Advarer mot det glemte sikkerhetshullet

Hver fjerde virksomhet mangler kontroll over hvem som kommer og går. Dette er en alvorlig sikkerhetstrussel, hevder produktsjef sikkerhet Dag Sørlie i Datametrix.

Hvert år investeres det store beløp i ulike systemer og programvare som beskytter forretningskritisk informasjon. Da er det urovekkende å tenke på at én av fire virksomheter opplyser at de mangler fysisk sikring i form av adgangskontroll til lokalene sine, mener Sørlie.

Om sommeren med mange vikarer i arbeid, kan det bli ekstra vanskelig å vite hvem som skal ha eller ikke ha tilgang til lokalene.

Verst i kommunene

Dette fremkommer i en undersøkelse Datametrix har fått gjennomført blant 356 norske kommuner og private bedrifter.

Respondentene er IT-sjefer og rådmenn i 100 kommuner og IT-sjefer og ledere i 256 private bedrifter med over 50 ansatte. Undersøkelsen er foretatt av NORSTAT blant en representativt utvalgt av bedrifter over 50 ansatte og norske kommuner.

Adgangskontroll er fellesbetegnelse for alle automatiserte systemer som har som formål å kontrollere individers adgang til avgrensede områder. Kommunene er de som sliter mest med den fysiske sikkerheten i form av manglende adgangskontrollsystemer. Her forteller én av tre (33 prosent) at de ikke har adgangskontroll med bygg.

Mangler adgangskontroll

Litt bedre står det til blant private virksomheter hvor én av fem (18 prosent) forteller at de mangler adgangskontroll. Ser vi på størrelsen på virksomhetene så er forskjellen marginal.

Den fysiske sikkerheten er altså like dårlig blant virksomheter med 50-100 ansatte som de med 100 ansatte eller mer.

Printeren er det svake punktet
– Den fysiske adgangskontrollen er et glemt sikkerhetshull hos mange bedrifter. Vi er blitt flinke til sikre de forretningskritiske systemene for omverden. Men har man først kommet seg innenfor, så er det straks mye enklere å gjøre skade. Det kan være mange svake punkter i et bygg, for eksempel i skriveren, sier produktsjef sikkerhet Dag Sørlie i Datametrix.

 Eksemplet med printeren trekkes bevisst frem fordi den representerer en av de aller største sikkerhetshullene på en arbeidsplass. Årsaken er at de fleste bedrifter benytter seg av multifunksjonsskrivere som blant annet har skannere. Disse skannerne er ofte satt opp slik at de sender e-post mot det skannende dokumentet. Veldig ofte kjører denne løsningen på et gammelt operativsystem eller på en e-postløsning uten brukernavn og passord.

Enkle å hacke
– For en datakyndig med onde hensikter er det enkelt å konfigurere printeren slik at all e-post som sendes til den går via sin egen datamaskin før e-posten sendes videre. Dermed får vedkommende åpen adgang til mye informasjon fra bedriften. En annen viktig ting med printere er at de ofte er medlem av domene, og ofte er også en administratorkonto på printeren. Printere er igjen relativt enkle å hacke, og da har man plutselig administratortilgang til hele nettverket og «eier» dette, sier Sørlie.

Ingen stopper en mann i dress
Uten adgangskontroll kan i praksis hvem som helst gå ut og inn av et lokale. Til vanlig vet man kanskje godt hvem som er kollegaer eller ikke. Nå om sommeren, med mange vikarer i kommuner og større virksomheter, kan det være verre å ha den oversikten.

 – Det sies dessuten at ingen stopper en mann i dress. Går man inn i et lokale i en fin dress og sier man har et møte, så er det ingen som setter spørsmålstegn ved det. Kanskje sier man at man er tidlig ute og ber om å få låne ”nettverket” for å sende en mail mens man venter, og plutselig så er man innenfor nettverket og kan gjøre stor skade. Med et adgangskontrollsystem hvor man må registrere seg selv og hvem man skal besøke vil man få kontroll på hvem som har noe å gjøre i lokalene eller ikke, sier Sørlie.

Foto: Bård Gudim

Legg igjen en kommentar