Balans nr 6–7 2000

IT-säkerhet: Bristande säkerhet hos många företag och organisationer

Det blir allt dyrare med brister i informationssäkerheten, men trots detta har få företag ett bra säkerhetsskydd. Det visar en undersökning av Ernst & Young.

Byråns senaste undersökning från 1998 omfattar drygt 400 företag och organisationer, de flesta med upp till 250 anställda. Frågorna besvarades i första hand av IT-chef eller motsvarande.

Några slutsatser från den undersökningen:

  • Nästan alla använder internet för att överföra viktig ekonomisk och produktionsrelaterad information.

  • De ekonomiska skadorna på grund av svagheter i informationssäkerheten ökar både till antalet och beloppsmässigt.

  • Hotet från utomstående hackers är störst.

  • Intrång leder nästan alltid avbrott i de elektroniska systemen.

  • Nära nio av tio uppger att ledningen inser att informationssäkerheten är viktig, men trots detta saknar

  • åtta av tio organisationer plan för hur intrång ska hanteras

  • fyra av tio informationspolicy.

Datasäkerhet het

Utredningens resultat förvånar inte Johan Henrikson på Protect Data som arbetar med datasäkerhet, en oerhört het bransch idag.

– Vi expanderar våldsamt, kunderna står på kö, förklarar Johan Henrikson. Tyvärr ringer många först när skadan är skedd. ”Kom hit NU”, låter det ofta.

Han betonar att många företag inte byggt ut säkerhetstänkande, informationspolicy och beredskapsplaner i samma takt som man köpt utrustning och börjat arbetat med elektronisk handel och kommunikation.

– Det finns fortfarande en viss handfallenhet när något ovanligt händer, säger han. Målet är att alla på en arbetsplats ska veta vad man ska göra och inte göra när ett virus har tagit sig in i datorn och vem man ska kontakta.

Han håller med Dan Engström att bra säkerhet börjar och slutar hos det egna säkerhetstänkandet och att även om företaget har byggt upp brandväggar, klassningslistor och andra i sig nödvändiga säkerhetsregler stoppar det inte ett virus som exempelvis ”ILOVEYOU”.

– Det såg ut att vara skickat från någon bekant, eftersom adressen knycktes ur adressböcker, förklarar Johan Henrikson. Virustillverkaren utnyttjade vår nyfikenhet och fåfänga. Får man ett mail med rubriken ”Jag älskar dig” från någon på jobbet man är kanske intresserad av, då är frestelsen stor att öppna den bilaga som medföljer brevet. Där ligger viruset.

– Ett sådant virus går att stoppa om man ögonblickligen uppdaterar sitt virusskydd, tillägger Johan Henrikson. Det tog två timmar för producenterna att finna ett antivirus som sedan kan hämtas ner från internet. Men då var skadan redan skedd hos många.

Säkerhetstänkande och beredskapsplaner viktigt

Naturvårdsverket, Kristianstads kommun, Luftfartsverket, Länsstyrelsen i Stockholm är bara några exempel på myndigheter och affärsverk som tvingades stänga sin e-posthantering. Nätverkssystemen hotade att kollapsa eftersom viruset skickade sig självt vidare genom adressboken hos dem som öppnat bilagan. På kort stund skickades tusentals e-postbrev runt i nätverk runt hela världen.

Johan Henrikson föreslår att alla företag och organisationer bör ha ett förankrat säkerhetstänkande, klargörande informationspolicy och konkreta beredskapsplaner. Men var och en kan också tänka på följande.

– Öppna aldrig en okänd e-postbilaga. Där ligger ett eventuellt virus och lurar. Är du det minsta osäker, ring avsändaren och fråga vad han eller hon har skickat.

Pär Trehörning