Minimér dataadgang til det absolut nødvendige

Gode råd om datasikkerhed

  • Få styr på, hvilke data virksomheden håndterer. Hvad er de følsomme oplysninger?
  • Minimér dataadgang til det absolut nødvendige – både for almindelige brugere og it-folk.
  • Del ikke credentials – brugernavn, passwords er dine egne.
  • Kryptér følsomme oplysninger – både ved datatransmission og ved datalagring.

Principle of least privilege.

Det er den snusfornuftige regel fra informationssikkerhed om, at brugere kun skal have adgang til de data, som er nødvendige for, at de kan udføre deres arbejde. Rettigheder til at oprette, læse, opdatere samt slette data tildeles ud fra en vurdering af, hvad brugeren har brug for. Det sker dels for at begrænse eventuelle fejloperationer og dels for at have styr på, hvem der gør hvad med data. De fleste, forhåbentligt alle, it-professionelle kan se fornuften i at anvende princippet om kun at give den allermest nødvendige adgang, når slutbrugere tildeles systemadgang.

Men hvordan ser det ud i virkeligheden for udviklere, testere og systemadministratorer? Er vi lidt mere large med systemadgang til os selv, fordi det gør vores liv lidt lettere?

Det mener Rene Løhde, der blandt andet med en baggrund som cloud-evangelist og -arkitekt hos Microsoft og nu som medstifter af konsulentvirksomheden It-wrk, har været involveret i mange it-projekter i danske virksomheder. Han opfordrer til en strammere sikkerhedspolitik.

– I stedet for at give least privileged right har eksempelvis DBA'er ofte fri adgang til det hele. Har du den store hoveddørsnøgle, så kan du se det hele. Så kan vi selvfølgelig lave processer, der forsøger at rette op på det ved at logge dataadgang, sikre, at der altid er to DBA'er til stede og andre proces-ting. Der er da også folk, som har processerne på plads og er superskarpe på det her, men faktum er, at der ofte er gavmild adgang til klartekst-databaser, hvor du kan se det hele, siger han.

Den forbandede arv

Årsagen til det er blandt andet arven fra legacy-systemer, der ikke altid har de mest avancerede sikkerhedsfaciliteter. En arv, som det er dyrt at komme af med, ligesom dyre licensaftaler er med til at forværre tingenes tilstand.

– Opgradering til nye databasesystemer med bedre sikkerhed er dyrt licensmæssigt, ligesom omkostningerne ved migrering af systemer til nye databaser er store, siger Rene Løhde.

Men licensaftaler og legacy-systemer er kun en del af problemet. Rene Løhde mener, at it-folk som profession må blive bedre til at lægge dårlige arbejdsvaner på hylden. Vaner som godt nok giver fleksibilitet, men også skader sikkerheden.

– Det sker ofte, at der deles login til de gamle databaser mellem administrative brugere. Selvom vi godt ved, at det er forkert, så er der masser af eksempler på det. Det er jo så nemt at dele, og hvis du har glemt passwordet, så husker din sidemand det, siger Rene Løhde ironisk og tilføjer:

– Jeg ser også de samme problemer om fuld adgang i nyere systemer, fordi det er sådan, vi har været vant til at gøre det.

Kryptering af data

Som alle ved, vil eksempelvis kryptering eller anonymisering af data gøre det mindre interessant for kriminelle og ondsindede personer at stjæle data, men det sker ikke altid. Igen spiller årsager som legacy-systemer  og arbejdsvaner, som er dikteret af tidsmæssigt pres, ind.

– Du kan sikre data under transport og at rest, når de er gemt i databasen eller på filsystemet. HTTPS er kryptering af kanalen under transport, mens det er mere kompliceret at kryptere selve beskeden under transport, så her er det ofte en afvejning af omkostning kontra sikkerhed, siger Rene Løhde.

Han har som specialist i cloud computing set en positiv udvikling, når det gælder krypteringsfeatures.

– Specielt efter Snowden er det blevet enkelt at kryptere data at rest. Det er nu en standard-feature i cloud-storage som Amazons S3, Azure Storage og Google Cloud Storage, siger han.

Bedre bruger- og rettighedsstyring

Krypteringsfeatures findes også i traditionelle databaser, så mulighederne for bedre sikkerhed er til stede. Eksisterende brugerstyringssystemer gør det også muligt at blive meget detaljeret i specifikationen af adgangsrettigheder for udviklere og administratorer.

– Du kan specificere roller med forskellige adgangsrettigheder, men det kræver, at folk tager det til sig. Det er nemmere at lave to brugerprofiler: administrator og bruger med fulde rettigheder, siger han.

Rene Løhde erkender, at selvom mange virksomheder har taget idéen om bedre brugerstyring til sig, så er det stadig ikke alle systemer, der er koblet på virksomhedens centrale brugerstyring.

– Er de alle koblet på et centralt brugerstyringssystem som LDAP? Nej, hvis vi er heldige er det halvdelen af dem. Resten er mere håndholdt brugerstyring. Bedre sikkerhed kommer til at koste noget. Er vi villige til at betale for det?, spørger han.


Læs også...

Det var en helt ny fornemmelse, da Søren tidligere på året blev ramt af stress, for han havde aldrig oplevet stresssymptomer før. Søren har arbejdet i…

I 1999 havnede Berit Søgaard mere eller mindre tilfældigt i IT-branchen, og hun har arbejdet her lige siden. I dag er hun compliancedirektør i Visma,…

Nettet er proppet til randen med websider, som kan hjælpe dig med det ene eller andet eller har så nørdet viden, at de med fordel kan besøges.

Unge tech-folk fortæller om deres håb og drømme for fremtiden. Danske virksomheder kigger mod et tysk eksporteventyr. Forfatter sætter spot på Kina og…

26-årige Francesca Tremulo rejste til Danmark fra Italien for tre år siden for at realisere drømmen om en fremtid i spilbranchen. Hun er uddannet…

Kinas tech fungerer og er udviklet i benhård konkurrence til at være bedst og billigst. Talentmassen er enorm, og der er prestige og attraktive…

Alberte Viendahl er 25 år og har læst multimediedesign på KEA. Hun er blevet vild med at kode og nørde, og nu vil hun gerne tage en top up-uddannelse…

Benjamin Elias Harris er 27 år, og han har gået på datamatikerlinjen på KEA. Han startede egentlig med at læse engelsk på Københavns Universitet, men…

28-årige Yousra Diab arbejdede i flere år som socialrådgiver, inden hun tog springet og startede på datamatikeruddannelsen. Det har været svært at…

26-årige Sophie Ankjær Andersen har læst multimediedesign på KEA. Hun drømmer om, at hun i fremtiden skal tage sit arbejde med til Bali og arbejde…