Orsakerna till ökända IT-misstag

Patientsamtal lades ut på nätet och utländska aktörer fick tillgång till viktiga styrsystem. Det är bara två av de stora säkerhetsmissar som har uppmärksammats nyligen. Bakom många av dem finns – ja just det, den mänskliga faktorn.

Hur många olika IT-lösningar är sammankopplade på ert företag?

Frågan är antagligen omöjlig att besvara, eftersom digitaliseringen har pågått så länge att det har skapats ett myller av system och komponenter. Det är i dag normalt att det finns många hundra olika digitala system i ett företag, säger Jonas Söderström, effektstrateg på inUse och författare till boken ”Jävla skitsystem”.

Det här oöverskådliga myllret är många gånger orsaken till säkerhetsmisstag och IT-haverier, menar han.

– Jag har läst att det spekuleras i att Boeing-krascherna berodde på att deras system hade blivit för komplext, så att det var någon detalj som kom i ”skymundan”. Även när patientsamtalen till 1177 läckte ut kan man säga att det berodde på systemens tekniska komplexitet. Vi bygger in oss i en allt mer sårbar situation.

Behov av avvecklare

Jonas Söderström anser därför att det borde finnas en yrkesroll vid sidan om IT-utvecklare, nämligen IT-avvecklare.

Ett virtuellt nätverk är även betydligt enklare att managera eftersom det går att ändra inställningar på alla dina virtuella enheter på samma gång, istället för att manuellt uppdatera enskild hårdvara. Du kan också enklare skapa brandväggsskydd hela vägen ner till varje enskild virtuell maskin så att en attack mot en virtuell maskin inte sprider sig i nätverket.

– Det är naturligt att det finns ett starkt fokus på utveckling – det är ju mycket tråkigare att behöva tänka på och lägga resurser på avveckling. Men när vi hela tiden lägger till nya delar, utan att ta bort gamla, kommer det till slut att uppstå säkerhetsrisker, säger Jonas Söderström.

Han anser också att det finns en risk med att ha allt för höga säkerhetsambitioner.

– Tänk så många konton och lösenord du måste hålla reda på i både jobb och vardag numera. När du plötsligt måste skapa ett nytt konto för att uträtta något enkelt ärende så är det nära tillhands att ta till det standardlösenord som ligger längst fram i huvudet.

Till slut kommer samma lösenord gälla på en rad olika tjänster, och så plötsligt är det någon hackare som kommer över det hos någon trivial tjänst där man inte haft tillräckligt bra koll.

Visat lösenord i tv

Är då lösningen att genomgående ha avancerade lösenord? Nja, det kan också slå bakut – det har bland andra brittiska tågkontrollanter , Super Bowls säkerhetsavdelning och franska TV5 Monde blivit varse. Krångliga lösenord skrivs upp på lappar som hamnar på skärmar eller väggen – och när sedan någon kommer för att filma eller fotografera på platsen så kan lappen råka hamna i bakgrunden av bilden…

– Det ser rätt lustigt ut, men det kan vara jätteallvarliga missar. Det innebär ju att det skapas möjligheter till kriminalitet, säger Jonas Söderström.

Det finns två viktiga lärdomar att dra av de olika stora säkerhetsmissarna, menar han.

– För det första: säkerhet kostar. Det är inget som går att spara in på, det märkte Karolinska universitetssjukhuset när deras akutröntgen slutade fungera – anledningen lär ha varit att de hade fortsatt använda ett gammalt operativsystem utan virusskydd. Och just den ökande komplexiteten gör att även kostnaderna för säkerhet ökar – och att de ökar ännu snabbare.

Beredskap för strul

Den andra lärdomen är att ”skit händer” – inga system är ofelbara, och det gäller att det finns en beredskap för att det blir strul.

– Arbetet är organiserat utifrån att vi ska kunna jobba med system som aldrig går ner eller blir hackade. Men det är naivt att tro att det bara kommer att fungera problemfritt i all evighet. För att kunna hantera situationen så smidigt som möjligt gäller det att i första hand ha utrymme för ”slack-tid”, alltså när det inte går att arbeta på som vanligt.

– På många ställen övar man nu på systemhaverier och säkerhetsstörningar. Men hittills har man gång på gång märkt att nya incidenter ständigt inträffar, och att säkerhetsåtgärderna varje gång visat sig otillräckliga – och behöver förstärkas ännu mer, och ännu mer igen...

Säkerhetsmissar vi minns (eller har lyckats förtränga):

Råkade stoppa in en internetsladd…

Computer Sweden avslöjade i februari 2019 att de hittat 2,7 miljoner inspelade samtal till rådgivningsnumret 1177 på en öppen webbserver, helt utan lösenordsskydd eller annan säkerhet. Samtalen sträckte sig tillbaka till 2013 och det handlade om 170 000 timmar av känsliga samtal som vem som helst har kunnat ladda ner eller lyssna på.

Enligt vd:n på det ansvariga företaget, Voice Integrate Nordic, har ”troligtvis någon under en uppdatering helt enkelt stoppat in en internetsladd i hårddisken. Då fick den en ip-adress, och sen var det fritt fram.”

Känsliga uppgifter låg ute ett par år

Cirka 80 IT-tekniker utan svensk säkerhetsklassning har haft tillgång till Transportstyrelsens IT-system i 29 månader. Det handlar om tekniker hos IBM:s systerbolag i Ungern, Serbien, Rumänien och Tjeckien.

Det visade sig bland annat att känsliga uppgifter ur körkorts- och fordonsregistret har legat öppna för obehöriga från maj 2015 till oktober 2017.

Enligt Transportstyrelsens egen rapport ligger en del av förklaringen till säkerhetshaveriet i uppbyggnaden av Transportstyrelsens omfattande och komplexa IT-miljö, som utvecklats sedan 1970-talet och successivt byggts på utifrån nya lagkrav och förändrade behov.

Skulle kunna störa landets elförsörjning

Svenska kraftnät har gett utländska IT-tekniker tillgång till system som styr drift och övervakning av stamnätet för el. Det har skett utan säkerhetsprövning enligt svensk lag. Systemet är klassat som betydande för rikets säkerhet. Genom systemet skulle teknikerna i praktiken kunna störa Sveriges elförsörjning.

Virusskyddet lurades öppna infekterade filer

En allvarlig säkerhetslucka i antivirusprogrammet Microsofts Malware Protection Engine gjorde det möjligt för hackare att lura antiviruset att självmant öppna infekterade filer. Vilket alltså gjorde virusskyddet till angripare. Det här uppmärksammades under våren 2017.

Tillgång hela datorns minne – med alla lösenord

Säkerhetsproblemet Meltdown skapade i början av 2018 en hel del oro världen över – det gjorde att hackare kunde köpa utrymme i en molntjänst, och på så vis nå användares privata uppgifter. De kunde komma åt hela din dators minne – och därigenom dina lösenord och krypteringsnycklar.

Gick att runda lösenordsskyddet

Det var Intels processorer som var utsatta för Meltdown-problemet, och i samma veva visade det sig att om Intels system för att fjärrstyra datorer inte var korrekt inställt, så var det skrämmande enkelt att ta sig runt datorns lösenordsskydd. I värsta fall gick det att få full åtkomst till datorn på under en minut.

Starta datorn från cd-skiva

Till sist en gammal ”goding” från 2003: En bugg i Windows XP gjorde att vem som helst som hade en cd-skiva med Windows 2000 kunde välja att starta från denna skiva och sedan därigenom få full tillgång till Windows XP-burken, utan att behöva ange några lösenord överhuvudtaget.

Buggen kunde visserligen bara utnyttjas om man hade fysisk tillgång till en dator, vilket innebar att säkerhetsrisken var rätt begränsad, men upptäckten lär ha varit en aning pinsam...

Källor:
www.grahamcluley.com/train-control-centre-passwords-revealed/
www.sbnation.com/lookit/2014/2/2/5371540/super-bowl-2014-security-wifi-password-tv
www.independent.co.uk/life-style/gadgets-and-tech/news/tv5monde-hack-staff-accidentally-show-passwords-in-report-about-huge-cyber-attack-10168475.html
www.svd.se/datavirus-slog-ut-sjukhusrontgen
computersweden.idg.se/2.2683/1.714787/inspelade-samtal-1177-vardguiden-oskyddade-internet
www.dn.se/ekonomi/ansvarig-for-vardguiden-haveriet-manskliga-faktorn/
www.voister.se/artikel/2018/01/rapporten-fran-transportstyrelsen-om-it-skandalen/
www.dn.se/nyheter/sverige/svenska-kraftnat-gav-utlandsk-personal-tillgang-till-styrsystem-for-elforsorjningen/
techworld.idg.se/2.2524/1.682173/microsoft-massiv-sakerhetsmiss
www.expressen.se/dinapengar/tech/global-sakerhetsmiss-i-datorer-kriminellas-ingang-till-dina-losenord/
www.nyteknik.se/digitalisering/sakerhetsmiss-gor-det-busenkelt-att-knacka-losenordet-pa-datorn-6893112
pcforalla.idg.se/2.1054/1.67427/pinsam-sakerhetsmiss-i-windows-xp

10 juni 2019

Vilka är fördelarna med molnmanagerat nätverk?

Molnmanagerat nätverk innebär massor av fördelar jämfört med traditionella lösningar. Har du bytt ut ditt gamla nätverk än?

23 maj 2019

Edge – det här behöver du tänka på för att stå rustad för framtiden

Just nu sker ett skifte för att hitta en bra balans mellan vad som bör läggas i molnet vs lokalt för att på bästa sätt stötta affärsmodeller och företagens behov.

25 april 2019

Cyberbrott kostar mer än naturkatastrofer

Den kraftigt ökande cyberbrottsligheten kostar individer, organisationer och samhället enorma belopp varje år. Undersökningar visar att nordiska företag ofta saknar grundläggande försvar mot dessa attacker.

14 april 2019

Enkla, säkra och prisvärda IT-lösningar för små och medelstora företag

Med färdigpaketerade lösningar som fungerar direkt ur lådan vill HPE, Dustin och Aruba göra det lättare att skapa en smart och säker IT-miljö.

5 april 2019

Dustin designar IT-infrastruktur för vården

PatientSky är en öppen plattform som underlättar livet för vårdgivare och deras kunder, tack vare en robust infrastruktur som garanterar drift- och datasäkerhet.

13 mars 2019

Utmaningar i den digitala skolan – och lösningen

Många företag har redan börjat se fördelarna med att flytta sin klienthantering till molnet – och nu följer skolorna efter.

1 mars 2019