Informationssäkerhet: En viktig funktion i företaget

av Thomas Finne Forum 1994-08, sida 12-14, 26.05.1994

Taggar: Teman: säkerhet

INFORMATIONSSÄKERHET:

EN VIKTIG FUNKTION I FÖRETAGE ett företag fattas det dagligen många och ofta mycket viktiga beslut. Information har en väsentlig funktion vid fattandet av beslut, därför får inte information vara manipulerad eller på annat sätt oanvändbar. Ett beslut som fattas med icke tillförlitlig information som underlag är högst antagligen felaktigt och för ett företag kan detta medföra negativa konsekvenser. Informationssäkerhetsfrågor har alltså en viktig position i samband med beslutsfattande. Något som också talar för betydelsen av informationssäkerhet är att företag satsar stora summor i den mjuk- och hårdvara som används vid behandlandet av information. Att skydda dessa investeringar är också en informationssäkerhetsfråga. Hårdvara, d.v.s datorer och deras kringutrustning har ett beaktansvärt ekonomiskt värde och kan omvandlas till reda pengar. Enligt beräkningar finns det över 130 miljoner datorer i hela världen och att kunna kontrollera vilka av dem som är stöldgods är mycket svårt. Antalet inbrott och stölder som har kommit till polisens kännedom har under de senaste tio åren stadigt ökat i Finland. Någotsom försvårar läget är att många företag i inbesparingssyfte inte har kunnat investera tillräckligt iinbrottsskydd. Visserligen har företag I allmänhet försäkringar som kan täcka de fysiska skador ett inbrott medför men desto värre är det med den kanske mycket värdefulla information som företaget kan förlora vid inbrottet.

Säkerhet sekundärfråga

Kontorsdatoriseringen har ökat mycket snabbt och de personer som har förverkligat den utvecklingen har ofta, speciellt i mindre företag. haft datoransvaret som en extra uppgift utöver sina “verkliga” uppgifter. Därför har företagen i allmänhet varit tvingade att prioritera sådant som har med den dagliga affärsdriften att göra. Det har elt enkelt inte funnits tillräckligt med tid och resurser för datasäkerhetsfrågor. Speciellt problematiskt blir det då den person som förverkligade kontorsdatoriseringen lämnar företaget eller omplaceras. Då kan kunskapen i företaget både på informationsbehandling och datasäkerhetsrågor kraftigt minska och det tar alltid tid ör en ersättare att sätta sig in i dessa komplicerade frågor.

Information som förut var arkiverad i ett stort antal pärmar och därmed svårtillgängig. kan i dag finnas lagrad på en enda disett. Den kan ligga på ett skrivbord och vara ätt att tappa bort, skadas, föra bort eller att olovligt kopiera. Också de kontakter som

Artikeln har skrivits av ekon. mag. Thomas Finne vid Institute for Advanced Management Systems RBesearcl (IAMSR)/Åbo Akademi 12

Thomas Finne

Amnet informationssäkerhet är mycket omfattande och avsikten med artikeln är att ge en översikt. Först behandlas några aspekter som talar för betydelsen av informationssökerhet. Sedan behandlas informationssäkerhetens delområden och i samband med det hur man kan förbättra — ofta med förhållandevis små åtgärder — ett företags informationssäkerhet. Tyngdpunkten ligger på datasäkerhetsfrågor a praktisk natur.

företag har via modem tillt.ex. kunder utgör en säkerhetsrisk.

Hackers och crackers

Det finns personer som har som hobby att via den externa datakommunikationen tränga sig in i olika företags och offentliga institutioners datorer. Dessa s.k. hackers är i allmänhet endast nyfikna på vad företaget har för information och mjukvara, men det finns också s.k. crackers som kopierar, förändrar eller förstör det de får tillgång till. Informationssäkerhet aktualiseras av många fler faktorer än de ovan uppräknade. Ett exempel är vattenläckagen som blir allt allmännare, Ett vattenläckage i ett datorrum kan ha mycket obehagliga följder och att man har koncentrerat företagets verksamhet till en ny byggnad innebär inte automatiskt att företaget är skyddat för vattenläckage. Tvärtom har deti massmedia framkommit att redan ett par år gamla byggnader kan ha vattenledningssystem som är i dåligt skick. Också naturen kan inverka på ett företags informationssäkerhet, t.ex. översvämningar eller ett åsknedslag som via eldistribufionsnätet skadar ett företags oskyddade datorer. Den mänskliga faktorn spelar naturligtvis in också i informationssäkerhetsfrågor. Stora mängder information rör sig i företag och ett misstag kan leda till en skada på informationssäkerheten. Genom förebyggande åtgärder, t.ex. direktiv angående säkerhetskopiering. kan man kraftigt minska på den mänskliga riskfaktorn.

Säkerhetens anatomi

Informationssäkerhet är ett mycket omfattande område och figuren i nästa spalt åskådliggör detta. Den svartfärgade kvadraten symboliserar företaget som existerar isin omgivning . De små cirklarna representerar delområden som tillsammans utgör ett företags informationssäkerhet. Det finn tiotals, rentav hundratals delområden helt beroende på hur man definierar och averänsar dem. Tillsammans utgör delområdena den bas som hela företagets informationssäkerhet vilar på, d.v.s. den stora cirkeln.

Genom att cirklarna (underområdena) delvis befinner sig utanför kvadraten kan man se att informationssäkerheten i ett företag är under påverkan från omvärlden. Låt oss anta att det uppstår en brand i ett företag vars informationssäkerhet är bristfällig och speciellt delområdet brandsäkerhet är otillräckligt skött. Informationssäkerheten tar skada bl.a. genom att en stor del av företagets datorer, disketter och affärshandlingar skadas eller förstörs.

Att företagets informationssäkerhet har varit svag påverkar också omvärlden i och med att företaget i branden förlorat t.ex. affärsavtal. reskontra, kundregister och dyikt. Därmed har ett bristfälligt skött delområde påverkat hela företagets informationssäkerhet, affärsverksamhet och förhållande till omvärlden.

J

NH (ED) (E pp

ZmOrs><zo

Mycket grovt taget kan man indela informationssäkerhetens alla delområden i tre huvudgrupper. De är fysisk säkerhet. datasäkerhet och personlig säkerhet. Varje område är omfattande, och de går delvis in på varandra, men bildar tillsammans ett företags informationssäkerhet. Nedan ges en översikt av några informationssäkerhetsfrågor som är aktuella inom de tre huvudgrupperna.

Fysisk säkerhet

Frågor kring fysisk säkerhet kretsar bl.a. kring skydd mot inbrott, brandskydd, skydd mot vattenskador och skydd mot problem vid eldistribution.

Som redan konstaterats har utvecklingen gått mot ökad brottslighet i Finland. Man kan hindra en tjuv från att ta siginiföretagsbyggnaden bla. genom att installera ordentliga lås, inbrottsalarm, bevakningskameror, nyckelkort, pansarglas på fönster och dörrar samt anlita bevakningstjänst.

De flesta av de uppräknade åtgärderna är mycket dyra att genomföra och man måste i företaget överväga om kostnaderna motsvarar nyttan man erhåller av investeringarna. Ett förhållandevis billigt sätt att höja på den fysiska säkerheten är att låsa fast eller skruva fast datorutrustningen i möbler, golv och väggar. Dessa åtgärder förhindrar inte en stöld men verkar fördröjande oc kan därmed avskräcka en tjuv. Tyvärr kan detta medföra att tjuven istället slår sönder den fastlåstna datorutrustningen — men förutsatt att man har säkerhetskopior på den lagrade informationen så är det ett bättre alternativ än att tjuven för bort värdefull information som sedan kan användas för att skada företaget. Det är av stor betydelse att ha stadiga brand- och stöldsäkra kassaskåp i ett företag.

UPS bra buffert

Eldistributionen fungerar i allmänhet mycket bra i Finland men kan vara ett problem. Vid ett strömavbrott kan maskinen slås av och värdefull information förloras. Också strömpikar, långvariga över/underspänningar och elektromagnetisk interferens kan förorsaka problem.

Att observera är att eldistributionen också kan påverkas av faktorer i byggnaden som företaget verkar i. t.ex. underdimensionerade elsystem och maskiner. Genom att installera en UPS (Uninterruptabel Power Supply) kan du behändigt skydda t.ex. din PC. En UPS har batterier som den kan använda för att förse din PC med ström om det sker ett strömavbrott. dessutom “putsar” den strömmen från s.k. elpikar och dylikt.

Utbudet på UPS är stort och det gäller att hitta en typ som motsvarar dina behov och som har tillräcklig effektivitet och kvalitet. Ett krav man kan ha på en UPS är att den vid ett strömavbrott skall kunna fungera åtminstone i 15 minuter så att man hinner avsluta sitt arbete vid datorn. Dessutom är det viktigt att UPS:en varnar — helst med varningsljud — vid ett strömavbrott och om batteriets kapacitet blir för låg.

Man kan installera en UPS för varje datoriett företag eller för hela nätverk. Emellertid kan det redan vara tillräckligt om man skyddar nätverksservern och, om det finns, centraldatorn. Priset på en UPS avsedd att skydda en enda PC börjar vid ca 3 000 mk och priset är starkt bundet till storlek. funktioner och kvalitet. Angående eldistributionen kan ännu påpekas att elektrisk apparatur och maskiner inte skall användas i omedelbar närhet av en dator. Dagens datorer är ganska tåliga men speciella industridatorer finns till för sådana situationer.

Bärbara säkerhetsrisk

Bärbara datorer är mycket användbara, men innebär också en beaktansvärd säkerhetsrisk. En bärbar dator kan förhållandevis lätt stjälas från en parkerad bil. Dessutom kan en jäktad person glömma sin dator på t.ex. ett tåg.

Datorni sig representerar inget stort ekonomiskt värde men däremot kan informationen lagrad på dess hårdskiva vara mycket värdefull. Något som doktoranden fick konstatera då han glömde sin bärbara persondator på ett tåg och inte återfann den. Han hade överhuvudtaget inga säkerhetskopior vilket innebar att ca 2 års forskning gick förlorad.

Bärbara datorer brukar användas gemensamt av många personer i ett företag och utnyttjas vid de mest varierande situationer. Detta ökar säkerhetsriskerna avsevärt och därför kan det vara lämpligast att varje användare har egna disketter, naturligtvis förutsatt att man inte tappar bort disketterna.

Datorer och kablar ger ifrån sig elektromagnetiska signaler som kan plockas upp på avstånd med utrustning.

En bil parkerad utanför kontorsbyggnaden kan innehålla denna utrustning oc därmed fånga upp stor mängd känslig information. Möjligheten att fånga upp sådana signaler beror till en del på kontorsbyggnadens struktur och byggnadsmateria men framför allt på hurdana datorer och kablar man använder. Nyare datorer utsänder inte lika mycket radiovågor som äldr = NED

Angående kablar är det bäst att använda sig av optiska sådana eftersom de inte utstrålar någon form av radiovågor som skulle kunna fångas upp. Dessutom är det till denna typ av kabel mycket svårt att direkt fysiskt sett kunna ansluta en olovlig station med vars hjälp det skulle vara möjligt att tappa kabeln på all information som sänds i den. Det finns utrustning med vilken man kan hindra att någon fångar upp radiovågor men den är dyr och företaget måste ha mycket värdefull information, typ viktiga forskningsresultat, för att en sådan investering kan anses berättigad. I samband med radiovågor är det också värt att observera att dagens GSM telefoner är betydligt säkrare än NMT telefonerna, eftersom de sänder i digital form.

Datasäkerhet

Datasäkerhetsfrågorna är mycket komplicerade och omfattande. Till exempel hör till datasäkerhet frågor kring mjukvarusäkerhet. hårdvarusäkerhet. förstörande programkod. säkerhetskopiering, extern kommunikation och krypteringsfrågor. Datasäkerhet är ett område som kräver stor kunskap och framför allt en tjock plånbok för att uppnå en maximal datasäkerhet. Men redan med mindre kostsamma åtgärder kan man väsentligt förhöja ett företags datasäkerhet. Ett faktum är att antalet registrerade databrott ökar i Finland och mot detta måste ett företag gardera sig. Enligt färskaste uppgifter medför bristande datasäkerhet konstaterade förluster på 5 miljarder USD årligen i USA.

Betydelsen av att ta säkerhetskopior på information kan aldrig överdrivas. Om man jobbar hela sin arbetsdag vid en dator är det nödvändigt att säkerhetskopiera åtminstone 3 gånger per dag på diskett, förutom att åtminstone en gång i timmen spara på hårdskivan. Viktigt är att inte alltid spara på samma diskett utan också byta disketter med jämnt tidsintervall. Det förekommer att man tar säkerhetskopior men utan att kontrollera om informationen verkligen har sparats. Genom mänskliga fel och tekniska missöden kan det hända att informationen inte har sparats. Detta kan senare visa sig vara en obehaglig överraskning då säkerhetskopian behövs.

Varning för virus

Ett företag måste beakta riskerna som förstörande programkod och då speciellt datorvirus medför. De sprids genom disketter, extern kommunikation eller om någon på försåt installerar någon form av förstörande programkod. Det är alltså inte frågan om någon slags smitta som sprids vi beröring utan om en räcka av programkod som någon har konstruerat.

Den kändaste formen av förstörande programkod är datorvirus. Men det finns också s.k. trojanska hästar, bomber och maskar (worms) som kan komma in i din dator. I korthet fungerar trojanska hästar så att de efter att ha kommit ini datorn ger sin skapare access till datorn, därav namnet. Bomber börjar verka först då vissa villkor uppfyllts, t.ex. vid ett visst datum eller enligt hårdskivans fyllningsgrad. Maskar är idag ovanliga men fungerar så att de bildar en egen process och fördubblar sig tills minnet blir fyllt och maskinen inte längre kan utnyttjas.

Datorvirus är den absolut allmännaste ormen av förstörande programkod. Att man angripits av denna typ av förstörande programkod kan ses bl.a; som att filer och program försvinner på oförklarliga sätt eller att främmande meddelanden och figurer uppkommer på bildskärmen. Enligt senaste uppgifter finns det i hela världen ca 3 000 och i Finland ca 100 former av förstörande programkod (huvudsakligen datorvirus).

Antivirusprogram

Många typer av förstörande programkod påminner starkt om varandra och har fortjöpande utvecklats för att kunna motsvara utvecklingen bland de program som är avjedda att bekämpa förstörande programod.

Gemensamt för alla former av förstörande programkod är att de på något sätt stör eller förstör en dators funktioner och t.o.m. hela nätverks funktioner kan allvarigt störas. För att skydda sig måste man installera ett program på sin dator avsedd alt hitta förstörande programkod på disketter och hårdskivor, programtypen brukar man benämna antivirusprogram. Dessa program är förhållandevis billiga, från ett par hundra mark uppåt. att inköpa.

Ett par exempel på populära antivirusprogram är Dr Solomon’s Anti-Virus Toolkit och F-Prot. Vid inköp av ett antivirusprogram kan man ingå ett avtal om uppdateringar i samband med utvecklingen på området samt om hjälp vid angrepp från förstörande programkod.

Det vanligaste sättet som förstörande programkod sprider sig på är via disketter, vanligtvis speldisketter. Då anställda arbetar också på sin hemdator med arbetsuppgifter ökar risken för att företaget skall drabbas av datorvirus. Något man också måste akta sig för är de demodisketter som i marknadsföringssyfte av någon produkt, skickas till företag. Undvik speciellt piratkopior och virustesta alltid en diskett, detta förfarande gäller också helt nya programdisketter. Skrivskydda dina disketter då du inte behöver spara något på dem. För att minimera risken för att förstörande programkod skall sprida sig kan man ha en separat dator avsedd för kontroll av disketter. På dethär sättet får viruset ingen chans att sprida sig i ett nätverk utan upptäcks av den med antivirusprogram försedda kontrolldatorn.

Doktorn, doktorn!

Vad skall man då göra om man drabbats av förstörande programkod ? Det är bäst att stänga av datorn och om man inte själv innehar tillräcklig kunskap, kontakta expertis. Om man har följt “god säkerhetskopieringssed” finns det alla möjligheter au återställa funktionerna till det normala. Tyvärr kan det vara mycket arbetsdrygt at vän 1 hitta källan därifrån viruset har kommit: det finns exempel på fall där man varit tvungen att gå igenom tusentals disketter och hårdskivor för att undersöka om de är nedsmittade.

Hur vanligt är virus?

Man kan fråga sig hur allmänt virusangrepp förekommer samt vilka kostnader de medför. En undersökning genomfördes år 1993 av Marko Helenius vid Tammerfors universitet. LAN Vision Oy och ICL Data Oy för att undersöka bl.a. detta. Man skickade ut ca 2 000 frågeformulär till statsförvaltningen, kommunförvaltningen och företagi Finland. På förfrågan svarade 316 företag av 1400 och det framkom att det vid 62 verksamhetspunkter hade inträffat totalt 105 virusangrepp.

På basen av totalt ca 600 svar räknade de ut att man i medeltal förlorat ca 2 arbetsdagar. Beräknat på 150 mk per arbetstimme innebar det ca 2 500 mk. Den största skadan som virus medfört var i storleksklassen 65 000 mk, de flesta i klassen under 1000 mk. Enligt en artikel i Illustrerad Vetenskap nr 2584, beräknar man i Sverige att ett företags förlust på ett virusangrepp normalt stannar vid 5 000—25 000 kronor.

Överhuvudtaget kan man konstatera om förstörande programkoder att de har kommit för att stanna. Det finns personer som har som en slags hobby och livsstil att konstruera förstörande programkod. Men om ett företag iakttar normala skyddsåtgärder samt håller sig ajour på området finns det ingen orsak till någon större oro i företaget. Det finns en stor mängd litteratur på området och det kan löna sig att inköpa några böcker till företaget.

“Lås dörren!”

Den externa kommunikationen omfattar den datakommunikation ett företag har tillt.ex. kunder. Via denna kommunikation kan också förstörande programkod komma in i företagets datorer, t.ex. genom någon illasinnad cracker.

Genom användandet av lösenord för att erhålla access kan riskerna minimeras och också uppringning (dial-up) är en möjlighet. Vid dial-up frågar datorn efter lösenord, namn eller något annat bevis av den som tar kontakt via modem, för att överhuvudtaget bevilja access. Om datorn godkänner den som har ringt upp tar den i sin tur kontakt till den som ursprungligen ringde och därmed kan kontakt etableras.

Systemet anses emellertid inte vara helt vattentätt och därför kan det vara skäl för företaget att om möjligt endast vid behov ansluta sig fysiskt sett till externa kommunikationsnät, t.ex. endast då företaget skall betala räkningar. Detta gäller speciellt ett mindre företag som inte ständigt behöver vara anslutet till datakommunikation.

Många trick

Med hjälp av kommandot radera (delete) tar man i sin helhet inte bort en fil från hårdskivan eller disketten. Man raderar nämligen endast ut namnet på filen från “huvudbiblioteket”. I de nyaste DOS-versionerna kan man behändigt genom Windows aktivera den (undelete) funktion med vars hjälp man kan ta fram den fil som raderats. På äldre DOS versioner finns det också samma funktion men den är lite svårtillgängligare. Det finns också s.k. hjälpprogram (utilities) med vilka man kan få fram filer från hårdskivan, vilka raderats för en längre tid seda 1 — och t.o.m. redan har delvis överskrivits med ny data. Ett sätt att verkligen radera ut information är att gå in i filen, t.ex. ett brev och inne i filen radera hela texten och sedan spara den som tom. Ett annat sätt är att formattera om disketten.

Ett sätt att förbättra informationssäkerheten är att man i företaget använder diskettstationslösa stationer eller installerar diskettstationslås. Man sparar informationen på varje dators hårdskiva och på en s.k. server. Kortfattat är en server en station medstorlagringskapacitet och som används av flera datorer i ett nätverk. Om man använder sig av diskettstationslösa stationer eller installerar diskettstationslås, innebär detta att PC:ns användare inte kan kopiera av en fil till en diskett, vilket i sig är en säkerhetsförhöjande åtgärd. Men det kan också anses som en säkerhetsnedsättande åtgärd eftersom varje anställd inte kan göra säkerhetskopior på sina filer till en diskett.

Splittra och behärska

Emellertid är det möjligt att till servern installera någon form av lagringsmedium som regelbundet görsäkerhetskopior av det som sparats på servern. Bandstationer är de allmännaste och deras kassetter kan innehålla mycket stora mängder information. Här måste man komma ihåg att använda olika kassetter med regelbundna mellanrum. Dessutom är det väsentligt att förvara en del av kassetterna på annan ort, så attinte all information förstörs vid t.ex. en brand. Det finns 4 huvudgrupper av medier man kan använda vid säkerhetskopiering: disketter, bandstationer. flyttbara hårdskivor och optiska skivor. Att här gå in på fördelar och nackdelar med varje medium är inte möjligt men jag hänvisar till en intressant artikel i tidskriften MikroPC nr 11/1993, i vilken man jämför de olika lagringsmedierna samt även behandlar den programvara som behövs vid säkerhetskopiering.

Lösenord: “Kalles”

Lösenord (passwords) har en mycket central position i ett företags datasäkerhet. Tyvärr är det vanligt att datoranvändare använder t.ex. sina egna namn, sin bils registerskylt, sitt telefonnummer m.m, som lösenord. Detta är mycket olämpligt därför att en person som vill komma åt ett företag information förhållandevis lätt kan få reda på de anställdas namn och dylikt.

Det är inte heller ovanligt att användaren har sitt lösenord uppskrivet på en lapp som i sin tur är fastklistrad under datorns tangentbord eller något annat lättillgängligt ställe. Att välja ett lämpligt lösenord är inte det enklaste, därför att man måste kunna komma ihåg det och inte förvara det skriftligt. Att glömma ett knepigt lösenord är högst mänskligt och därför måste man noga överväga vad man använder som lösenord.

Bäst är det att kombinera olika bokstäver, siffror och tecken, Gärna sådant som har med ditt personliga liv att göra, t.ex. du har sex stolar kring matbordet, din favoritmat är pasta och du blev student år 1974. Du väljer de två sista bokstäverna för varje subjekt. d.v.s. lösenordet blir exta74. Detlösenordet är mycket svårt att knäcka men däremotlätt för dig själv att komma ihåg. Lösenordet måste emellertid med jämna mellanrum bytas, så det gäller att ha fantasi och att inte blanda ihop gamla och nya lösenord. Närmare uppgifter på hur man byter lösenord finns i manualen som medföljde din dator.

Gått på kaffe

Då man har sin PC påsatt med t.ex. ett dokument “öppet” på skärmen men lämnar den för att t.ex. delta i ett möte är risken för skada på informationssäkerheten uppenbar. Dessutom kan en ständigt påsatt PC medt.ex. samma text på bildskärmen i längden slita på skärmen.

Det finns emellertid program (screen saver) som är avsedda att spara på skärmen och fungerar genom att användaren själv väljer figurer eller sätter in meddelanden som man vill att skall synas på skärmen enligt en av användaren vald tidsperiod.

Man kan dessutom installera ett lösenord som träder i funktion efter en viss tidsperiod, till exempel efter 2 minuter. Det Innebär alltså att fastän maskinen är påsatt har man skyddat sin information. Åtgärden är användbar som en möjlighet att försvåra olovlig access till information.

Slutligen några behändiga säkerhetsuppbyggande åtgärder. Sätt alltid in disketterna i “sina” plastpåsar, i samband med att en kaffekopp välter på ditt skrivbord kan denna åtgärd vara lönande. Diskettlådor är likaså mycket behändiga vid sådana tillfällen, dessutom kan man i dessa samla upp alla sina disketter. Diskettlådorna är det nödvändigt att förvara inlåsta.

Människor nyckelfaktor

Trots den stora mängd <säkerhetsuppbyggande teknik som existerar är troligen frågor kring personlig säkerhet de allra viktigaste. Det är knappast någon mening med att investera stora summor i säkerhetshöjande teknik om varje anställd i ett företag inte beaktar en personlig grad av informationssäkerhet.

De anställda i ett företag kan ses som en kedja vars alla länkar måste hålla. och detta inte endast angående informationssäkerhetsfrågor. Om en person t.ex. pratar bredvid mun, medvetet ger ut känslig information eller genomför ett bedrägeri kan ett företag utsättas för stor skada. Framför allt om personen ifråga innehar en nyckelställning i företaget.

Svaga länkar farliga

Det finns otaliga exempel på hur en eller flera anställda har genomfört bedrägerier. Exempelvis genom att betala ut lön till en fiktivt anställd eller att den anställde med företagets medel betalar personlig konsumtion. Båda fallen borde kunna upptäckas men det kan ta en tid innan någon reagerar och företaget kan då redan ha förlorat stora summor.

En sak som kraftigt kan påverka en anställds personliga informationssäkerhet är en kombination av alkohol och tendens att prata för mycket om företagets interna angelägenheter. Detta är något som det ka fortsättning på sid 27