Det kan vi lære af Se og Hør-skandalen

May 5, 2014 by admin · Leave a comment



Den betroede medarbejder, der misbruger sin position til at lække fortrolige data.

Det er et scenarie, der kan få det til at løbe koldt ned ad ryggen på enhver sikkerhedsansvarlig.

Hvis skriverierne i medierne holder stik, har en ansat hos IBM misbrugt sin adgang til systemerne hos Nets til at lække oplysninger om, hvor kendte mennesker brugte deres betalingskort.

Oplysningerne landede hos ugebladet Se og Hør, der benyttede dem til at finde frem til kendte og kongelige, der ikke ønskede mediernes opmærksomhed.

Med oplysningerne kunne Se og Hør følge dem både herhjemme og i udlandet.

Jeg har ikke andet kendskab til sagen, end hvad der har været skrevet om den i medierne.

Sagen udvikler sig løbende, utvivlsomt også efter den 1. maj, hvor jeg skrev denne klumme.

Formålet med min klumme er ikke at fortælle om selve sagen, men med afsæt i skandalen at besvare spørgsmålet:

Hvordan kan it-sikkerhedsansvarlige undgå, at deres organisation kommer i en lignende situation?

Rollebaseret adgangskontrol
Et oplagt sted at sætte ind er brugerrettigheder.

Se og Hør-sagen bør få enhver organisation, der behandler fortrolige data, til at tjekke adgangstilladelserne:

Hvem har adgang til hvilke data? Hvad må de gøre med dem? Hvordan bliver adgangen logget? Er der personsammenfald mellem dem, der har adgang, og dem, der tjekker logfilerne?

En god tilgang her er den såkaldte “separation of duties.”

Det er et princip, der kræver, at flere personer skal indgå, når bestemte opgaver skal løses.

For eksempel skal en chef skrive under på et udgiftsbilag, før bogholderiet refunderer udgiften til medarbejderen.

I it-sammenhæng etableres “separation of duties” ofte ved hjælp af rollebaseret adgangskontrol.

Det vil sige, at brugere af it-systemet kan tildeles en eller flere roller, som de udfører.

Rollen bestemmer, hvad medarbejderen har adgang til.

Kombiner gerne rollebaseret kontrol med princippet om at give adgang til det nødvendige – og absolut ikke mere.

Systemet virker dog kun, hvis folk rent faktisk er logget ind som sig selv.

Samme svaghed har logningssystemer også: Hvis en bruger logger ind med andens brugernavn og password, er det sværere at opdage misbrug.

Så skal systemerne til at undersøge, om brugeren har logget ind fra en anden computer end normalt, på et usædvanligt tidspunkt eller andet, der virker mistænkeligt.

Her kan biometrisk autentifikation være nyttig:

Når brugeren har logget ind med sit fingeraftryk, er det sandsynligt, at det er den rigtige bruger.


Artiklen fortsætter på næste side…


Posted in computer.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>