FRA PLUSS TIL MINUS: Vegard Kjerstad leder Hendelseshåndteringsteamet i Atea. I denne kronikken beskriver han hvordan positive prosjekter raskt kan forvandles til store sikkerhetsutfordringer. (Foto: Ane Svensli)

Når gode intensjoner får konsekvenser

KRONIKK: Vi som jobber med it-sikkerhet blir ofte spurt om hva det er organisasjonene gjør feil. En gjenganger er pågående it-prosjekter der nye systemer skal fases inn, forteller Vegard Kjerstad.

Publisert Sist oppdatert

Når et system skal fases ut, mister ofte organisasjonen vilje eller ressurser til å holde det gamle systemet oppdatert.

Det blir som når bileiere velger å droppe service på gammelbilen, fordi en ny bil er i bestilling. Helt forståelig, men leveranser kan bli forsinket, og det er vel ingen som ville ha valgt å kjøre en eldre bil uten fungerende bremser?

Undervurdert tidsbruk

I flere av hendelsene er årsaken at fjerning av gammel løsning tok lengre tid enn estimert. Eller at det tok lengre tid å innføre enn planlagt. Ikke akkurat ett helt ukjent problem, da det ofte undervurderes hvor lang tid det tar å bytte løsninger. Det å innføre nye løsninger krever informasjon ut til brukere, opplæring, pilotperiode og full utrulling. Her blir det ofte forsinkelser før alle puslebitene er på plass. I hele denne tiden må eksisterende løsning være i full drift og holdes oppdatert.

Gode råd

Vårt råd er:

1. Så lenge et system er i bruk, må det vedlikeholdes. Det hjelper lite at det er et fåtall brukere igjen på systemet, hvis det er en lavt hengende frukt for angripere.

2. Systemer under innføring må vedlikeholdes av de som er ansvarlig for innføringen. Hvis det er en kritisk sårbarhet i nye løsningen, hjelper det lite at systemet ikke er satt i produksjon ennå. Kan brukere teste, kan angripere misbruke.

Å invitere til problemer

Med en sårbarhetsanalyse av kunder oppdager vi ofte gamle løsninger som står eksponert mot internett. Da får vi beskjed om at disse er systemer under avvikling eller it-avdelingen tror ikke disse lengre er i bruk. Så lenge noe står med strøm på og er operative, må de vedlikeholdes. Hvis de ikke er i bruk, skal de slås av. Hvis de ikke kan avvikles, og ikke kan oppdateres, må de sikres ved andre metoder. Å la de bare stå, er å invitere til problemer.

Ofte ser vi organisasjoner som ikke tør slå av systemer fordi de har mistet kontroll om hvorvidt systemet fortsatt brukes til noe. Angripere bryr seg lite om den problemstillingen. Er systemet en vei inn, vil de bruke det.

Et relevant eksempel her er sårbarhet i Microsoft Exchange, som i alt for stor grad fortsatt er mulig å utnytte. 61 prosent av internett eksponerte exchange servere er upatchet, til tross for at den er 8 måneder gammel. Her kan det være at man er midt i et migreringsprosjekt til sky, eller man har rester etter gammel infrastruktur fortsatt oppe.

Penetrasjonstest eller sårbarhetsanalyse

En periodisk sårbarhetsanalyse eller en penetrasjonstest fra utsiden mot organisasjonen kan hjelpe mye for å lukke de enkleste veiene inn for angripere. Det kan hende noen har satt opp midlertidig løsning for et prekært problem, med intensjon om å sikre løsningen bedre etterpå. Dette kan bli glemt i en hektisk hverdag, En sjekk mot dette kan være en grei påminnelse.

Ingen ville ha lagt ut på norske vinterveier med familien i baksetet i en gammel bil med slitte vinterdekk og dårlige bremser med unnskyldning om at ny bil er i bestilling. De fleste forstår at nybilbestillingen ikke løser risikoen til situasjonen man er i. Slik er det også i den virtuelle verden.

 

Vegard Kjerstad, Atea