Se till att Datornisse inte äter företaget!
av Bo Ingves Forum 1991-14, sida 22-23, 24.10.1991
En revisor i datorn:
Se till att Datornisse inte äter företaget!
Text: Bo Ingves
Kära leverantör. Vårt datorrum brann i går natt. Tyvärr kan vi därför betala Era eventuella fakturor tidigast om en månad. Hoppas Ni har förståelse för vårt predikament och dröjer med alltför aktiva indrivningsåtgärder. Med vänlig hälsning, Copymakers Ab.
Majoriteten av de företag som råkat ut för en total datakatastrof utan att ha ryggen tryggad, har gått i konkurs inom 18 månader! (Foto: Price Waterhouse 2 et stämmer, datorer kan brinD: Dessutom utvecklar de s giftiga gaser att eventuell personal med brandsläckare snabbt kan nockas.
Skattestyrelsens stora dataprojekt ar inte brunnit, men är i stället ett conkret exempel på datorklåperi som gäller oss alla, I fjol fördröjdes skatteprocessen med flera månader på grund av problem med datoriseringen av beskattningen. I år är skattemyndigheterna igen sent ute och samma sak sker säerligen ytterligare några år framåt.
Det gemensamma för båda de ovanstående exemplen är att datasäcerheten är misskött. Datasäkerhet är lika mycket att skydda datorer mot intrång från obehöriga, som att se till datasystem fungerar så att de inte utgör hot mot den egna verksamheten eller andras verksamhet.
Skulle motsvarande sak som skedde i skattestyrelsen ha hänt i ett privat storföretag, hade de ansvariga för processen säkert fått sparken för länge sedan. Om inte hela företaget hade gått under innan dess redan på grund av att stora delar av kundregistret försvann.
Datasäkerhet är inte bara att skydda sig mot hackers
Men i alla fall. En stor del av samhällets och företagens verksamhet och överlevnad baserar sig i dag på datorer. Om bokföring, fakturering, lagerbokföring, löneutbetalningar, beställningar o dyl finns inbakade i en centraldator, säger det sig självt att datorn ifråga är av avgörande strategisk betydelse för företaget.
Därför är det ingen händelse att datasäkerhetsfrågor har avhandlats till ust och leda en längre tid i databranschens modetidningar. (På senare tid har ämnet dock överflyglats av diskussionen om öppna datasystem. Hur dessa två ytterligheter i praktiken kan fogas ihop är en svårlöst ekvation.)
Vanligtvis menas med datasäkerhet det yttre hotet. Det som personifieras av någon elak hacker som torpederar stora datasystem med elakartade vitus.
I verkliga livet är det extrema hotet betydligt överdimensionerat. Till stor del beror det på att det är ett av de få datasäkerhetsproblem som på bred front har åtgärdats med stor iver.
Trots att hotet från externa hackers och illvilliga konkurrenter därmed allmänt sett har minskat, kan det i alla fall finnas hårresande säkerhetsrisker i företags datafunktioner.
Ett oskyldigt saftglas kan i värsta fall dräpa en dator om det råkar tömma sig på fel ställe. Eller underhålls 14/1991 F RU personalen kan ställa till med katastrofalt gnissel i hårdskivorna med lite slipdamm på fel ställe. Eller en systemoperatör, med obehindrad tillgång till hela systemet, får sparken och bestämmer sig för att hämnas. Att hela dataavdelningar går upp i rök har hänt i verkligheten.
Säkerhetskopior underlättar överlevnaden
Det gemensamma draget för dessa exempel, förutom att de verkar långsökta, är att de har avsevärt mer negativa följder för företaget än ett virus som alla har hört om men ingen sett. Dessutom kanske de inom företaget inte ens anses utgöra några säkerhetsrisker.
VD Harry Kallio på Bitmill Oy, som levererar och underhåller stora ekonomi- och administrationsapplikationer för minidatormiljöer, vill för sin del dämpa hysterin kring datasäkerhetsfrågor.
Han konstaterar att man kommer långt redan med sunt förnuft och en diskussion över en kopp kaffe. Det behövs inte ett två veckors seminarium i Nizza för företagets hela dataavdelning.
— Redan genom att sätta i system att ta regelbundna säkerhetskopior av datafilerna och ha tillgång till ett reservsystem, kan företag minimera de akuta förlustrisker som uppstår om datasystemet av någon anledning bryter ihop. understryker Kallio.
Den skada som förorsakas när ett system bryter samman av någon anledning. är framförallt att företaget förlorar data. Om säkerhetskopiorna hela tiden är uppdaterade innebär det att problemet egentligen endast är hur lång tid det tar att igen köra upp systemet. Finns det inte säkerhetskopior är man däremot ute på sju famnars vatten.
Självkontroll kräver disciplin
Om man går vidare från de rent tekniska riskerna med hårdvaran kommer man till datorernas själsliv, dvs programvaran. Och det är här som de verkligt intrikata säkerhetsfrågorna finns.
— En allmän inställning som folk har, är att uppgifter som körs ut från datorn är korrekta. Eftersom det här nödvändigtvis inte alltid behöver stämma. innebär det att en revisor också måste förstå vilka risker det finns i ett datasystem, understryker revisor Andreas Stenius som specialiserat sig på datarevision.
Han arbetar på revisionsbyrån Price Waterhouse i Helsingfors, som har
F RUN 14/1991
Små maskiner, små problem…
Företag behöver datorer därför att de gör det möjligt att förvalta och bearbeta mycket stora mängder data.
För små företag som har sin bokföring, reskontra, kundregister o dyl samlat i en enskild PC på kontoret, är datasäkerheten inget större problem. Man kommer långt redan genom att låsa dörren efter arbetsdagens slut. Mot klåfingriga städare kan PC:n skyddas med ett tillräckligt invecklat lösenord.
Löstagbara hårdskivor som sätts bakom lås och bom efter varje arbetsdag eller nycklar som tas med i fickan (om PC:n har ett manuellt lås) är inte heller dumma metoder. Allt detta givetvis i kombination med regelbundna säkerhetskopior.
Stora maskiner, stora problem…
Om de företagsadministrativa programmen däremot finns inbakade i centraldatorer typ Digitals Vax eller IBM A$S/400 är läget ett annat.
Centraldatorerna är påkopplade dygnet runt och har en mängd terminaler sammankopplade i ett gemensamt nätverk inom företaget. Varenda en av dessa terminaler utgör ett potentiellt hot mot känsliga uppgifter i centraldatorns minne.
Dessutom är linjerna oftast öppna mot omvärlden via modem som är kopplade till ett allmänt datatrafiknät eller tom det vanliga telefonnätet. (Få företag kan göra som SKF i Sveri satsat på datasäkerhetsservice som ett led i byråns datarevisionsverksamhet.
(Dataunderstödd revision innebär att revisorn med hjälp av vissa programverktyg kollar bokföringen direkt i kundens dator och inte genom att jämföra verifikat med ändlösa datautskrifter. Datarevision omfattar dessutom granskning av att kontrollen I och kring datasystemen fungerar och är tillräckliga).
Eftersom revisionsbyrån i princip kollar bokföringen en gång i året, går en stor del av Stenius” och hans gelikars tid åt till att hjälpa klienterna att hjälpa sig själva.
— Det är ju den interna revisionens uppgift att löpande försöka uppdaga t ex ekonomiskt missbruk inom företaget. Om företaget har ett datasystem som verkligen ger möjlighet att
Sunt förnuft lönar si ge, som har sammanbundit hela sin världsomspännande organisation i ett eget datanät för att skydda det från intrång av obehöriga.)
Anden är villig, men köttet är svagt
En gammal och fortsättningsvis god regel hur företag kan skydda sig mot missbruk inom husets egna väggar är att skilja åt kritiska funktioner. T ex samma person som sköter reskontran borde inte sköta kassan,
I ett datanät kan det dock vara svårt att skilja åt olika funktioner eftersom användarna är kopplade ihop i samma nätverk. Enda sättet är att dela upp användarna så att de har olika rättigheter.
Men ingenting är så osäkert som den mänskliga faktorn. Risken finns att s k tycke uppstår och två personer utbyter sina lösenord. Det går också bra att titta över axeln på någon som loggar in sig i systemet och se vilka kombinationer han/hon slår in.
Det är också mänskligt att inte systemoperatörerna inte uppdaterar en så grundläggande sak som systemdokumenta tioken (dvs beskrivningen över vad som egentligen finns inprogrammerat i datorn).
Det innebär att om en systemansvarig får hjärtslag efter att ha gjort några drastiska, men tyvärr felaktiga, ändringar i systemet, kan det bli ett arbetsdrygt helvete att reda ut härvan i efterskott. Skulle ändringarna finnas till pappers, uppstår det åtminstone ingen större katastrof. Det är också datasäkerhet! B kontinuerligt kontrollera att allt går rätt till inom fakturering, reskontra, lagerbokföring osv har ju företaget en trygg bas att stå på. Vi kommer in just här, vid utvecklandet av de interna kontrollsystemen, konstaterar han.
Om kontrollsystemen fungerar som den skall inom företaget är det också lätt för revisorn att i efterhand kontrollera av bokföringen och bihangen till den sköts som den skall.
— Idén med datarevision är just att låta kontrollsystemen göra jobbet. Det innebär också att revisionen blir förmånligare för klienterna om de kontinuerligt ser till att uppgifterna i deras datasystem är tillförlitliga. Det här kräver en hel del självdisciplin, säger Stenius.
23