– en artikelserie i tre delar
Del 1: Spara – så väljer du rätt typ av lagring
Del 2: Söka – verktygen för att indexera och hitta
Del 3: Säkra – så säkrar du informationen
En fungerande policy är A och O. Utan den finns det ingen styrsel i vad som ska säkras, hur det ska göras och vem och vad det ska säkras mot, säger Roger Lindblom på Ekelöw Infosecurity.
Kollegan Anders Skaar håller med.
– Att isolera ett san eller en server och göra dem säkra är inte så svårt för den som har den tekniska kompetensen. Men att göra det så att prestanda i systemet bibehålls, kostnaderna hålls i schack och tillgängligheten för dem som ska använda systemet inte försämras avsevärt, det är den svåra biten.
Därför är det viktigt, menar Roger Lindblom och Anders Skaar, att se på säkerhet som på vilket investeringsprojekt som helst, med kostnads-, besparings- och riskbedömning. Ekelöw Infosecurity är ett leverantörsoberoende konsultbolag som har genomfört informationssäkerhetsprojekt för ett stort antal svenska myndigheter och företag, bland annat Polisen, Försvarsmakten och flera försäkringsbolag och banker.
– När vi hjälper företag att ta fram krav på den framtida informationssäkerheten kommer vi ofta ner på rent affärsmässiga beslut. Ger investeringen en bra avkastning? Är den minskade risken värd arbetet det innebär att säkra informationen? Därför är en av de viktigaste delarna i arbetet det vi kallar hot-, risk- och sårbarhetsanalys, säger Roger Lindblom.
En sådan analys identifierar var det finns möjliga informationsläckor och också vad ett potentiellt informationsläckage skulle kunna kosta, hur troligt det är att det sker och vad det kostar att förhindra det. Vilka motåtgärder som ska sättas in beror sedan på hos vem hotet har identifierats. Ett kommersiellt företag är mer villigt att motivera åtgärden ekonomiskt, när motåtgärder beräknas kosta mer än vad skadan beräknas till. Valen blir ofta annorlunda när konsekvenser som förtroende eller risk för människors liv och hälsa står på spel.
| |
Faran lurar bakom brandväggen
Tjänsten finns dels i en gratis reklamfinansierad variant, dels i en premiumversion därDen typiska bilden av it-säkerhet som en fråga om att skydda sig mot externa intrång har de senaste åren ersatts av en mer varierad och realistisk bild. Den största risken för att information sprids kommer inte från en anonym hackare på andra sidan brandväggen, utan finns i stället bland de personer som har tillgång till dokumenten i sitt dagliga arbete.
– Var och varannan har en bärbar dator och tar med sig dokument ut på stan. Man har jobbfiler på en usb-sticka och uppsynkat i mobilen och man kommunicerar elektroniskt via e-post, instant messaging, webbforum, chattar med mera. Vill någon ta ut information från företaget finns otroligt många valmöjligheter, säger Anders Skaar.
Linus Svensson, senior presales manager på Symantec, menar att medveten informationsstöld är en mycket mindre del av läckaget än läckage av misstag. Kundregister på en kvarglömd bärbar dator, löneuppgifter i ett felaktigt adresserat e-postmeddelande och så vidare är en risk som ofta förbisetts. Medvetenheten på företagen är inte alltid så god som man skulle vilja.
– Går vi åtta år tillbaka i tiden var det bara hälften av kunderna som hade ett bra virusskydd. Nu är det inte längre ett problem. Alla har koll på den biten av säkerheten. Därför börjar man i stället titta vidare och flytta gränsen för vad datasäkerhet innebär, säger Linus Svensson.
Säker lagring och säker information
Tjänsten finns dels i en gratis reklamfinansierad variant, dels i en premiumversion därEn intelligent struktur på hårdvarusidan har varit it-avdelningarnas stora fokus de senaste åren. Det handlar om katastrofsäkerhet. Rutiner vid hårdvarufel, kluster, backup, redundant diskspegling, failover med mera har börjat införlivas i baslinjen för vad ett företag behöver. Det är den traditionella delen av lagringssäkring, som är relativt lätt att kontrollera. Hur driftsäkert man vill göra sitt eller sina system är mest av allt en budgetfråga.
Den andra sidan av myntet handlar om att titta på sätt att förhindra att dokument sprids utanför organisationen.
– Då spelar det egentligen ingen roll om informationen är lagrad i ett san eller på en usb-sticka. Det är det som är den stora utmaningen, hade dokumenten bara hållit sig i sanet hade problemen varit mindre, men information har en envis förmåga att smita iväg, säger Linus Svensson.
”Den andra sidan av myntet handlar om
att titta på sätt att förhindra att dokument
sprids utanför organisationen.”
Boven i dramat är vanliga användare som löser de praktiska problem de har på det för dem mest bekväma sättet. Det innebär ofta att kopiera information till en ostrukturerad och osäker miljö. Det finns informationssystem som har bra åtkomstprivilegier, där det är väldigt strukturerat vem som har tillgång till vad. Men vad hindrar en användare från att klippa och klistra in i ett Excelark och ta med samma information på en bärbar dator? Lösningen stavas enligt Linus Svensson network access control, nac.
– Du ska självklart kunna säga nej till att folk loggar på med en infekterad dator i ditt nätverk. Du måste säkerställa att de har den senaste patchen till operativsystemet, färskt virusskydd med mera. Det bör bli en standardkomponent i ett säkert nätverk. Får jag koppla in en okänd usb-sticka i en dator? Får jag koppla på en okänd pc på nätverket? En slags hygiencheck innan man släpper på enheter på nätet, säger han.
Utmaningen ligger i deploymentfunktioner som smidigt ser till att de som vill in på nätverket per automatik förses med nödvändiga funktioner och uppdateringar, så att det inte blir ett hinder i det dagliga jobbet.
Klassificering av informationen
Tjänsten finns dels i en gratis reklamfinansierad variant, dels i en premiumversion där– Det andra man bör göra är att utgå från informationen. Då struntar man i var den fysiskt finns och tittar i stället på vad man får göra med den. Det kallas data loss prevention, dlp, och är något vi ser kan sätta fingret på vad organisationer verkligen brottas med, säger Linus Svensson.
Det handlar om att klassificera alla data i en organisation och sätta upp regler för hur varje dataklass får spridas. En viss typ, till exempel crm-uppgifter, kanske får mejlas internt men inte externt. En annan typ av uppgift kan hindras från att lagras på mobila enheter och/eller att skrivas ut och så vidare.
Bra informationsklasser är ett måste
Tjänsten finns dels i en gratis reklamfinansierad variant, dels i en premiumversion där– Alla typer av dokument i en organisation kan och bör klassas på detta sätt, från sekretessbelagda handlingar till oviktig eller offentlig information. Klassificering utförs av den som skapar informationen, vilket förutsätter ett tydligt regelverk. Ett vagt eller uselt regelverk skapar en grund för missförstånd och felaktig hantering samtidigt som det gör det svårare att hålla den enskilde ansvarig för sina aktiviteter, säger Roger Lindblom på Ekelöw Infosecurity.
När informationsklassningen med tillhörande regelverk är genomtänkt och formulerad är nästa steg att se till att den efterlevs. Det handlar om åtkomstkontroll, men även om hur man hindrar varje enskilt dokument från att missbrukas. Det är här ett nac-skyddat nätverk och en dlp-funktion kommer in i bilden.
– Vi kan i stort sett hindra alla försök att på konventionella sätt sprida eller duplicera information i ett skyddat dokument, till exempel att byta namn på filer, göra skärmdumpar eller klippa ut text och bilder ur dokument. Man får lov att fota av skärmen eller skriva av texter för hand för att komma runt de hinder som kan omge ett maximalt skyddat dokument, säger Linus Svensson på Symantec.
Inga universallösningar
Tjänsten finns dels i en gratis reklamfinansierad variant, dels i en premiumversion där Informationssäkerhet innebär nästan alltid väldigt många och väldigt små bollar att hålla i luften. Det gör också att det kan vara svårt som inköpare av en lagringslösning att bara vända sig till första bästa namnkunniga leverantör och få ett system som täcker alla de behov man har, från serverskåp till säkerhetslösningar.
– De större leverantörerna av lagringslösningar levererar i och för sig ofta hela säkerhetspaketet till sina kunder, men någon produkt som passar precis alla finns inte vad jag kan se. Behoven varierar kraftigt och det handlar oftast om att sätta ihop en mix av funktioner anpassade för just den kundens behov, säger Linus Svensson.
På Ekelöw Infosecurity tror man inte heller att stora helhetslösningar är framtiden.
– En sak som kommer starkt är open source-lösningar. Flexibla system baserade på konventionell Intelarkitektur på hårdvarusidan och öppen källkod i grunden på programsidan. Det finns en handfull leverantörer som jobbar med det i dag och med den skalbarhet och kostnadseffektivitet som det innebär tror vi att den typen av lösningar kommer att växa under de närmaste åren, säger Roger Lindblom.
Lagringsvirtualisering och fc, ata och scsi över ethernet har skapat en helt ny arena för dataläckage. Bygger man inte försiktigt och helt rätt är det lätt att lämna dörrar in till nätet vidöppna.
Traditionellt har lagringslösningar i san hanterats med fibre channel i ett separat nätverk. Det är en lösning som är gammal och beprövad och som med sin fysiska avgränsning av enheten är lätt att göra säker. Endast en dator som är direkt ansluten till sanet och fc-switchen kan prata med det.
Lagringen kan sedan delas in i mindre enheter, så kallade lunar, som motsvarar lagringsutrymme på diskarna. Vilka sektioner av sanet en ansluten dator kommer åt sköts av switchen. En vanlig metod är att koppla en server eller ett serverkluster till lagringen och via denna enda väg in kontrollera tillgången till data på serveroperativets kontonivå.
– Men fokus var egentligen inte säkerhet, mer att skapa ordning och reda under parollen ”vi ska inte råka skriva sönder fel disk”, säger Torbjörn Petterson, it-säkerhetskonsult på Cybercom.
| |
Med den teknik som nu är på frammarsch har det skapats många bra möjligheter för it-tekniker att bygga mer kostnadseffektiva och flexibla san. 10 gigabit ethernet och iscsi ata och fc över ethernet har flyttat ut lagringsenheterna från deras egen, isolerade värld och de kan nu kopplas på lite var som helst i ett nätverk.
I stället för att köpa dyra fc-san kan man använda infrastruktur som är mycket billigare och som använder traditionell nätverksteknik. Nackdelen är att man släpar in alla de problem som finns med traditionell nätverksteknik.
– Förr hade man sitt fc och då hade man separata fc-kort, separata fc-switchar och så vidare. I dag blandar man in vanliga nätverksswitchar och routrar som pratar tcp/ip och som sitter i samma nät som Windows- och Unixmaskiner. När man börjar använda ethernet och tcp/ip för att transportera den här typen av data är det väldigt lätt hänt att man kopplar ihop det med sin gamla vanliga pc-miljö, säger Torbjörn Petterson.
Lagringsarean har fortfarande samma kontroll, eller brist på kontroll, det vill säga den direkta kopplingen till sanet. När det handlar om san över tcp är dock varje dator på nätverket i princip direkt ansluten. Är man inte försiktig kan det bli en väldig mängd datorer.
– Resultatet blir att man då drar en mängd säkerhetsfrågor och hot som den vanliga pc-tekniken har tio års försprång att kämpa med in i en miljö som inte har haft de hoten tidigare.
Lösningen är att hålla kvar vid det tänk som gjorde den gamla lagringstekniken mycket lättare att kontrollera. Genom att segmentera nätverket och separera lagringsnätverk och övrig verksamhet kan man manuellt få samma kontroll som förr.
– Det finns i och för sig möjlighet i iscsi till autentisering, men det är ingenting som man egentligen behöver bekymra sig om, om man bygger sitt nätverk rätt, säger Torbjörn Pettersson.
Ett annat problem är administrationskonton. En systemadministratör, även på en Windowsmaskin, har ofta fullständiga rättigheter, och kan även komma åt information som han eller hon inte bör få läsa. Även ett san har en administratör och nätverket kan ha ytterligare en.
– Det viktiga är kanske inte att strypa en systemadministratörs rättigheter, och därmed förmågan att göra jobb som kan kräva sådana, utan att vara medveten om vem som har vilka rättigheter, och se till att andra inte får för stora rättigheter.
Segmentera nätverket, separera lagring och användare och se till att hålla koll på administratörers rättigheter. Först när den grunden är lagd är det någon vits att implementera åtkomstkontroll på användarnivå. Det är ingen mening med en idiotsäker pansardörr med kontohantering, stenkoll på klienterna och smarta informationsskyddsfunktioner om bakdörren fortfarande står på vid gavel.
Illustration: Jonas Englund
– en artikelserie i tre delar
Del 1: Spara – så väljer du rätt typ av lagring
Del 2: Söka – verktygen för att indexera och hitta
Del 3: Säkra – så säkrar du informationen
» San – storage area network. En teknik som gör att separata lagringsenheter kan hanteras logiskt som en lokal disk.
» Fibre channel (fc). En nätverksteknik som är vanlig i lagringsnät. Fc har vanligen en kapacitet på 1–4 gigabit per sekund.
» Iscsi, aoe. Nätverksprotokoll som gör att det går att koppla upp och komma åt ata- och scsi-diskar direkt till ett nätverk. Iscsi använder tcp/ip och kan därmed köras över exempelvis wan.
» Segmentering. Indelning av nätverket i subnät med ett nät per funktion och en server som enda gränssnitt mot resten av nätverket.
» Kluster. Ett antal parallellt sammankopplade enheter som gemensamt hanterar till exempel anropen till ett san.
» Redundans. Parallell förekomst av identiska data för att förebygga dataförlust om en enhet fallerar.
» Failover. Automatisk övergång från ett system till ett parallellt vid haveri.
» Nac – network access control. Funktioner för att förhindra att datorer, diskar och mobila enheter som inte är godkänt konfigurerade får tillgång till nät eller klienter på nätet.
» Deployment. Samlingsnamn för funktioner för att distribuera och installera program på datorer, ofta med automatik.
» Dlp – data loss prevention. Funktioner som förhindrar användare att utföra vissa aktioner och åtgärder, till exempel kopiering eller utskrift, av en viss dokumenttyp, baserat på ett förutbestämt regelverk.
