Så hvad kunne og burde Nets, IBM og Datatilsynet have gjort ?
Hvordan implementerer man i det hele taget fornuftig IT-sikkerhed ?
Som det allerførste skal man forstå at IT-sikkerhed, som alle andre former for sikkerhed, i bund og grund er en sociale ceremonier og ikke noget man køber nogle kasser af i et supermarked.
Hvad nytter det at bruge en masse penge på en avanceret lås som denne:
hvis medarbejderne der skal igennem døren lader nøglen side i, eller døren stå på klem ?
Men hvorfor skulle de dog finde på det ?
Det kunne f.eks være fordi at deres løn afhænger af hvor mange gange de kommer igennem døren på en arbejdsdag, frem for om de låser døren efter sig hver gang.
Medarbejdere er ret gode til at fornemme hvad ledelsen sætter pris på.
Stort set alle organisationer jeg nogensinde har haft fingrene i, fejler på dette punkt i større eller mindre grad.
(Jeg tror egentlig ikke at det er fysisk muligt for nogen organisation at gøre det perfekt: Hvem af os har aldrig sprunget en tandbørstning over, fordi vi var lidt sendt på den ? Hvem af os har aldrig glemt at låse en dør eller hvor nøglerne lå ?)
Specielt i spare- og nedskæringstider er sikkerheden det første der ryger og specielt er der mange fyringsrunder der foretages helt uden hensyntagen til om de fyrede medarbejdere bliver erstattet i de sikkerhedsceremonier de har roller i.
Selv IBM, der i “gamle dage” gjorde en stor meget ud af at ligge helt i top, har iflg. stort set alle jeg kender på indersiden nu store problemer på dette område.
Tillid er godt, men kontrol er naturligvis bedre og tekniske foranstaltninger har en stor rolle, fra dørlåse og pigtråd til dobbeltbogholderi og logfiler.
Men alle disse tekniske foranstaltninger har en eller anden hvis job de er.
Nogen skal forklare låsesmeden hvad der skal laves, nogen skal checke at der lige mange posteringer på begge sider og nogen skal holde øje med om der dukker noget uventet op i logfilerne.
Disse jobs handler alle om opmærksomhed, præcision og indgående erfaring med hvad der er normalt og hvad der ikke er det, for ofte er der relativt store dele af den sikkerhedsmæssige overflade som kun patruljeres af disse få kernemedarbejdere.
En smule OCD og lidt asbergers er ikke atypisk i disse job og absolut heller ikke nogen ulempe, men den vigtigste egenskab er loyalitet, for der er ingen bagstopper før det er alt for sent.
Der er simpelthen nogle mennesker man bare er nødt til at kunne stole på og længere er den ikke.
Selvfølgelig skal lønnen være i orden, men frihed under ansvar og gensidig tillid og forståelse er som regel de væsentligtste faktorer og de er rigtig dårligt understøttet i SAP/3′s personalemodul.
Blandt “ordninger” jeg har hørt om i tidens løb er: Flexibel arbejdstid, hjemmearbejde, deltagelse i konferencer, sponsorat af semi-professionel sportsudøvelse, lavere løn men 3 ugers ekstra vinterferie til skisport osv.
En vicevært jeg har kendt havde ofte sin kone med på arbejde så hun ikke skulle sidde alene derhjemme i kørestolen og kantinen sørgede vist nok for aftensmaden. Til gengæld kunne en dør dårligt nå at knirke to gange før han kom farende med smørekanden eller grafitblyanten.
Indenfor IT-hjørnet er et “legebudget” kommet på mode: En konto som medarbejderen kan bruge til “personlig efteruddannelse og videreudvikling” uden at skulle have chefens godkendelse hver gang. Nogle gange er der et aftalt beløb, nogen gange stoler man bare på hinanden.
Alt i alt forbavsende billigt når det kommer til stykket.
Men når der sker store forandringer i organisationen er den slags “ordninger” lette ofre og den loyalitet der var fundamentet i sikkerheden forsvinder ved tillidsbrud.
Den strejke/lock-out som Prosa og CSC udkæmpede for nogen tid siden har skadet IT-sikkerheden hos CSC langt mere end ledelsen nogensinde kan fatte, for rigtig mange loyale medarbejdere opdagede pludselig at loyaliteten kun gik den ene vej når det kom til stykket.
Men hvad gør vi hvis det vi arbejder med er for vigtigt til at vi kan forlade os på en enkelt kernemedarbejders evner, vilje og loyalitet ?
Alle mennesker kan blive ramt af busser, virkelighed eller sindsyge og det er en reel risiko den sikkerhedsansvarlige skal forholde sig til.
Der er ikke andet at gøre end at sætte flere mand på opgaven og den eneste måde det kan virke på, er hvis de er ligeværdige. (Hvor mange svende og lærlinge har ikke i tidens løb undskyldt sig med “jeg undrede mig over det, men Mester vidste jo altid hvad han gjorde” ?)
Sådanne parløb opstår ofte naturligt i den teknisk tunge ende af IT-driften:
“Gider du lige kigge engang inden jeg trykker RETURN og dummer mig ?”
“Kan du ikke lige læse et sanity-check inden jeg sender det her ?”
“Vi er enige om at der ikke bør være nogen records som … ?”
De ved udemærket godt at de ikke er perfekte og de har været i branchen lang tid nok til at de ikke gider blive vækket klokken nul-sort-om-natten for at blive mindet om det.
Derfor er “peer-review” en naturlig del af deres personlige kvalitetssikring, selvom de ikke ville drømme om at kalde det noget så akademisk og fancy.
Peer-review kan og bør også bruges som en sikkerhedsceremoni: Ingen parameterændring, ingen kode-patch, ingen forandring bør nogensinde gå i produktion, uden at mindst en anden person har kigget det ordentligt efter i sømmene.
Gjort rigtigt ville det have gjort det langt sværere og sandsynligvis helt umuligt at implementere den datalækage der fylder medierne.
Det ville også lidt mere end fordoble personaleudgiften i de fleste tilfælde.
Men det ville også mere end fordoble antallet af fejl der bliver fundet inden de ryger i drift, så de penge er hurtigt tjent ind.
Tænk bare på de nedbrud vi har set det seneste års tid på grund af konfigurationsfejl og anden fummelfingrethed: Man kan betale for ret mange IT-folk med hvad et otte timers nedbrud på Dankortet eller en halv dag på Rejsekortet koster.
Der er løsninger, de er omkostningseffektive på den lange bane og de virker, det ved vi af erfaring.
Så hvorfor gør vi det ikke bare ?
Det er ikke fordi vi ikke ved at der er sikkerhedsproblemer.
Når jeg har lavet security-audits indgår der altid et par interviews med nogle “almindelige” medarbejdere, for at få et indtryk af om alt det ledelsen tror og håber om sikkerhed har noget at gøre med hvad der foregår ude i organisationen.
De fleste “professionelle” sikkerhedsaudits gør dette ved at examinere medarbejderne i sikkerhedshåndbogen: “Hvis du ser nogen uden adgangskort, hvad gør du så ?” osv. osv. og som med ISO-9000 audits er det fuldstændig spild af tid og ingen bliver hverken bedre eller klogere af tidsspildet.
Jeg gør derimod det at jeg stikker hovedet ind, præsenterer mig, forklarer at jeg er ved at skrive en rapport om hvordan sikkerheden kan forbedres og at “en af dine kollegaer sagde du engang havde luftet nogle gode ideer som jeg burde høre ?”
Det er selvfølgelig en anelse manipulerende, men manner det er effektivt!
De fleste medarbejdere tænker tilsyneladende en del på sikkerheden og hvordan den burde være bedre.
Tankevækkende mange af dem har også en drejebog for et kup.
Bekymrende mange af kuppene ville kunne gennemføres, ofte uden at efterlade brugbare tekniske spor.
Insidere er altid den største trussel, for de ved hvad der foregår helt ned i den mindste detalje.
Og dermed er vi tilbage ved starten: Sikkerhed handler om mennesker.
Den nemmeste måde at forringe sikkerheden, er at give folk, særligt ledelsen, andre og vigtigere prioriteter.
Det ved vi godt i mange andre sammenhænge: Ingen normalt fungerende mennesker ville drømme om at udlicitere byretten, politiet eller forsvaret til et firma fra udlandet.
Men NemID ? Pyt!
Det er indlysende klart for enhver at der er sket et antal sikkerhedssvigt i den aktuelle sag og det bør vi blive klogere af.
Det bliver vi formodentlig ikke, for der er ingen forhåbninger om at vi nogen siden får en faktuel teknisk rappport der fortæller præcist hvad der skete og hvorfor det ikke blev opdaget.
(Jeg behøver ikke at minde om at hvis jeg havde fået min IT-havarikommission, havde denne sag automatisk ligget indenfor deres resort ?)
Da Edward Snowden var smuttet indførte NSA, i bedste lukke-ledet-efter-hesten-er-smuttet-stil “two-man-rules” for alt systemadministrationsarbejde.
Det bør gøres til mindstemålet for alle systemer der indeholder ikke-trivielle mængder personfølsomme oplysninger.
At få det lovfæstet bliver svært, alt taget i betragtning er det hurtigst at vælge nogle bedre politikere, startende med EU-parlamentet om nogle dage.
Men Datatilsynet behøver faktisk ikke at vente: De kan og bør udstede et straks-påbud til Nets om “two-man-rule”, med henvisning til den aktuelle sag og bevisbeskyttelse.
Det ville også være helt på sin plads hvis Datatilsynet tilbagekalder alle godkendelser Nets eller IBM nogensinde måtte have modtaget og beordrer en total-revision af alle deres programmer og alle deres systemer.
Når den slags kan stå på i 4 år, så er sikkerhed enten nedprioriteret eller implementeret helt forkert.
Nyheden om at Nets da de fik en henvendelse fra en fotograf om hvad der havde foregået “ikke kunne finde noget” burde i sig selv udløse en sådan total-revision.
Og guderne må vide hvor mange andre “mulvarpe” der har haft snablen nede i en af Danmarks mest interessante dataophobninger.
Kun en total-revision fra ende til anden kan genskabe en brugbar tillid til sikkerheden i disse systemer.
Sådan to påbud vil også sende et meget klart og umisforståeligt signal til alle andre datacentre i landet: Utilstrækkelig sikkerhed betaler sig ikke (mere).
Bakket op om en melding om fremtidige uanmeldte stikprøvekontroller, vil det gøre underværker for privatlivsbeskyttelsen i Danmark.
Og det vil vi blive meget gladere for i det lange løb, end NSAs overvågning.
phk
Leave a Reply