Årsagerne til ukendte IT-fejltagelser

Patientsamtaler lægges ud på nettet, og udenlandske aktører fik adgang til vigtige styresystemer. Det er bare to af de seneste store sikkerhedsbrud. Bag mange af dem spiller, den menneskelige faktor en rolle.

Hvor mange forskellige IT-løsninger er koblet sammen i jeres virksomhed?

Spørgsmålet er egentlig umuligt at svare på, eftersom digitaliseringen har stået på så længe, at der er skabt et mylder af systemer og komponenter. Det er i dag normalt, at der findes flere hundrede forskellige, digitale systemer i en virksomhed, siger Jonas Söderström, effektstrategi hos inUse og forfatter til bogen ”Jävla skitsystem” (Fandens lortesystem).

Det her uoverskuelige mylder er mange gange årsag til sikkerhedsfejl og IT-svigt, mener han.

– Jeg har læst, at man faktisk mener, at årsagen til Boeing-flyenes styrt skyldes, at deres systemer var blevet for komplekse, så der var nogle detaljer, der forsvandt i ”cloud-forvirringen”. Selv når patientsamtaler, der ringes ind til 1177, bliver lækket, kan man sige, at det skyldes systemernes tekniske kompleksitet. Vi skaber en stadigt mere sårbar situation omkring os.

Behov for afviklere

Jonas Söderström mener derfor, at der burde findes en jobbeskrivelse ved siden af IT-udvikler – nemlig IT-afvikler.

– Det er helt naturligt, at der er meget fokus på udvikling – det er jo altid mere kedeligt at skulle tænke på at lægge ressourcer i afviklingen. Men når vi hele tiden lægger nye dele til uden at fjerne nogle af de gamle, vil der til sidst opstå sikkerhedsrisici, siger Jonas Söderström.

Han mener også, at der ligger en risiko i at have alt for høje sikkerhedsambitioner.

– Tænk på alle de konti og passwords, du skal holde styr på – både på arbejdet og i privatlivet. Når du pludselig skal oprette en ny konto for at gennemføre en enkelt lille ting, så er det oplagt at benytte sit standardpassword, som man er sikker på at kunne huske.

Til sidst vil det samme password komme til at gælde for en lang række, forskellige tjenester. Og pludselig er der en hacker, der falder over det i en eller anden ligegyldig tjeneste, man ikke har tilstrækkeligt styr på.

Viste password på tv

Men er løsningen så generelt at have avancerede passwords? Nja, det kan også give bagslag – det har blandt andet britiske togkontrollører , Super Bowls sikkerhedsafdeling og den franske TV5 Monde fundet ud af. Komplekse passwords skriver man på papirsedler, der havner på skærmen eller på væggen – og når nogen så kommer for at filme eller fotografere på arbejdspladsen, kan papirsedlen ende med at havne som baggrund i billedet…

– Det virker meget sjovt, men det kan være et meget alvorligt fejltrin. Det betyder jo, at der skabes muligheder for kriminalitet, siger Jonas Söderström.

Det er to vigtige lærdomme, man kan drage af de forskellige, store sikkerhedsfejltagelser, mener han.

– For det første; sikkerhed koster. Det nytter ikke noget at spare på sikkerheden. Det fik Karolinska universitetssygehus lov at mærke, da deres akut røntgenafdeling pludselig holdt op med af fungere – årsagen ser ud til at have været, at de stadig benyttede et gammelt operativsystem uden virusbeskyttelse . Og netop den ukendte kompleksitet betyder, at også omkostningerne til sikkerheden stiger – og de stiger endnu hurtigere.

Beredskap mod bøvl

Den anden lærdom er, at ”shit happens” – der findes ingen ufejlbarlige systemer, og det handler om at have et beredskab mod, at der opstår bøvl.

– Arbejdet er organiseret ud fra, at vi skal kunne arbejde med systemer, der aldrig går ned eller bliver hacket. Men det er naivt at tro, at det vil kunne fungere problemfrit i al evighed. For at kunne håndtere situationen så smidigt som muligt, handler det om i første omgang at fjerne al spildtid, altså tid hvor man ikke kan arbejde som sædvanligt.

– På mange arbejdspladser øver man sig nu på systemnedbrud og sikkerhedsforstyrrelser. Men hidtil har man gang på gang mærket, at nye hændelser er indtruffet, og at sikkerhedsforanstaltningerne hver gang har vist sig at være utilstrækkelige – og skulle forstærkes endnu mere, og igen endnu mere…

Sikkerhedsfejl vi husker (eller har lykkeligt fortrængt):

Lykkedes at slutte en internetforbindelse til…

Computer Sweden afslørede i februar 2019, at de havde fundet 2,7 millioner båndede samtaler til rådgivningstelefonen 1177 på en åben webserver helt uden password eller anden form for sikkerhed. Samtalerne var optaget helt tilbage i 2013, og det drejede sig om 170 000 timers følsom samtale, som hvem som helst har kunnet downloade og lytte til.

Ifølge direktøren for den ansvarlige virksomhed, Voice Integrate Nordic, har ”nogen under en opdatering tilsyneladende sluttet en internetforbindelse til harddisken. Så fik den en ip-adresse, og så var der fri adgang”.

Følsomme data lå ude i et par år

Cirka 80 IT-teknikere uden svensk sikkerhedsgodkendelse har haft adgang til Transportstyrelsens IT-system i 29 måneder. Det drejer sig om teknikere hos IBM’s søsterselskaber i Ungarn, Serbien, Romanien og Tjekkiet.

Det viste sig blandt andet, at følsomme oplysninger fra kørerkorts- og motorkøretøjsregistret havde ligget åbent fra maj 2015 til oktober 2017.

Ifølge Transportstyrelsens egen rapport ligger en del af forklaringen på sikkerhedsbruddet i opbygningen af Transportstyrelsens omfattende og komplekse IT-miljø, der er blevet udviklet på siden 1970’erne og efterfølgende bygget på ud fra nye lovkrav og ændrede behov.

Ville kunne forstyrre landets elforsyning

Det svenske kraftnet har givet udenlandske IT-teknikkere adgang til systemer som drift og overvågning af hovednette for el. Det er sket uden sikkerhedstest i henhold til svensk lov. Systemet er klassificeret som vigtigt for rigets sikkerhed. Via systemet ville teknikkerne i princippet kunne ødelægge Sveriges elforsyning.

Virusbeskyttelsen blev narret til at åbne inficerede filer

Et alvorligt sikkerhedshul i antivirusprogrammet Microsofts Malware Protection Engine gjorde det muligt for hackere at narre antivirusprogrammet til spontant at åbne inficerede filer. Hvilket altså gjorde virusbeskyttelsen til angriberen. Det blev man opmærksom på i foråret 2017.

Adgang til hele computerens hukommelse – med alle passwords

Sikkerhedsproblemet Meltdown skabte i begyndelsen af 2018 en hel del uro verden over. Dette betød, at hackere kunne købe plads i en cloud-tjeneste og på den måde benytte brugernes private oplysninger. De kunne få adgang til hele din computers hukommelse – og dermed dine passwords og krypteringsnøgler.

Det lykkedes at omgå password-beskyttelsen

Det var Intels processorer som blev udsat for Meltdown-problemet, og i samme ombæring viste det sig, at hvis Intels system til fjernstyring af computere ikke var installeret korrekt, så var det skræmmende nemt at komme udenom computerens password. I det mest grelle tilfælde lykkedes det at få fuld adgang til computeren på under et minut.

Start computeren fra en cd

Til sidst en gammel godbid fra 2003: En bug i Windows XP gjorde, at hvem som helst, der var i besiddelse af en cd med Windows 2000, kunne starte op fra denne disk og derigennem få fuld adgang til Windows XP-pakken uden overhovedet at skulle opgive password.

Bug’en kunne naturligvis kun udnyttes, hvis man havde fysisk adgang til computeren, hvilket betød, at sikkerhedsrisikoen var ret begrænset, men opdagelsen var alligevel en anelse pinlig…

Kilder:
www.grahamcluley.com/train-control-centre-passwords-revealed/
www.sbnation.com/lookit/2014/2/2/5371540/super-bowl-2014-security-wifi-password-tv
www.independent.co.uk/life-style/gadgets-and-tech/news/tv5monde-hack-staff-accidentally-show-passwords-in-report-about-huge-cyber-attack-10168475.html
www.svd.se/datavirus-slog-ut-sjukhusrontgen
computersweden.idg.se/2.2683/1.714787/inspelade-samtal-1177-vardguiden-oskyddade-internet
www.dn.se/ekonomi/ansvarig-for-vardguiden-haveriet-manskliga-faktorn/
www.voister.se/artikel/2018/01/rapporten-fran-transportstyrelsen-om-it-skandalen/
www.dn.se/nyheter/sverige/svenska-kraftnat-gav-utlandsk-personal-tillgang-till-styrsystem-for-elforsorjningen/
techworld.idg.se/2.2524/1.682173/microsoft-massiv-sakerhetsmiss
www.expressen.se/dinapengar/tech/global-sakerhetsmiss-i-datorer-kriminellas-ingang-till-dina-losenord/
www.nyteknik.se/digitalisering/sakerhetsmiss-gor-det-busenkelt-att-knacka-losenordet-pa-datorn-6893112
pcforalla.idg.se/2.1054/1.67427/pinsam-sakerhetsmiss-i-windows-xp

10 juni 2019

Hvad er fordelene ved et cloud-administreret netværk?

Cloud-administreret netværk giver masser af fordele sammenlignet med traditionelle løsninger. Har du udskiftet dit gamle netværk endnu?

23 maj 2019

Stort sygehus vælger kompakt ThinkCentre.

Masser af medicoteknisk udstyr og få kvadratmeter. Det er udfordringen på mange sygehuse. Også på Aarhus Universitetshospital, hvor man sparer plads på blandt andet operationsstuerne med kompakte og fleksible ThinkCentre-pc’er fra Lenovo.

20 maj 2019

Cyber crime koster mere end naturkatastrofer

Den voldsomt stigende cyberkriminalitet koster mennesker, organisationer og samfundet enorme summer hvert år. Undersøgelser viser, at nordiske virksomheder ofte mangler det grundlæggende forsvar mod angreb.

15 april 2019

Dustin designer IT-infrastruktur til sundhedssektoren

PatientSky er en åben platform, der gør livet lettere for behandlerne og deres kunder, takket være en automatiseret infrastruktur, som garanterer drift- og datasikkerhed.

13 marts 2019

GUIDE: Cloud-tjenester – sådan virker de

At benytte cloud-tjenester er ikke noget nyt. Men det er inden for de seneste år det for alvor har vokset sig stort og er blevet en løsning, som både privatpersoner og virksomheder har stor gavn af.

21 februar 2019

Nem og tryg levering af kvalitets-pc’er fra Lenovo

Dustin leverer kvalitet fra Lenovo gennem SKI-aftalen. Det er enkelt og bekvemt, og du får en leverandør, som vægter ansvarlighed.

18 februar 2019