”Blunda inte för ditt dåliga samvete”

Att skjuta saker på framtiden är högst mänskligt och något vi alla gör lite då och då. Det sker även i cybersäkerhetsvärlden, men där är konsekvenserna i regel av annan art…

Författare: F-Secure Sverige
Datum: 29.09.2017
Lästid: 4 Minuter

Din trädgård klarar sig en vecka till utan att du trimmar kanterna, äpplena på trädet kan lika gärna få hänga kvar ett tag till och om du struntar i att dammsuga en vecka så är det inte hela världen. Men om man skjuter upp saker hemma får man lite större högar med smutskläder och mer damm i hörnen – i cybersäkerhetsvärlden kan även en till synes liten grej vara som att strunta i att sätta upp en ytterdörr på sin lägenhet.

Här delar F-Secures säkerhetsexpert Olle Segerdahl med sig av ett antal typfall som han återkommande stöter på i sitt arbete – saker som samtliga säkerhetskunniga på företaget definitivt tänkt åtgärda, men helt enkelt inte kommit sig för att göra.

”En typisk sak, som vi ser alldeles för ofta, är att system som borde vara separerade på ett eget nätverk inte är det – det kan vara sådant som passersystem och övervakningskameror som går på samma nät som vanlig ’kontors-IT’”, säger Olle Segerdahl, senior säkerhetskonsult på F-Secure i Stockholm. ”Man vet om att det är så och man vet om att det inte borde vara så. Men att skjuta upp saker som fungerar till senare leder ofta till att de ligger kvar på att göra-listan. Annat som känns mer akut tenderar att hela tiden komma före.”

Exakt samma sak återkommer i industrin, där många maskiner kör förlegade operativsystem som Solaris och Windows NT och som kanske inte fått en säkerhetsuppdatering på 10 år. De är tickande bomber ur säkerhetssynpunkt och borde inte få existera utanför ett eget avskärmat nätverk. Så är det inte alltid, och att de ens finns kvar handlar ofta om att de används för att styra en maskin som är 15 år gammal och har ytterligare 15 år kvar till avskrivning.

Utvecklare är vana vid begreppet ”teknisk skuld” – man har hamnat i ett läge där man vet att den kod man producerat inte är perfekt, att man borde göra om den för att det kan leda till bekymmer längre fram. Men man skjuter det framför sig och gör man det tillräckligt länge sitter man med ett helt berg av saker som borde åtgärdas.

Det omfattande Ransomware-utbrottet WannaCry, som skakade åtskilliga företagsnätverk i våras, satte fokus på ett typiskt exempel av sådan teknisk skuld. Det utnyttjade sårbarheter i SMB v1-protokollet för att spridas. Windows är uppe i SMB v3, men på många företag finns den äldre versionen kvar – inte sällan på grund av att det står någon gammal NAS-låda eller liknande som behöver det föråldrade protokollet för att fungera.

Sedan finns det gott om processer som Olle Segerdahl och hans kollegor återkommande stöter på, processer som de flesta inblandade vet om inte direkt är ”best practice”:
”En typisk sådan ’process-skuld’ är att IT-supporten hjälper folk genom att sätta deras lösenord till ’Höst2017’ eller liknande standardlösenord när de skapar nya konton. En säker process som garanterar unika lösenord upplevs som krångligare att hålla reda på och därför låter man det fortsätta”, säger Olle Segerdahl.

Och, visst – användarna ska ju ändå ändra till ett eget lösenord så fort de loggat in. Men samtidigt kan man ställa sig frågan om alla verkligen gör det? Antagligen inte. Det finns gott om anledningar till att lägga om en process som är skapad utifrån premissen att någon annan, längre fram i processen, ska åtgärda de fel som medvetet introducerats redan i första steget.

Det finns mycket att säga om möjliga bakomliggande orsaker, men faktum är att de flesta företag har samlat på sig någon form av ”säkerhetsskuld” – i regel ser det ut ungefär som ett isberg, en bit som man vet om och ett större berg som ligger dolt under vattenytan som man inte har lika bra koll på.

Det är dags att sluta blunda, dags att undersöka det där isberget.

Om du är intresserad av ämnet och vill dyka djupare in i det – få fler exempel och en mer utförlig diskussion om typiska säkerhetsproblem (och vad man kan göra åt dem) så ägnar Olle Segerdahl och Christoffer Jerkeby det senaste avsnittet av Säkerhetssnack åt just detta.

Finns här (och där du vanligtvis får ditt poddbehov tillgodosett).

[FOTO: rileyroxx, Flickr.com, modifierat]

Säkerhetssnack: Nytt avsnitt varannan vecka. Ett tema varje gång. Säkerhetsexperterna Olle Segerdahl och Christoffer Jerkeby.

 


Lämna ett svar

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s