden at fjerne nogle af de gamle, vil der til sidst opstå sikkerhedsrisici, siger Jonas Söderström.

Han mener også, at der ligger en risiko i at have alt for høje sikkerhedsambitioner.

– Tænk på alle de konti og passwords, du skal holde styr på – både på arbejdet og i privatlivet. Når du pludselig skal oprette en ny konto for at gennemføre en enkelt lille ting, så er det oplagt at benytte sit standardpassword, som man er sikker på at kunne huske.

Til sidst vil det samme password komme til at gælde for en lang række forskellige tjenester. Og pludselig er der en hacker, der falder over det i en eller anden ligegyldig tjeneste, man ikke har tilstrækkeligt styr på.

Viste password på tv

Men er løsningen så generelt at have avancerede passwords? Nja, det kan også give bagslag – det har blandt andet britiske togkontrollører, Super Bowls sikkerhedsafdeling og den franske TV5 Monde fundet ud af. Komplekse passwords skriver man på papirsedler, der havner på skærmen eller på væggen – og når nogen så kommer for at filme eller fotografere på arbejdspladsen, kan papirsedlen ende med at havne som baggrund i billedet…

– Det virker meget sjovt, men det kan være et meget alvorligt fejltrin. Det betyder jo, at der skabes muligheder for kriminalitet, siger Jonas Söderström.

Det er to vigtige lærdomme, man kan drage af de forskellige store sikkerhedsfejltagelser, mener han.

– For det første; sikkerhed koster. Det nytter ikke noget at spare på sikkerheden. Det fik Karolinska universitetssygehus lov at mærke, da deres akut røntgenafdeling pludselig holdt op med af fungere – årsagen ser ud til at have været, at de stadig benyttede et gammelt operativsystem uden virusbeskyttelse. Og netop den ukendte kompleksitet betyder, at også omkostningerne til sikkerheden stiger – og de stiger endnu hurtigere.

Beredskap mod bøvl

Den anden lærdom er, at ”shit happens” – der findes ingen ufejlbarlige systemer, og det handler om at have et beredskab mod, at der opstår bøvl.

– Arbejdet er organiseret ud fra, at vi skal kunne arbejde med systemer, der aldrig går ned eller bliver hacket. Men det er naivt at tro, at det vil kunne fungere problemfrit i al evighed. For at kunne håndtere situationen så smidigt som muligt, handler det om i første omgang at fjerne al spildtid, altså tid hvor man ikke kan arbejde som sædvanligt.

– På mange arbejdspladser øver man sig nu på systemnedbrud og sikkerhedsforstyrrelser. Men hidtil har man gang på gang mærket, at nye hændelser er indtruffet, og at sikkerhedsforanstaltningerne hver gang har vist sig at være utilstrækkelige – og skulle forstærkes endnu mere, og igen endnu mere…

Sikkerhedsfejl vi husker (eller har lykkeligt fortrængt):

Lykkedes at slutte en internetforbindelse til…

Computer Sweden afslørede i februar 2019, at de havde fundet 2,7 millioner båndede samtaler til rådgivningstelefonen 1177 på en åben webserver helt uden password eller anden form for sikkerhed. Samtalerne var optaget helt tilbage i 2013, og det drejede sig om 170.000 timers følsom samtale, som hvem som helst har kunnet downloade og lytte til.

Ifølge direktøren for den ansvarlige virksomhed, Voice Integrate Nordic, har ”nogen under en opdatering tilsyneladende sluttet en internetforbindelse til harddisken. Så fik den en IP-adresse, og så var der fri adgang”.

Følsomme data lå ude i et par år

Cirka 80 IT-teknikere uden svensk sikkerhedsgodkendelse har haft adgang til Transportstyrelsens IT-system i 29 måneder. Det drejer sig om teknikere hos IBM’s søsterselskaber i Ungarn, Serbien, Rumænien og Tjekkiet.

Det viste sig blandt andet, at følsomme oplysninger fra kørekorts- og motorkøretøjsregistret havde ligget åbent fra maj 2015 til oktober 2017.

Ifølge Transportstyrelsens egen rapport ligger en del af forklaringen på sikkerhedsbruddet i opbygningen af Transportstyrelsens omfattende og komplekse IT-miljø, der er blevet udviklet på siden 1970’erne og efterfølgende bygget på ud fra nye lovkrav og ændrede behov.

Ville kunne forstyrre landets elforsyning

Det svenske kraftnet har givet udenlandske IT-teknikere adgang til systemer som drift og overvågning af hovednettet for el. Det er sket uden sikkerhedstest i henhold til svensk lov. Systemet er klassificeret som vigtigt for rigets sikkerhed. Via systemet ville teknikerne i princippet kunne ødelægge Sveriges elforsyning.

Virusbeskyttelsen blev narret til at åbne inficerede filer

Et alvorligt sikkerhedshul i antivirusprogrammet Microsofts Malware Protection Engine gjorde det muligt for hackere at narre antivirusprogrammet til spontant at åbne inficerede filer. Hvilket altså gjorde virusbeskyttelsen til angriberen. Det blev man opmærksom på i foråret 2017.

Adgang til hele computerens hukommelse – med alle passwords

Sikkerhedsproblemet Meltdown skabte i begyndelsen af 2018 en hel del uro verden over. Dette betød, at hackere kunne købe plads i en cloud-tjeneste og på den måde benytte brugernes private oplysninger. De kunne få adgang til hele din computers hukommelse – og dermed dine passwords og krypteringsnøgler.

Det lykkedes at omgå password-beskyttelsen

Det var Intels processorer som blev udsat for Meltdown-problemet, og i samme ombæring viste det sig, at hvis Intels system til fjernstyring af computere ikke var installeret korrekt, så var det skræmmende nemt at komme udenom computerens password. I det mest grelle tilfælde lykkedes det at få fuld adgang til computeren på under et minut.

Start computeren fra en cd

Til sidst en gammel godbid fra 2003: En bug i Windows XP gjorde, at hvem som helst, der var i besiddelse af en cd med Windows 2000, kunne starte op fra denne disk og derigennem få fuld adgang til Windows XP-pakken uden overhovedet at skulle opgive password.

Bug’en kunne naturligvis kun udnyttes, hvis man havde fysisk adgang til computeren, hvilket betød, at sikkerhedsrisikoen var ret begrænset, men opdagelsen var alligevel en anelse pinlig…

Kilder:
www.grahamcluley.com/train-control-centre-passwords-revealed/
www.sbnation.com/lookit/2014/2/2/5371540/super-bowl-2014-security-wifi-password-tv
www.independent.co.uk/life-style/gadgets-and-tech/news/tv5monde-hack-staff-accidentally-show-passwords-in-report-about-huge-cyber-attack-10168475.html
www.svd.se/datavirus-slog-ut-sjukhusrontgen
computersweden.idg.se/2.2683/1.714787/inspelade-samtal-1177-vardguiden-oskyddade-internet
www.dn.se/ekonomi/ansvarig-for-vardguiden-haveriet-manskliga-faktorn/
www.voister.se/artikel/2018/01/rapporten-fran-transportstyrelsen-om-it-skandalen/
www.dn.se/nyheter/sverige/svenska-kraftnat-gav-utlandsk-personal-tillgang-till-styrsystem-for-elforsorjningen/
techworld.idg.se/2.2524/1.682173/microsoft-massiv-sakerhetsmiss
www.expressen.se/dinapengar/tech/global-sakerhetsmiss-i-datorer-kriminellas-ingang-till-dina-losenord/
www.nyteknik.se/digitalisering/sakerhetsmiss-gor-det-busenkelt-att-knacka-losenordet-pa-datorn-6893112
pcforalla.idg.se/2.1054/1.67427/pinsam-sakerhetsmiss-i-windows-xp

10 juni 2019

CMP er i mål med tjenesteficering af IT-leverancen

Copenhagen Malmö Port AB (CMP) er siden starten af år 2001 vokset og blevet en af Skandinaviens største havneoperatører med virksomheder på begge sider af sundet. I dag har de servicificeret stort set hele virksomheden.

9 september 2019

Climat80-gruppen vokser med Dustin som IT-partner

Når virksomheder vokser og forandres hurtigt, er det uundgåeligt med et vist efterslæb inden for IT. Climat80-Gruppen har gennem sit samarbejde med Dustin fået de rette forudsætninger til at arbejde proaktivt og pushe virksomheden fremad.

6 september 2019

Hvordan arbejder Dustin med bæredygtig IT?

Dustins vision er at sætte standarden inden for effektiv og bæredygtig IT. Udover at vi har en løbende dialog med vores leverandører om, hvilke produkter og tjenester vi ønsker at sælge, sørger vi hele tiden for at guide vores kunder til mere bæredygtige valg.

29 august 2019

CIO-rapport: IT på vej til at miste strategisk position

IT-afdelingen risikerer at miste sin relevans, når en stadig større del af IT-investeringerne bliver forretningsfinansierede, fremgår det af ny rapport.

15 august 2019

Sikring af følsom data i skyen

Den stigende servicificationen i IT-branchen betyder, at stadig mere information håndteres i cloud-tjenester, noget der kræver høj ansvarsbevidsthed fra klienter hos virksomheder, hvor man håndterer sikkerhedsregulerede eller andre følsomme informationer.

12 juli 2019

Hvad er fordelene ved et cloud-administreret netværk?

Cloud-administreret netværk giver masser af fordele sammenlignet med traditionelle løsninger. Har du udskiftet dit gamle netværk endnu?

23 maj 2019