Den siste store virusplagen som har skyllet over oss de siste månedene har rammet over 10 millioner PC'er verden over. Viruset, som egentlig er det vi kaller en orm, har fått navnet "Conficker" og mistenkes å stamme fra Ukraina. Ormen utnytter en kjent sårbarhet i en service på både klient- og serverOS, så det er mange potensielle maskiner som kan bli rammet. Når man først er rammet prøver ormen å laste en ny versjon av seg selv, stenge ned en del tjenester osv. I bunn og grunn sørge for at man ikke får benyttet maskinen på vanlig måte. Du kan lese mer om dette her. Å "vaksinere" seg mot ormen er faktisk så enkelt som å kjøre Windows Update og hullet blir tettet. Dersom man allerede er infisert, er det et utall programmer som kan hjelpe deg.Og her er vi ved kjernen av problemet. Staten har blitt rammet hardt, og ikke minst ble Politiet lammet av Confickerviruset i lang tid. Årsaken er rett og slett dårlig håndtverk fra IT-ansvarliges side. Det skrikes og hyles om at Windows og Microsofts programmer er full av huller og utsetter det offentlige for unødvendig risikoeksponering, men jeg mener at problemet ikke ligger i progamvaren, men hos de som jobber med IT i det offentlige. Som Digi skrev noen uker før Politiet ble angrepet av ormen: "Dumme brukere får virus". Det er faktisk så enkelt!
Det offentlige må virkelig skjerpe seg når det gjelder forvaltningen rundt sine IT-systemer, spesielt rundt de nettsentriske løsningene og klienthåndteringen. Det er som Eirik Rossen skriver i sin kommentar på Digi:
IT-sikkerhet handler bare til en viss grad om teknologi. Det handler først og fremst om brukere. Det handler om kultur, om å vise ansvar, om å ta forholdsregler, om å legge opp sin adferd i visshet om hva slags risiko man løper.
Og her har vår ordensmakt virkelig sviktet. Og det mener jeg ikke er akseptabelt overhodet. Hvordan skal de få gjort jobben sin dersom støttesystemene deres ikke fungerer? Eller enda værre, at uvedkommende kan få tak i opplysninger om straffesaker, bevis o.l. Når klientene og de nettsentriske løsningene er kompromittert, kan man f.eks. få bevis, avhør eller bilder til å forsvinne eller bli endret og ødelegge en etterforskning og gjerningspersonene kan gå fri. Kan og vil vi leve i et slikt samfunn der ordensmakten ikke klarer å forvalte systemene sine sikkert?
Det offentlige, og Politiet spesielt, bør ha et temmelig strikt sikkerhetsregime vedrørende sin forvaltning av IT-systemer og IT-infrastruktur. Det er klart at de ikke har IT og IT-sikkerhet som primæroppgave, men det finnes selskaper som oss i Atea som sitter på mye ekspertise for å redusere risikoen og gjennomføre arbeidet for å komme dit.
I fremtiden vil vi se mye mer av det som kalles cyber-kriminalitet, altså kriminalitet ved hjelp av nettet. Jeg håper virusangrepet virkelig var en tankevekker for de som har ansvaret og at de er seg ansvaret bevisst og gjør noe med utfordringene. Forsvaret klarer det, så her kan Politiet virkelig lære av dem.
Virus eller ikke, Wilhelms Widunderlige Werden vil alltid være tilgjengelig for alle...
5 kommentarer:
Men det er ikke alltid så enkelt.... Noen ganger får IT-avdelingen en stor utfordring rundt funksjonalitet, sikkerhet og brukeropplevelsen internt.
F.eks så vil IT-avdelingen at systemet skal være 100% sikker, man får ikke gjort mange oppdateringene selv. Og ting er rimelig låst til det man skal drive med. Men så har man noen brukere som skal installere noen programmer selv, eller vedlikeholde ett eller annet. Da må man låse opp for disse. Og det er da man er skikkelig sårbar - plutselig har en håndfull medarbeidere tilgang til alt, og der - wips så var man angrepet.
Men det er derfor vi er her :)
Hmm. Du har selvsagt rett i at sikkerhet ikke er høyt nok prioritert i dette tilfellet, men når det gjelder tjenester som helse, politi, infrastruktur o.l bør man kanskje helst satse på open source/frie løsninger - ellers ender man ofte opp med dinosauriske løsninger ala politiet som MÅ kjøre på NT4 (så vidt jeg har skjønt var det i hvert fall svært antikvariske systemer med i bildet). Open Source/frie løsninger, samt utstrakt bruk av åpne standarder som fint kan støttes på flere plattformer er alltid noe man skal strekke seg etter, etter min mening, så langt det lar seg gjøre. Hvis man setter dette som krav skal man kunne bytte fra Mac til Windows til Linux til en annen programvare på minutter uten å miste tilgang til dataene sine. Og man skal kunne ansette utviklere for å gjøre justeringer uten at det er noe problem eller at det koster lisenspenger. Det er selvsagt en ideell verden som kanskje ikke finnes ennå, men noe svært mange jobber mot. Ellers er det absolutt mulig å kombinere åpen med lukket, slik at "alle" fint kan være med. *Jeg* er dog ganske sikker på at ting hadde vært sikrere og mer fleksibelt hvis man hadde valgt noe annet enn Windows (og lukket programvare). Jeg snakker da først og fremst om Linux bare for å banke det inn.
Jeg er ellers ikke overrasket over at dette kan skje, dumme brukere eller ikke. Mange IT-sjefer (pun intended) er kjent for å male sin egen kake, beskytte sin jobb og "selge" sine løsninger - og de er livredd for å miste kontrollen (selv om det er det de tilslutt gjør). Dette går selvsagt også på bevilgninger og at politiet ikke har fått midler til å sikre seg og oppdatere seg teknologisk er jo ganske dumt (men vi har jo sett mange eksempler på prosjekter som har fått midler, men som har strandet).
Diskusjonen er uansett verd å bruke tid på og det er mange interessante meninger rundt dette - og jeg hevder overhodet ikke at jeg har fasiten. Men jeg opplever deg likevel mest som selger for ATEA i denne bloggen og ikke meningsutveksler. Det blir litt vanskelig å ta deg seriøst når du velger å ta på deg den hatten.
Har ikke til intensjon å selge inn hverken Atea sine løsninger eller andre løsnigner her - men det jeg mener er at det er ikke alltid like enkelt å være IT-sjef når man skal ta hensyn til alle i organisasjonen sin.
Men hvis vi isolert sett ser på Politiet sine løsninger, så bør det være mindre problem for IT-ansvarlig å lukke ned / låse ned systemet slik at man får bedre kontroll. Hvordan man låser det ned vil være opp til den enkelte IT-ansvarlig.
Tror ikke løsningen vil være å velge open soruce bestandig, men her må man ta en avveining på hva som blir enklest å bruke også.
Open source er jo vel og bra, men det er sjelden IT-ansvarlig som velger applikasjonene som leveres - likevel om han har påvirkningskraft på både valg av applikasjoner og platform, så er det sjeldent en mulighet for bedrifter idag pga. mangel av støttet software på eks. Linux.
Heldigvis har vi mange fine teknologier som terminalserverteknologi, og virtualisering som gjør at man får kjørt flere platformer samtidig uavhengig av hva klienten kjører.
Men problemets kjerne kan like gjerne skje en steinalder løsning basert på open source og på et lukket system.
At Wilhelm har på seg ATEA-hatten her skinner vel gjennom. Han er en god diplomat synes jeg.
Mvh
Morten Holje
Konsulent
Jeg har aldri sagt at Linux eller open source er uten problemer, men jeg synes det i visse tilfeller, spesielt ref politiet og andre viktige etater, bør være en kravspec som er litt visjonær og fremtidsrettet. Og dette berører oss alle - potensielt veldig alvorlig. Altså må kravene være ekstra skjerpet. Man kan ikke implementere systemer som er kortsiktige slike steder - og derfor må man stille seg en del spørsmål ala om man skal eie dataene sine og hvor fremtidsrettet lagringen av dataene er? Skal man forholde seg til åpne standarder og gir open source-systemer/programmer noen fordeler i så måte? Hva med sikkerhet? Man kan diskutere kostnader knyttet til de forskjellige plattformer også, både når det gjelder lisensiering og drift (evt også utvikling og sikkerhet). Jeg er ikke noe fan av å legge alle eggene i én kurv, så jeg mener man bør bruke åpne standarder i alle vitale deler, open source så mye som overhodet mulig og og ha en kravspec som sikrer dataene sine i "all" fremtid. Minstekravet må *i hvert fall* være at programvaren forholder seg til standarder, om det er web, dokumenter, tegninger, databaser e.l. Da vil alle operativsystemer (Windows, Linux og MacOSX pr i dag) kunne forholde seg til de samme dataene og man kan implementere både nye plattformer og ny software hvis man ønsker det uten for mye hassle.
Det er forøvrig mange eksempler på sikre, suksessfulle løsninger som baserer seg på open source/fri programvare. Bankenes Betalingssentral er Linux-basert og klarer seg f.eks _veldig_ bra. Hvorfor skulle ikke politiet klare å gjøre det samme?
Merk at jeg ikke er ute etter å "ta" Windows/Microsoft eller mener at open source automatisk er bedre til alt. Men når det gjelder helse, politi og infrastruktur spørs det om vi har råd til å la være.
Bjørn Venn:
http://bjorn.venn.no/hvem-bruker-fri-programvare/
Martin Bekkelund har også mange gode blogginger om saken:
* http://www.bekkelund.net/blogg/2008/04/21/fri-programvare-lonner-seg/
* http://www.bekkelund.net/blogg/2008/07/17/fri-programvare-og-tilgang-pa-kompetanse/
Dette oppsummerer vel stort sett det jeg mener også:
* http://www.bekkelund.net/blogg/2008/05/20/fri-programvare-og-personlige-valg/
Jeg tror Martin har blogget om politi-saken også, men jeg fant det ikke i farta - mulig det ligger et annet sted enn på bloggen hans.
DT
Legg inn en kommentar