Gründer av ITpro
(ITpro)
Frank Aune har tre års lederutanning, to år IT-høyskole og er sertifisert MCSE og HP Master ASE. Han har arbeidet 14 år i IT-bransjen hvorav de siste åtte årene som selvstendig næringsdrivende. Arbeider innenfor løsningsdesign og har dybdekompetanse innenfor management, utrulling og IT-drift.
 Stemmer: 1 | Lesernes vurdering av innholdet og kvaliteten på artikkelen.
|
Video: ID-tyveri Vi fortsetter vår nye videoserie her på ITpro rundt informasjon og datasikkerhet. Denne gangen tar vi for oss ID-tyveri. |
Video: Informasjon og datasikkerhet Vi kjører i gang en ny videoserie her på ITpro rundt informasjon og datasikkerhet. Først ut i en serie av 7 videoklipp kommer en generell innføring. |
Leserinnlegg: Hvem vil du være? Tidligere har internett vært et fristed for mange, og anonymitet har vært mye i fokus. Men med både Facebook og Twitter - hvor er anonymiteten blitt av? |
Færre infiserte maskiner i Norge Microsoft har lagt frem sin sikkerhetsrapport som viser at falske sikkerhetsprogrammer utgjør en stor trussel, men antallet infiserte maskiner har gått ned i Norge. |
Techlink: Hack en hacker I blant støter man på historier om hvordan hackere hacket seg inn i systemer. Her får du en historie som handler om å hacke en hacker. |
Mest leste Sikkerhet-artikler
Guide: Lag et sikkert og enkelt passord Guide: Hvordan passordbeskytte nettsider med .htaccess Best i test av Ad-aware og Spybot Guide: Hvordan fungerer en proxy server Guide: Digitale signaturer og sertifikater 10 tips til en trygg PC Guide: Gjør hjemme-PCen sikker Fjern trojanske hester fra din PC Ad-aware 6 fjerner spyware fra din PC Guide: Hvordan sikre GNU/Linux Guide: Passordbeskytt internettmapper med .htaccess Skjermbilder av Microsoft Anti-Spyware Beta 8 punkter til et sikkert trådløst nettverk Sikkerhet på en webserver Gratis sikkerhet for din PC Verdens beste brannmur er gratis Grunnleggende sikring av trådløse nettverk Guide: Blokker tilgang med .htaccess Topp 5 IP-porter som angripes Windows-sikkerhet ute av kontroll
Gir bort passord mot penn
Brukere lite sikkerhetsbevisst
Brukere lite sikkerhetsbevisst
Nyhet: IT-bransjen: Sikkerhet · Av Frank Aune · Tirsdag 7. oktober 2003 07:11
- Vanlige arbeidstakere bommer stygt på den mest elementære
datasikkerheten. Det tyder på at selv om it-sjefen og ledergruppen kanskje
er blitt mer sikkerhetsbevisste de siste årene, så har ikke dette
smittet over på de ansatte, sier salgssjef Angeliqua Ramming i PDI, en
av Norges ledende leverandører av sikkerhetsløsninger.
Tidligere i år stilte folkene bak sikkerhetskonferansen Security Europe 2003 opp på Waterloo Station i London og ba engelske kontoransatte om å oppgi sine brukernavn og passord. Belønningen var en kulepenn. 90 prosent av de 152 spurte oppga begge deler.
- Resultatet er helt utrolig, hvis vi skal gå ut fra at folk oppga riktig informasjon. Man gir da ikke fra seg for eksempel pinkoden til bankkortet sitt til fremmede på gaten? spør Ramming, som håper norske arbeidstakere er mer våkne enn sine britiske kolleger.
Bedriftene slurver
Likevel har bare én av fire bedrifter tilstrekkelige sikkerhetssystemer på plass. Mange har ikke en gang rutiner for å slette tilgangen til intranett og fellesfiler når ansatte slutter, viser en internasjonal rapport fra it-analytikerne i Triware Networld Systems (TNS).
- Mye kunnskap blir nok værende hos it-ansvarlig, og kommer aldri opp til den som sitter på pengene og ansvaret i bedriften. Mange ledere forstår rett og slett ikke hva sikkerhet innebærer, og er uvitende om hvilke konsekvenser et sikkerhetsbrudd kan få, sier hun.
Stjeler informasjon
Ansatte og tidligere ansatte som stjeler forretningskritisk informasjon er et økende problem for bedrifter, ifølge TNS. Alt fra kopiering av kunde- og kontaktdatabaser til tyveri av datautstyr, øker i omfang. To av tre arbeidstakere forsyner seg dessuten av bedriftens fortrolige informasjon når de bytter jobb. Og hele åtte av ti arbeidstakere har ingen skrupler med å sende informasjon til en tidligere kollega, selv om denne nå jobber for en konkurrerende bedrift.
Tidligere ansatte som bærer nag til bedriften kan ifølge Ramming gjøre stor skade, både ved å endre eller slette filer, eller sende informasjon ut av bedriften i selskapets navn. Dessuten åpner dårlige sikkerhetsholdninger for ren industrispionasje, der uvedkommende får tak i bedriftens forretningshemmeligheter.
Vil unngå storebror
Ramming anbefaler likevel ikke arbeidsgivere å etablere for strenge sikkerhetsløsninger for å overvåke de ansatte. Hun forstår godt at intern it-sikkerhet er et ømtålig tema for mange bedrifter.
- Du vil jo gjerne tro det beste om dine ansatte og kolleger. Mange vil nok ta
anstøt hvis tiltakene blir for mange og synlige, og føle at de
jobber i et Storebror ser deg-miljø. Dette kan igjen svekke motivasjonen
og lojaliteten hos den enkelte. Det gjelder å informere sine ansatte om
ikke bare hvilke tiltak som gjøres, men også hvorfor de er nødvendige,
sier Ramming.
Snoker om lønn
Hun forteller at man kommer langt med velfungerende personlige brannmurer installert på alle arbeidsstasjonene, og ved å sørge for at områder som er avstengte faktisk forblir avstengte. Ikke sjelden får ansatte plutselig tilgang til for eksempel selskapets lønningsdata fordi it-avdelingen har slurvet under en rutinemessig programvareoppdatering, og da er fristelsen til å kikke ofte for stor. Faktisk vil tre av fire av oss titte på en slik fil, ifølge rapporten til Security Europe.
Ramming anbefaler også bedrifter å etablere et sett med regler for dataomgang som alle må følge. Da blir det også lettere for den enkelte å sette personlige grenser, siden man vet hva som er lov og ikke lov.
Er DU en sikkerhetsrisiko? Slik blir du tryggere:
1. Gi aldri bort passord og brukernavn.
2. Bruk et komplisert passord som ingen kan knytte til deg.
3. Pass på hvilke websider du besøker, og ikke klikk automatisk ok til alle forslag til nedlastninger.
4. Tenk deg godt om før du sender informasjon til personer utenfor selskapet.
- Mye kunnskap blir nok værende hos it-ansvarlig, og kommer aldri opp til den som sitter på pengene og ansvaret i bedriften, sier Angeliqua Ramming i PDI (bildet).
Tidligere i år stilte folkene bak sikkerhetskonferansen Security Europe 2003 opp på Waterloo Station i London og ba engelske kontoransatte om å oppgi sine brukernavn og passord. Belønningen var en kulepenn. 90 prosent av de 152 spurte oppga begge deler.
- Resultatet er helt utrolig, hvis vi skal gå ut fra at folk oppga riktig informasjon. Man gir da ikke fra seg for eksempel pinkoden til bankkortet sitt til fremmede på gaten? spør Ramming, som håper norske arbeidstakere er mer våkne enn sine britiske kolleger.
Bedriftene slurver
Likevel har bare én av fire bedrifter tilstrekkelige sikkerhetssystemer på plass. Mange har ikke en gang rutiner for å slette tilgangen til intranett og fellesfiler når ansatte slutter, viser en internasjonal rapport fra it-analytikerne i Triware Networld Systems (TNS).
- Mye kunnskap blir nok værende hos it-ansvarlig, og kommer aldri opp til den som sitter på pengene og ansvaret i bedriften. Mange ledere forstår rett og slett ikke hva sikkerhet innebærer, og er uvitende om hvilke konsekvenser et sikkerhetsbrudd kan få, sier hun.
Stjeler informasjon
Ansatte og tidligere ansatte som stjeler forretningskritisk informasjon er et økende problem for bedrifter, ifølge TNS. Alt fra kopiering av kunde- og kontaktdatabaser til tyveri av datautstyr, øker i omfang. To av tre arbeidstakere forsyner seg dessuten av bedriftens fortrolige informasjon når de bytter jobb. Og hele åtte av ti arbeidstakere har ingen skrupler med å sende informasjon til en tidligere kollega, selv om denne nå jobber for en konkurrerende bedrift.
Tidligere ansatte som bærer nag til bedriften kan ifølge Ramming gjøre stor skade, både ved å endre eller slette filer, eller sende informasjon ut av bedriften i selskapets navn. Dessuten åpner dårlige sikkerhetsholdninger for ren industrispionasje, der uvedkommende får tak i bedriftens forretningshemmeligheter.
Vil unngå storebror
Ramming anbefaler likevel ikke arbeidsgivere å etablere for strenge sikkerhetsløsninger for å overvåke de ansatte. Hun forstår godt at intern it-sikkerhet er et ømtålig tema for mange bedrifter.
- Du vil jo gjerne tro det beste om dine ansatte og kolleger. Mange vil nok ta
anstøt hvis tiltakene blir for mange og synlige, og føle at de
jobber i et Storebror ser deg-miljø. Dette kan igjen svekke motivasjonen
og lojaliteten hos den enkelte. Det gjelder å informere sine ansatte om
ikke bare hvilke tiltak som gjøres, men også hvorfor de er nødvendige,
sier Ramming. Snoker om lønn
Hun forteller at man kommer langt med velfungerende personlige brannmurer installert på alle arbeidsstasjonene, og ved å sørge for at områder som er avstengte faktisk forblir avstengte. Ikke sjelden får ansatte plutselig tilgang til for eksempel selskapets lønningsdata fordi it-avdelingen har slurvet under en rutinemessig programvareoppdatering, og da er fristelsen til å kikke ofte for stor. Faktisk vil tre av fire av oss titte på en slik fil, ifølge rapporten til Security Europe.
Ramming anbefaler også bedrifter å etablere et sett med regler for dataomgang som alle må følge. Da blir det også lettere for den enkelte å sette personlige grenser, siden man vet hva som er lov og ikke lov.
Er DU en sikkerhetsrisiko? Slik blir du tryggere:
1. Gi aldri bort passord og brukernavn.
2. Bruk et komplisert passord som ingen kan knytte til deg.
3. Pass på hvilke websider du besøker, og ikke klikk automatisk ok til alle forslag til nedlastninger.
4. Tenk deg godt om før du sender informasjon til personer utenfor selskapet.
- Mye kunnskap blir nok værende hos it-ansvarlig, og kommer aldri opp til den som sitter på pengene og ansvaret i bedriften, sier Angeliqua Ramming i PDI (bildet).
Kilde: PDI | Republisering tillatt
Kommentarer (22)
snoopy: Gir bort passord mot penn · Tirsdag 7. oktober 2003 08:18
Send en melding
Hallo... Kan det være mulig?? "Hei, du kan få denne pennen, hvis du gir meg brukernavn og passord du bruker på jobben..."
Det er mulig det jeg som er naiv, men altså... Ei kulepenn??!
Det er mulig jeg er mer sikkerhetsbevisst enn andre, siden jeg til daglig jobber med it-sikkerthet i tankene, men 90% ga bort brukernavn og passord... Synes det høres litt rått ut...
Kunne forstått det litt mer om de var blitt tilbudt en tusing eller no', men ei kulepenn... Hmz..
-/Snoopy-
[ Svar på dette | Ny kommentar ]
Gandalf: Gir bort passord mot penn · Tirsdag 7. oktober 2003 08:30
Send en melding
Jeg tviler sterkt på det resultatet! At så mange helt uten videre gir bort brukernavn og passord til jobbnettverket er høyst usannsynlig, uansett hvor dårlig det står til med IT-sikkerheten i England. Hadde vært gøy å se hva disse menneskene jobbet med...
[ Svar på dette | Ny kommentar ]
Anonym: Gir bort passord mot penn · Tirsdag 7. oktober 2003 08:43
Jeg tviler sterkt på at 90% ga bort sitt rette passord mot en kulepenn. Og å teste 152 personer og la de representere England er jo bare latterlig. Jeg tar hele den artikkelen her med en god klype salt.
[ Svar på dette | Ny kommentar ]
Anonym: Gir bort passord mot penn · Tirsdag 7. oktober 2003 13:44
mye av dette er desverre sant. :(
[ Svar på dette | Ny kommentar ]
morpheos: Gir bort passord mot penn · Tirsdag 7. oktober 2003 09:40
Send en melding
Jeg tror det er to ting som kan være greit å ha i bakhodet når man leser artikkelen. Det ene at det er snakk om, og jeg siterer: "kontoransatte". For det andre, som det tidligere har blitt påpekt, det er et særdeles lite tilfredstillende antall personer som har blitt spurt. Jeg tviler ikke på at de som har blitt spurt faktisk har svart dette, men jeg tviler litt på at det var et særlig representativt utvalg 'folk som jobber med IT'. Det var vel snarere Ola Kontoransatt som har problemer med å gjøre stort mer enn å åpne word.
Og all den tid det er de samme folkene som står bak undersølkelsen som arrangerer sikkerhetskonferansen så er det vel gjerne grunn til å anta at de muligens hadde lyst til å skape litt blest, og derfor ikke gikk særlig hardt inn for å avkrefte sin egen teori.
[ Svar på dette | Ny kommentar ]
Fisk: Gir bort passord mot penn · Tirsdag 7. oktober 2003 09:52
Send en melding
Men det er jo gjerne ola kontoransatt dette handler om, ikke overparanoide IT-mennesker.
Antall spurte er lite, men fortsatt skremmende.
Personlig tror jeg at jeg hadde gitt ut noe jeg kom på i farten, for å få den pennen, og for å ha det litt morro i samme slengen.
Jeg tviler sterkt på at 90% ga ut riktig passord og brukernavn, men hvis det er sant, så ser jeg en dyster fremtid for bedrifter i England...
[ Svar på dette | Ny kommentar ]
Rebtun: Gir bort passord mot penn · Tirsdag 7. oktober 2003 10:18
Send en melding
Vedder kulepenna mi paa at det er bogus bruker: pass de har faatt.
Folk er i kke saa dumme.
Kanskje noen gav riktig bruker navn, men passord...... ikke sjangs.
[ Svar på dette | Ny kommentar ]
morpheos: Gir bort passord mot penn · Tirsdag 7. oktober 2003 11:40
Send en melding
Tror ikke det store problemet er at Ola Kontoransatt gir bort brukernavn og passord på gaten til folk som gir ham en kulepenn. Et større problem er når noen ringer å sier at de er systemansvarlig og spør om brukernavn og passord. DA gir kanskje Ola Kontoransatt fra seg det virkelige passordet, uten å mukke altfor mye.
What is your username? :P
[ Svar på dette | Ny kommentar ]
Loko: Gir bort passord mot penn · Tirsdag 7. oktober 2003 12:28
Send en melding · http://www.snehytta.com/loko/
Det spørs jo om han finner post-it lappen på skjermen/under tastaturet når han er opptatt i telefonen...
[ Svar på dette | Ny kommentar ]
morpheos: Gir bort passord mot penn · Tirsdag 7. oktober 2003 12:46
Send en melding
Kanskje bedriftene må hyre inn hackere som kan bryte seg inn i de ansattes systemer hjemme og stjele endel sensitiv informasjon, for så å poste all pornoen på en stor oppslagstavle med navn etc. Kanskje Ola Kontoransatt da hadde sett poenget med datasikkerhet :)
Dog, det trengs vel neppe en hacker for å bryte seg inn i Ola Kontoransatt sin hjemmepc :)
*clickety clickety*
[ Svar på dette | Ny kommentar ]
Anonym: Gir bort passord mot penn · Tirsdag 7. oktober 2003 13:51
En søt stemme sier:
Hei eg heter Marit
Overttrøtte Ola svarer: Goddag
M: Vi driver med en undersøkelse som angår fritidsmijøet på sjokoladefabrikken.
Vil du være med på denne undersøkelsen, ledelsen har satt den i gang for å bedre miljøet arbeiderne har?
O: Ja men det kan eg!
Marit stiller noen spørsmål og ola svarer.
Og så til slutt sier Marit
M: For å registrere meningen din så trenger eg brukernavnet ditt
O: OlaNilsen
OSV OSV OSV!!!!!!
[ Svar på dette | Ny kommentar ]
exchange: Gir bort passord mot penn · Tirsdag 7. oktober 2003 16:27
Send en melding
Computer Security Institute, 1999 (fbi, csi)sier at 70 % av data innbrudd ikke blir rapportert,
Sikker software er også en illusjon. Ingeniører som bygger broer har nøyaktige matematiske bergegninger,
stress og alders analyser, bølge, vind, salt og temparatur beregninger.
Slik er det ikke når man designer software, man har best practises, men finnes ikke noe som
heter trygg software. Er mange variabler man ikke har kontroll over.
Og ikke alle sikkerhets policyer( altså bedriftens definisjon av sikkerhets tiltak som
bør implementeres) er gode, men alle gode policyer er enkle.
Man kan bruke KISS eksemplet. Keep it simple, stupid.
Det enkleste er som oftest best, og her er spesiellt informasjon og bevisstgjøring av de
ansatte veldig viktig.
Dette såkallte penne tricet er kun sosial manipulering, og ved å gjøre de annsatte bevisste
på slik adferd, kan man redusere rissikoen for denne type angrep.
Rådet om kompliserte passord gjør vondt verre, Et langt passord kan faktisk
være enklere å huske enn et på 8; DensistegodebokenJegkjøptekostet200Kroner.
Microsoft har eksempelvis password policy herunder; passord historie, max alder, min alder og
min lengde + passord krav (store + små bokstaver + alfanurmeriske karakterer)
Når det gjelder å anbefale brannmur så er dette kun et lite steg i et helhetlig sikkerheths policy.
Et godt eksempel er Visa, De hadde et innrudd i 99 og en talsmann for selskapet uttalte;
We have firewalls upon firwalls, but are conserned that anyone got in.
Hackerene truet med å kresje data systemene om de ikke fikk utbetalte 100 millioner.
Brannmurer er en begynnelse,og de aller fleste som er installert lokalt er av den enkleste typen; Pakkefiltrering. Altså hvor pakken kommer fra, hvor den skal til, protokoll som brukes samt port.
Data pakkens header kan manipuleres og man har heller ikke gå dypere inn i pakken for å finne sårbareheter rettet mot et spesiellt programm.
Og uansett hvilken brannmur du har så vil den ikke være bedre enn de filtrene du legger på.
Den samme studien som jeg refererte til i begynnelsen fann også ut at nesten halvpraten av
angrepene startet innen selskapet. 80/20 regelen, (gammel) tilsier at 80 % av innbruddene kommer innenfra, 20% utenfra. Denne har nok endret seg, ikke fordi innbrudd fra innsiden har minket, men at det innbrudd utenfra er like enkelt å gjennomføre.
NSA( national security agency) har laget en profil av den gjennomsnittlige inside hacker
....melder seg frivillig til oppdrag
....jobber ofte overtid
....tar alldri ferier
....og er interessert i hva med arbedere gjør på..
Og bare helt til slutt; resultatene i undersøkelsen kan like godt forklares med et psykologisk fenomen; folk lyger får å oppnå de dem vil, i dette tilfellet en kulepenn.
[ Svar på dette | Ny kommentar ]
neox: Gir bort passord mot penn · Tirsdag 7. oktober 2003 23:31
Send en melding
Nyere forskning viser at briter mangler kulepenner! Hvis pennen var fin, kunne jeg vel godt ha diktet opp et navn og et passord...
[ Svar på dette | Ny kommentar ]
equilibrium_00_: Gir bort passord mot penn · Onsdag 8. oktober 2003 20:17
Send en melding · http://home.online.no/~lma-th
Nydelig, Exchange [",]
Trekker vi inn Bio-sensorer, vil nok sikkerheten økes betraktelig, men dette er avhengig av hvor sikkerhetsnivået bør ligge. Noen bedrifter har mer konfidensiell informasjon enn andre. Å kun satse på brukernavn og passord er vel lite trygt uansett. Disse tallene overrasker meg ikke, det er ikke snakk om å være dum, bare et utrolig lite kunnskapsnivå om sikkerhet. Spørsmålet er vel om de hadde gitt fra seg bilnøklene eller PIN-koden til bankkortet like enkelt...
[ Svar på dette | Ny kommentar ]
Anonym: Gir bort passord mot penn · Søndag 7. januar 2007 15:28
[ Svar på dette | Ny kommentar ]
TurtleMan: Gir bort passord mot penn · Onsdag 8. oktober 2003 11:11
Send en melding
Ja da, må man bre sende kulepenner til de da! hehe:D
Men det er absolutt opå kanten!
Folk bør holde passord og lignende provate ting i hemmelighet!!!
Sørens tullinger! :D
MVH TM:)
[ Svar på dette | Ny kommentar ]
Michell: Gir bort passord mot penn · Onsdag 8. oktober 2003 13:56
Send en melding
Hehe....dette høres jo helt borte i natta ut! Er det mulig? eller hvor naive er Engelskmenn?
Kan ikke tro at en slik undersøkelse i Norge hadde fått et slik utfall. Åsså en skarve penn...
Unbelievable ;-)
[ Svar på dette | Ny kommentar ]
morpheos: Gir bort passord mot penn · Onsdag 8. oktober 2003 14:57
Send en melding
Jeg tviler på at Ola Kontoransatt i Norge er noe særlig smartere enn sin engelske motpart. Dessuten blir vinklingen til mange av de som svarer her helt feil, siden mange av ItPros lesere er bevisst problemet, dette er sannsynligvis i stor grad folk som ikke har særlig peiling på data, og langt mindre har peiling på datasikkerhet. Undersøkelsens kvalitet kan sikkert også trekkes i tvil. Bogus username etc..
[ Svar på dette | Ny kommentar ]
Anonym: Gir bort passord mot penn · Onsdag 8. oktober 2003 23:15
Dette resultatet kan jo ikke stemme. Det er vel ikke sååå mange som gir bort brukernavn og passord i bytte mot en kulepenn. Regner med at mange av dem har oppgitt noe helt borti natta. Hadde de fått 1000 spenn i stedet hadde vel kanskje saken vært en annen! :D
[ Svar på dette | Ny kommentar ]
acidnano: Gir bort passord mot penn · Onsdag 8. oktober 2003 23:35
Send en melding
Nå kommer det helt ann på pennen da. Vist den er av gul så skjønner jeg det. Men vist ikke så er det helt utrolig. ;-)
[ Svar på dette | Ny kommentar ]
Anonym: Gir bort passord mot penn · Onsdag 15. oktober 2003 13:12
*Uff* Må riste på hodet her jeg.....
[ Svar på dette | Ny kommentar ]
Anonym: maroof_123@hotmail.com · Onsdag 5. november 2008 13:05
hei.det som er probleme er at jeg har pc som har finger trikk.jeg logget på med finger trik hele tiden.nå har jeg glemrt passord og det hemli tal eller bokstav man skriver vis man glemmer pasoord. det har jeg glemt. jeg vet ikke hva skal jeg gjøre for å ta bort passord
[ Svar på dette | Ny kommentar ]
På forsiden nå
