Säkerheten har blivit en allt större och viktigare del av it-samhället. Många menar att den till och med är det allra viktigaste att fokusera på.

För att upprätthålla en bra och stabil it-säkerhet krävs det, förutom rätt produkter på rätt plats, att du vet vad du gör och att du har kontroll på vad som sker i hela din it-miljö. Det låter väl som grundläggande självklarheter och det borde väl de flesta klara av att styra upp. Eller?

Vi beslutade oss för att be er läsare, som ju arbetar på it-avdelningar runt om i Sverige, berätta om tillfällen när säkerheten brustit. Vi kan skräckslagna konstatera att det inte direkt verkar råda någon brist på sådana tillfällen.

TechWorld frågade: Vilken är den värsta it-säkerhetstabben du varit med om på något företag eller organisation?

Läsarna svarade:
”En administratör postade komplett information om företagets vpn-tunnel på ett forum på nätet. Ändrade sedan inlägget men uppgifterna låg kvar lång tid via en länk till den första revisionen av posten. Inte heller ändrades lösenord eller liknande efter incidenten. Det fanns spår av okända användare i nätverket.”

”Alla användare låg i gruppen Everyone med behörigheten FC på NT-servern. Inget virusskydd alls. På frågan ’Varför är det så här?’ till den nätverksansvarige, blev svaret ’Då vet man att allt funkar.”

”En organisation använde skarp patient- och journal-data i testmiljön utan att anonymisera den först.”

”Hos ett företag hade Windows XP inte blivit uppdaterat på sju år”

”Att utvecklarna för en onlineprodukt satt och jobbade direkt mot produktionsdatabasen. Det slutade med att någon råkade ta bort fel tabell i databasen och viktig data försvann. Och backupen hade fallerat under de senaste två månaderna. Om inte ens tillgängligheten finns där, så spelar det ingen roll ifall man har superkoll på sekretess och riktighet.”

”Backupen förvarades bredvid servern. Företagets vd hade en egen modemlina till NT-servern utan lösenord.”

”Dörr som kräver passerkort och fyrsiffrig pinkod står uppställd med en helt vanlig papperskorg, så att trötta rökare kan komma och gå utan att behöva dra kortet och trycka koden.”

”En chef som skulle sända mig sin publika pgp-adress tog fel och skickade sin privata nyckel i stället.”

”En dator innehållande känsliga uppgifter, som enligt polis absolut inte fick vara uppkopplad mot någon form av nätverk, var ansluten till ett trådlöst nätverk och med påslagen bluetooth inställd till att acceptera inkommande anslutningar. Musen och tangentbordet använde sig av bluetooth och den tidigare it-ansvarige hade ställt in detta. Att den var ansluten mot wlan försvarades med att ingen ändå använde webbläsaren.”

”En Microsoft-server hos en ny kund, ansluten direkt till internet, där i princip alla delningar var öppna för vem som helst.”

”En nätverkstekniker skrev ned lösenordet till admin-kontot på en lapp som han tappade på golvet. Tur att jag som chef var den som hittade lappen.”

”En svensk bank för ganska länge sedan. En person (inte jag!) skulle demonstrera säkerheten i stordatorsystemet. Det ska inte gå att ta bort laddbiblioteket för alla program i produktion. Det gick!!!”

”Kund kopplar in utrustning i eget nät, skapar nätverksloop som slår ut isp samt alla dess kunder, multipla gånger. Hos isp så går all trafik ut genom samma brandväggskluster, men klustret klarade inte av trafiken ...”

”Ett företag råkade radera fel databas, test och produktion låg på samma nät och av misstag raderades produktionsdatabasen istället för testdatabasen.”

”Som rådgivare inom it-säkerhet ser jag ett ganska stort antal olika verksamheter under ett år. Vid ungefär en fjärdedel av de kunder vi kommer till kan alla anställda komma åt alla andra anställdas hårddiskar genom "start", "kör" "\\ip-nummer\c$". Det är ett så självklart fel att det inte ens testas. Orsaken brukar vara att man krånglat till det med lokala administrativa rättigheter och grupper.”

”Storskalig stöld av upphovsrättsligt skyddat material. Upptäcktes av en slump ...”

”Stöld av bärbar företagsdator som inte varit krypterad.”

”Tekniker loggar in med domänadmin-konto på en virussmittad pc. Viruset spreds via servrar till tusentals datorer inom några timmar.”

”Teliasonera uppdaterade tabeller i core-routrar utan att ha testat och verifierat uppdateringen, och utan att meddela berörda kunder. Hela vår verksamhet i landet stod stilla i minst 12 timmar innan orsaken upptäcktes och ytterligare 12 timmar innan alla serviceställen var uppe igen.”

”Tron på molnet. Cirka 1 000 personer i Sverige, Norge, Danmark och Finland utan förbindelse med molnet i en vecka, i praktiken sysslolösa, på grund av att vatten trängt in i en fiberkabel i Finland. De som klarade det bäst var de som backat upp molnet på egen hårddisk och var på kundbesök. Och detta är inte enda gången …”

”Två fall faktiskt. Det första var en Cisco-router på utsidan av en brandvägg som hade user: admin och password: password, precis som i manualen. Det andra var när en kollega i ett stort företag ville ha hjälp att kartlägga en avdelnings delnät för att lämna en offert. Jag skannade nätet med hjälp av Cybercop, ett hackerverktyg, men glömde stänga av allt utom "hitta alla enheter och gissa vilken typ". På så vis hittade jag 40 stycken pc med password=userID. Deras chef blev rasande när jag berättade, det var nästan den största tabben.”

”Underleverantör slår av säkerhetssystemet för programinstallation, startar det sedan med tomt säkerhetsprotokoll.”

”Verksamhetskritisk tjänst på en oskyddad dator med rastlösa värnpliktiga runt omkring. Det tog inte lång tid innan Tetris var installerat.”

”Vpn-anslutning med egencertifierat certifikat. Instruktioner om att vi kör med egencertifierat certifikat, ignorera alla certifikatvarningar. Inget fingerprint på certifikatet eller liknande i instruktionen.”

Sida 1 / 3

Innehållsförteckning