Varför är ”alla” online backup system så dåliga?

Jag kanske skall börja med att förtydliga mig. Jag har inte provat alla online backup system på marknaden så att generalisera och säga att allt inom detta segment skulle vara dåligt är kanske farligt och ganska säkert också felaktigt. Men de system jag har provat har samtliga varit under all kritik.

Jag skall också tillägga att jag inte har provat dessa system som privatperson eller som en intern lösning på företaget jag arbetar för utan i rollen som återförsäljare där vi har haft för avsikt att inkorporera online backup som en del av vår produktportfölj.

Under denna resa har jag testat flertalet system men jag tänker fokusera på två av dem, Mozy och SOS. Dock kan jag säga att av de totalt 6 olika leverantörer som vi provade har samtliga lidit av bristfällig kvalitet.

Anledningen till att jag väljer att fokusera på Mozy och SOS är att vi under ett år använde Mozy som vår online backup plattform och vi satt också i långt gångna förhandlingar med SOS i ett senare skede.

När vi i början av 2008 tog kontakt med Mozy var Berkley Data Systems (som skapade Mozy) uppköpta av EMC och Mozy blev en del av Deco. Mozy startades 2004 och har rönt stora framgångar på onlinebackupmarknaden. De lade tidigt marschtakten genom att i lagringsinfrastrukturen prata peta byte istället för tera byte och deras uttalade mål är i skrivande stund att ha 10 000 000 onlinebackupkunder 2011 (idag har de ca: 1 000 000 kunder).

Vi gjorde efterforskningar så gott det gick för att finna ”icke vinklad” information gällande Mozy och visst fanns det många som höjde ett varningens finger och tycket att systemet mest var ”skit”. Vissa påstod (i olika forum) att Mozys produkt var bland det sämsta de hade sett gällande systemkvalitet och att många system på skolprojektnivå höll högre klass.

Men…

Denna typ av ”fakta” från bloggar, forum och andra källor är alltid svårt att få bekräftat på ett riktigt sätt. Om man har en million kunder (om nu det verkligen stämmer*) och man finner några hundra som öppet klagar kan man naturligtvis göra en ungefärligt uppskattande procentberäkning på hur många som troligtvis bara är tysta och avinstallerar produkten. 

*Jag misstänker att det fuskas en hel del med antalet användare, det är ju trots allt ett säljande argument att visa upp en stor användargrupp. Ett exempel på detta är danska GateSweeper (baserad på honeypot tekniken)som köptes upp av ökända pyramidföretaget GIICorp. Strax efter lanseringen klistrade man dit 10 000 användare på webbsidan för att några månader senare plocka bort produkten från marknaden. Med 10 000 betalande användare på några månader betvivlar jag att man ”plockar ner skylten”.  Det sades i och för sig gällande GateSweeper att hela produkten var en enda stor bluff som inte fungerade (alltså likvärditg med GIICorp).

Det var också så att det fanns lika många forumtrådar som lovordade Mozy som produkt och naturligtvis kan man då även räkna åt andra hållet. Vi får även väga in att många av de som skriver på bloggar, forum och webbsidor kan på ett eller annat sätt, direkt eller indirekt, vara påverkade av Mozy.

Man kanske jobbar inom EMC (som är en jättekoncern), man kanske är just återförsäljare eller så har man någon annan koppling som gör att man vinner på att lovorda produkten.

Å andra sidan kanske man sitter hos en konkurrent och inget hellre vill än att skjuta Mozy i sank. Så mycket har jag lärt mig om den amerikanska marknaden att den är mycket hårdare än den Svenska. Vi är oftast justa mot varandra men det är man inte i USA. Det är ok att smutskasta ett annat företag eller person, titta bara på presidentvalskampanjen.

Detta lämnade oss att ta ett eget beslut baserat på det affärsmässiga upplägget, produktens tyngd på marknaden, re-branding, supportstöd och mycket annat som är viktigt för en långsiktig produktlansering.

I det initiala skedet gick allt som på räls. Att ansöka om att bli återförsäljare är inga problem, det sker på nolltid. Därefter tilldelas man en personlig ”account manager” som mer än gärna vill ha information om hur man tänker lansera produkten. Man gör upp om användande av egen logotype och andra marknadsmässiga frågor, man får prisbilden beskriven för sig, man får tillgång till administrativa gränssnitt och får förklarat för sig hur utmärkt supporten fungerar samt en kortare utbildning på systemet i sin helhet. Man går även igenom lite andra detaljer som är nyttiga att ha kunskap om.

I vårt fall investerade vi även tid, pengar och energi på att bygga upp ett eget svenskspråkigt administrativt gränssnitt där våra kunder skulle kunna logga in för att sköta sina konton (bl.a. lösenord, återläsning, kryptoprogram för upplåsning av filer krypterade med 256-bitars AES, klientnerladdning, manualer, förfrågan om remote access installation samt mycket annat).

Naturligtvis hade vi testat produkten lokalt och med undantag för lite mindre fadäser fann vi att saker och ting verkade vara ok.

Då var det bara att lansera då…

Och det gjorde vi, vi sjösatte Secure IT Online Backup med stor tilltro till både system och marknad.

I vårt affärsmässiga upplägg vände vi oss enbart till företag och vi tog oss gärna ann Windows baserade servermiljöer (MozyPro stödjer backup av både Exchange och AD). När vi hade gjort en del installationer på både klientnivå och servernivå började dock problemen att komma.

Jag listar några av dem här:

1. Backupklienten låser/hänger sig.
2. Backupklienten startar inte överhuvud taget.
3. Krypteringen med egen nyckel (256-bitars AES) fungerar inte (mycket alvarligt).
4. Resursrelaterade problem kopplade till körningen av backupklienten.
5. Backupklienten fungerar inte i trådlöst nätverk.
6. Problem vid komprimering av data.
7. Återkommande kommunikationsavbrott mellan klient och server.
8. Tidsmässigt felaktig återrapportering via det administrativa gränssnittet (tillbaka till oss som root administratör).

Detta är några av de fel som vi återkommande har stött på när vi har installerat och kört igång Mozy hos våra kunder.

Det finns två saker som stör mig här.

1. Dessa fel skall inte behöva uppkomma i ett system som är så pass hårt beprövat

Att det finns fel och brister i mjukvaror är inget nytt och det är med all säkerhet någonting vi alltid kommer att få leva med. Men när man lanserar ett säkerhetsrelaterat system anser jag att produkttestandet måste vara ännu hårdare och genomlysningen måste vara extra rigorös. Det mesta vi i våra yrkesroller gör bygger på förtroende och just säkerhetsrelaterade tjänster och produkter bygger på extra mycket förtroende.

Om Word kraschar från gång till annan kan jag leva med men jag har svårt att acceptera att backupsystemet, antivirussystemet, den personliga brandväggen eller andra säkerhetsrelaterade produkter inte håller måttet.

2. ”Back-End” support

Just supporten hos Mozy tänker jag beskriva lite mer ingående. Mozy påstår sig leverera snabb support åt sina återförsäljare (resellers), de pratar om 24/7/365 med maximalt 24-timmars väntetid på svar/lösning. Detta är ren och …… lögn. Vid varje tillfälle vi har åberopat support har vi haft en ledtid på minst en (1) vecka???!!!

Först hamnar man hos en level 1 technician, detta är en individ som ber dig skicka den loggfil systemet genererar tillbaks till supportavdelningen samt starta om backupklienten alternativt datorn.

”Nu är problemet lille supportvän att man startar inte bara om en server ute hos en kund hur som helst, framförallt inte under vissa tider på dygnet”. 

När denna parodi har upprepats några gånger går man som näringsidkare i taket och ”river i” åt sin käre account manager att man vill prata med någon som har rätt kompetens. Denna ser då till att du får tillgång till en level 2 technician.

Bra tänker man och inleder en dialog med denne via mail om gällande problematik. Då visar det sig att just denne level 2 technician har om möjligt ännu längre svarstider, han vill att man hämtar ännu mer data från systemet (vilket innebär att det blir ytterligare längre svarstider) och han är allmänt insnöad på tekniska termer och rent utsagt trams.

”Jag vill ha en lösning för min kund börjar tappa förtroendet för mig och mitt företag, ditt nöt!”

I Sverige har vi en lång tradition av tålmodigt väntande, vi är nog världens mest förstående folk. Men inte ens världens mest tålmodiga och förstående slutkund i Svea rike köper ständigt återkommande tekniska problem utan lösning.

Detta kära Mozy innebär skadat renommé för mig och mitt företag och således också skadat renommé för er. När detta påtalas för kontaktpersonen (account manager) lovas bot och bättring som naturligtvis aldrig sker.

Det här är otroligt simpel logik. Jag bedriver en verksamhet där jag säljer en produkt åt ett annat företag. Om det företaget visar sig ha en dålig produkt, dålig support/stöd och dålig affärsmässig förståelse som direkt påverkar mina kunder och mig måste jag avsluta samarbetet.

Sagt och gjort, samarbetet med Mozy (EMC) är nu avslutat. Men vi gav oss inte där och eftersom vi tror på online backup som produkt/tjänst gav vi oss i kast med att finna en annan leverantör.

Valet föll nu på SOS från Australien. SOS är inte lika stora som Mozy men de har fått en del beröm för sitt system av framförallt internationell IT press. Detta såg vi som någonting positivt och vi inledde en dialog med företaget tillsammans med dess amerikanska marknadsavdelning. På klassiskt amerikansk manér började man smutskasta Mozy när vi berättade att vi har gjort en ”resa” under ett års tid inom denna bransch.

Vi ber dem då snällt att fokusera på sin produkt och naturligtvis är den otroligt bra och deras infrastruktur är ”topp of the line”.

Vi gör här en lång historia lite kortare, eftersom vi var brända av tidigare erfarenheter ber vi SOS att få tillgång till klientmjukvara och det administrativa gränssnittet för att kunna göra en utvärdering. Vi får tillgång till klientmjukvaran (och vi skulle ha fått tillgång till det administrativa gränssnittet men det hanns aldrig med) bara för att omedelbart kunna  konstatera olika fel och brister.

Den schemalagda backupen startar inte. När den väl startar kraschar den efter halvtid och stänger ner sig själv. Webbgränssnittet går inte att komma åt under långa stunder (dagtid) eftersom det är hårt belastat vilket leder till att vi inte kan återläsa filer den vägen. När vi väl kommer åt webbgränssnittet fungerar i alla fall inte återläsningen (ett diffust felmeddelande anges i gränssnittet som återigen är kopplat till trafikbelastning).

Vi installerade mjukvaran på tre olika datorer (en Vista maskin och två XPPro burkar) med samma resultat, det vill säga bland annat krascher och frysningar. Våra datorer är konfigurerade helt utan konstigheter med Office paket, antivirus från Nod32, WinZip, Acrobate och lite annat ”kontorsnyttigt”. Vi är inte smittade av ohyra och datorerna är nya med god prestanda. Vi har även dedikerad fiber med bra hastighet och ingen speciell brandväggskonfiguration skulle genomföras.

Vi valde små datamängder (ca: 500MB) och vi testade både wlan och trådbundet nätverk. Hela tiden med ovan beskrivet resultat.

Den slutsats vi gjorde var att vi inte vill stå med svansen mellan benen inför våra kunder ännu en gång.

”Dessa problem kan vi försäkra er att vi kan lösa” sa man från SOS.

Snälla SOS, dessa problem skall inte ens behöva uppkomma om man har ett fungerande system som klarar av att göra det som er marknadsavdelning lovar!  

Slutsats
Tror vi på online backup? Ja det gör vi, som grundidé är det perfekt med automatisk separering av data till en plats avskild från den lokala IT miljön. System med en välbyggd infrastruktur innebär också att man arbetar med hårdvara som de flesta företag aldrig har råd med. Detta gör att man som liten kund till förhållandevis små investeringar kan få tillgång till backup i ”storföretags” klass.   
  
Men så här långt tror vi inte på de mjukvarulösningar vi har sett. Onlinebackupmarknaden har eskalerat under de senaste två åren och kan nu liknas vid många andra ”svamp branscher” (så som antivirusbranschen). Rådande politik verkar vara att ”Skynda ut med skiten på marknaden så att vi kan ta del av så mycket av kakan som möjligt”. Detta slår naturligtvis tillbaks på hela branschen och jag tror att en självsanering är nödvändig där de sämsta systemen försvinner för gott och lämnar plats för de seriösa aktörerna.

En annan fråga man kan ställa sig är hur logiskt det är att hantera t.ex. 200GB från en server på en adsl lina på låt säga 2 eller 8Mbit/s (vilket inte är helt ovanligt förekommande bland mindre företag).

Vad händer vid ett scenario där en lokal hårddisk kraschar om datacentret återfinns i USA och det inte finns möjlighet att ”skicka en disk på dagen”? Ofta behöver man bara återskapa enstaka filer på några kb och då är det inga problem men om vi pratar 200GB data är det inte lika roligt längre?

En rekommendation till er som läser detta och funderar på att skaffa online backup är kanske att satsa på ett företag med serverpark inom landets gränser där man har en strategi för snabb och säker leverans av stora datamängder på exempelvis diskar. Vad vet jag!

/Tomas

Återkoppling Ingen är rädd för vargen

Jag skrev i mitt blogginlägg Ingen är rädd för vargen följande stycke:

”När det gäller elak kod förekommer det naturligtvis att organisationer råkar ut för t.ex. virusangrepp och det kostar pengar att sanera och ställa saker och ting tillrätta. Men efter 10 år i den här branschen är min uppfattning den att virus (och annan fientlig kod) är (eller borde vara) ett ganska litet problem när vi pratar IT och informationssäkerhet i sin helhet, i alla fall på företagsnivå”.

”Visst har jag varit med om några riktiga skräckexempel och de kommer jag att beskriva vid senare tillfälle i denna blogg. Det som jag dock oftare upplever som ett problem i min yrkesroll är avsaknaden av styrande dokument, så som policys, rutiner, intern utbildning, incidentrapportering, upplysningsplan mm”.

Jag läste under dagen en artikel i ComputerSweden att USB-minnen bakom virusangrepp i Skåne. Detta angrepp av masken Conficker är naturligtvis ett bevis på att fientlig kod kan skapa otroligt stor skada vad gäller skadat renommé samt direkta kostnader. Masken infekterade ca: 10 000 datorer inom region Skåne (landstinget) och de orsakerna är bland annat dåligt uppdaterade system och eventuellt felaktigt användande av en USB sticka från en extern konsult. Dock är detta ännu ej bevisat.

Bortsett från att utbrott av fientlig kod faktiskt inträffar och kan åsamka mycket stor skada pekar jag ännu en gång på vikten av att införliva rutiner och styrande dokument i verksamheten.

1. Ca: 1 000 datorer inom region Skåne har saknat nödvändiga uppdateringar.

Detta är en brist som troligtvis kan kopplas till bristande rutiner/strategier gälland just hantering av uppdateringar/patchar. Kanske var exempelvis inventering och dokumentation av det aktuella landstingets datorer undermålig eftersom 1 000 datorer helt plötsligt står utan den nödvändiga uppdateringen?

Att dokumentera IT-miljön ger fördelar vid arbetet med uppdateringar men det ger även andra fördelar: 

1. Snabbare uppstart
Vid exempelvis ett allvarligt virusangrepp är det av stor vikt att ha en bra dokumentation för att snabbt kunna starta upp systemen igen.

2. Snabbare felsökning
Det blir enklare att finna felen snabbt om du har ett väl dokumenterat nätverk. Bra dokumentation reducerar behovet av efterforskning av samma problem varje gång det uppstår. Ett nätverksschema kan hjälpa dig att identifiera blivande problemområden i ett tidigare skede.

3. Mindre risk för informationsförlust
Det finns alltid en risk att den nätverksansvarige har allt i sitt huvud. När han eller hon slutar blir det ett stort problem för företaget. Om det finns bra dokumentation av nätverket så blir övergången från det att en person slutar till det att en ny är insatt i verksamheten mindre kännbar.

4. Ansvarsfördelning
Om det är ett lite större företag med flera anställda inom IT-avdelningen blir ansvarsfördelningen kring nätverket lättare om viktig information finns dokumenterad.

5. Förbättrad nätverksdesign
Finns det bra dokumentation kring nätverket är det lätt att förbättra designen och bygga ut nätverket med fortsatt god design.

6. Tidsaspekt
Ett uppdaterat nätverksschema kommer att spara tid åt dig som administratör under alla förhållanden.

2. Användande av externa enheter (i det här fallet USB-sticka)

Enligt den rapport som ComputerSweden har tagit del av har man kunnat spåra minst ett fall där en extern tekniker har använt sitt USB-minne mellan sin privata dator och landstingets datorer. Detta torde också vara en del av bristande rutiner. I en gällande IT policy borde användande av exempelvis USB minnen vara beskrivet. I policyn skulle man kunna tänka sig följande:

1. Totalt förbud att använda USB minnen överhuvudtaget,
2. USB minnen skall alltid skannas med ett uppdaterat antivirussystem innan de används.

Problemet vad gäller punkt 2 är att det aktuella landstingets antivirussystem (F-secure) inte fann den aktuella masken i första läget eftersom Conficker då var ett nytt hot.

Men…

Det är lätt att sitta här och vara efterklok och bror duktig på en blogg…

Det skall också tilläggas att ingen patient kom till skada under det inträffade angreppet och systemen uppges nu vara befriade från Conficker masken.

/Tomas

Policyomfattning

Konsten att skapa ett virus

Mängden fientlig kod (virus, maskar, trojaner mm) har eskalerat under de senaste 2 åren. Det kommer ständigt nya rapporter från säkerhetsindustrin om antalet virus som finns i omlopp och vi pratar nu miljontals.

Man kan fundera på hur det kan spridas så mycket nya virus hela tiden men det är faktiskt inte så konstigt. Internet är en fantastisk källa vad gäller information och detta utnyttjar vi oavsett vilken agenda vi har. Vill du baka en kaka, kolla Internet. Vill du göra en bomb, kolla Internet. Och vill du göra ett virus, kolla Internet.

Bara på YouTube florerar det mängder av filmsnuttar som med varierande kvalitet beskriver hur du som viruskreatör skall gå till väga.

Ett annat effektivt sätt är att besöka någon av de ljusskygga communitys som enbart sysslar med denna typ av verksamhet. Jag har skrivit ett dokument om enkelheten att skapa ett virus och det dokumentet finner du här: http://www.secure-it.se/generator.htm

I dokumentet beskriver jag bland annat hur en virusgenerator (Virus constructor) fungerar och hur en av dessa communitys fungerar (i det här fallet VX Heavens).

Dokumentet är skapat endast i syfte att kasta ljus på hur enkelt det är för vem som helst utan programmeringskunskaper att skapa och distribuera ett virus. Även om man kan ha åsikter om värdet/nyttan med detta dokument anser jag att man måste vara insatt i det faktiska läget för att kunna förstå och motverka denna typ av hot.  

OBS! Att skapa och distribuera virus och annan fientlig kod som skadar annan person eller egendom är en brottslig handling.

/Tomas

Virus constructor

Varför slarva med återläsningstest?

Först av allt vill jag tipsa om att jag skriver mer ingående om backup på denna sida: http://www.secure-it.se/backup.htm

Backup är ett av grundfundamenten inom IT säkerhet. Det spelar ingen roll hur mycket skyddsbarriärer vi omger oss av, om informationen är borta då är det som man säger ”lika långt som det är brett”.

Rent krasst kan man säga att det inte spelar någon roll hur du genomför din backup bara du gör det. Finn ett sätt som passar just dig och se till att genomföra din backuprutin med militärisk disciplin flera gånger per dag.

Såja, nu borde rimligtvis ”dra och släpp” till extern hårddisk (eller USB pinne alternativt diskett???) försvinna. Ingen idag sunt levande människa är ju så dum att han eller hon genomför backup flera gånger per dag genom att utföra ”dra och släpp”! Eller…? Jodå, jag har träffat på individer som än idag använder sig av denna ”metod”, ofta egenföretagande enmansföretagare som har kommit upp i klar senior status. Dessa anser i regel också att man bör akta sig för allt vad gäller ”nymodigheter” och ”själv är alltid bästa dräng”. Dock är dessa i ärlighetens namn i minoritet.

Varför automatik (eller schemalagt)?
Vi kan baka in flera parametrar som gör att vi vill (och bör) använda oss av en backuplösning som utför sitt arbete per automatik till ett media som enkelt kan separeras från den lokala IT miljön.

 ”Fokus på daglig verksamhet”: Du vill inte använda en tidskrävande procedur som kräver din uppmärksamhet hela tiden vilket gör att du tappar fokus på det som är viktigt för din kärnverksamhet.  

”Totalekonomi”: Vad kostar din tid i form av manuell hantering? Ställ din timdebitering mot en licens på t.ex. utmärkta SynckBackPro från 2BrightSparks (ca: 400 kronor för en licens).

”Blir det gjort?”: Ponera att du skall dra och släppa filer till en disk eller bränna CD-skivor flera gånger per dag (eller bara en gång per dag). Kommer det verkligen att bli utfört? Jag tror inte det, vi är av naturen ganska bekväma av oss och ”ingenting hände ju igår så jag kan väl hoppa över brännandet idag också, men naturligtvis bara idag”. Sagt och gjort, vi är nu inne i en ond cykel som med full kraft kommer att träffa oss i bakhuvudet förr eller senare.

Varför flera gånger per dag?
I företagets utarbetade backupstrategi tas en central backup klockan 22:00 varje kväll. Under dagen sitter du med en krävande kalkyl som du arbetar med från klockan 08:00 till 16:30 när din hårddisk lämnar in för gott. Är du nu i en bra eller dålig situation? Om backup hade genomförts flera gånger per dag (antingen schemalagt eller per automatik) hade du kanske endast förlorat den sista timmens arbete. Istället blev det en dags arbete som försvann med förseningar och badwill som följd.

Eftersom det egentligen inte finns några andra alternativ än backup via mjukvara som kan utföra schemalagd eller automatisk backup skall vi naturligtvis använda oss av dessa funktioner. Många är rädda för att processen vid backup skall störa det ordinarie arbetet (dvs. göra datorn slö) men det händer i regel bara vid första körningen av backupen (seeden), modern backupmjukvara säkerhetskopierar bara förändrat material vilket gör att det oftast bara överförs en liten datamängd vid varje backuptillfälle.

Undvik falsk trygghet – Utarbeta en rutin för återläsning av förlorad data
Du har nu arbetat fram en fungerande strategi där din backup skrivs till ett lämpligt media (band eller disk). Du har också utarbetat en strategi för geografisk separering, du vill inte låta tjuven, branden eller översvämningen förstöra för dig.

Men…

Du har glömt en strategi för återläsning! Att utföra regelbundna tester gällande återläsning är lika viktigt som att backupen i sig fungerar. Du vet att du kan skriva data åt ett håll men kan du återläsa åt andra hållet? Se till att testa detta och inte bara vid ett tillfälle utan med regelbundenhet. Falsk trygghet vill vi inte veta av utan vi skall ha fullständigt klart för oss att data vi tar backup på också kan återskapas om olyckan är framme.

Jag har sett flertalet exempel på när data inte kan återläsas på ett riktigt sätt. Och detta är i månt och mycket värre att råka ut för än att förlora data när man inte har brytt sig om en fungerande backuprutin över huvud taget. Man har ju trott att efter den ansträngning man har gjort för att skydda sig skall det vara problemfritt komma igång igen om dataförlustspöket är framme.

Återläsningsproblematik kan visa sig vid t.ex. användande av kryptering eller fel på media (exempelvis band).

Detta var lite kort om och kring backup, läs gärna mer på http://www.secure-it.se/backup.htm där jag skriver mer utförligt om ämnet.

Mvh / Tomas

Säkerhetsanalys

Har du gjort en säkerhetsanalys någon gång?

Jag har arbetat fram en kortfattad analys som är helt gratis för dig att genomföra. Den är baserad på den säkerhetsanalys (nuläge) som jag använder mig av i mitt arbete. Jag har lagt upp den här analysen för att förhoppningsvis ge lite a-ha upplevelser kring hur du arbetar med/skyddar din information och dina informationssystem idag.

Du finner analysen om du följer denna länk: http://www.secure-it.se/int_bibl.htm

Klicka på ankarlänken Interaktiv säkerhetsanalys och klicka på puffen Interaktiv säkerhetsanalys. För att starta genomgången måste du skriva in ett ID och jag skulle uppskatta om du skrev in den organisationstyp du tillhör (t.ex. litet företag, kommun, egen företagare mm). Analysen är helt anonym och ingen återkoppling sker till dig och ditt företag/organisation. Dock är min målsättning att sammanställa de resultat jag får in för att få en bild av hur olika organisationstyper jobbar med säkerhet.

Tack för din medverkan och lycka till 🙂

/Tomas

Ingen är rädd för vargen

Hej
Detta är mitt absolut första blogginlägg! Wow, jag trodde aldrig att jag skulle börja blogga men nu har det skett. Min blogg kommer till stor del att handla om IT och informationssäkerhet. Trista ämnen? Ja, i månt och mycket är det faktisk det för gemene man. Dock är dessa områden ett nödvändigt ont att vara lite insatt i med tanke på hur dagens samhälle fungerar. Vi lever i en tid där allt mer sker i digital form och detta öppnar otroliga möjligheter för oss men det öppnar också dörrar för individer med en ljusskyggare agenda än den du och jag har.

Ett problem vad gäller IT och informationssäkerhet är att den bransch som jag tillhör har skrikit efter vargen så många gånger, utan att denne har dykt upp, att den vanlige datoranvändaren börjar bli mer eller mindre avtrubbad för de olika hotbilderna som förekommer i vår digitala värld. På Internet är ju exempelvis det mesta farligt!

Förstå mig rätt, jag tycker att man skall ha full respekt för att t.ex. Internet är en farlig plats. Framförallt om man är naiv och godtrogen men jag har också respekt för att man som vardaglig datoranvändare tröttnar på allt hojtande om att ”Nu finns det 10 000 000 virus i omlopp på Internet” och ”Den nya supermasken som kommer att ta död på Internet är snart här” samt ”Ny trojan kommer att logga allt du gör på din dator, så skyddar du dig”.

Det är lite som med den aktuella svininfluensan. Mycket massmedial information där nästan all information är olika och mer eller mindre diffus. Vad blir kontentan? Jo vi avtrubbas och ifrågasätter till och med om vi skall låta vaccinera oss eller ej vilket möjligen kan ge katastrofala följder (ingen vet ju säkert).    

När det gäller elak kod förekommer det naturligtvis att organisationer råkar ut för t.ex. virusangrepp och det kostar pengar att sanera och ställa saker och ting tillrätta. Men efter 10 år i den här branschen är min uppfattning den att virus (och annan fientlig kod) är (eller borde vara) ett ganska litet problem när vi pratar IT och informationssäkerhet i sin helhet, i alla fall på företagsnivå.

Visst har jag varit med om några riktiga skräckexempel och de kommer jag att beskriva vid senare tillfälle i denna blogg. Det som jag dock oftare upplever som ett problem i min yrkesroll är avsaknaden av styrande dokument, så som policys, rutiner, intern utbildning, incidentrapportering, upplysningsplan mm.

Lite snabbutbildning
För att ge dig som läser denna blogg lite mer kunskap om elak kod kan du läsa två mer ingående dokument som jag har skrivit om ämnet, dessa finner du om du följer dessa länkar:

http://www.secure-it.se/hotbild.htm
http://www.secure-it.se/generator.htm

Kanske dags att börja styra upp lite?
Jag är av följande uppfattning. Om du som företagsägare, IT chef eller IT ansvarig införlivar alla medarbetar under samma paraply där samtliga individer får ta del av företagets synsätt på hur de IT-tekniska hjälpmedlen skall hanteras, via en t.ex. IT policy, kan man få ett helt annat scenario kring t.ex. nämnd ”antivirusproblematik”.

Du måste fortsättningsvis använda antivirus som en del i det skalskydd du omger dig av men jag är alldeles övertygad om att du kan både spara licenspengar och minska antalet incidenter gällande detta område.

Det är en fråga om att medarbetarnas okunskap utgör risken och hotet och inte huruvida ditt företag använder Norton, Nod32 eller AVG. Om Bengt, på ekonomiavdelningen, på grund av okunskapen om IT relaterade hot konstant klickar på alla länkar i inkommande e-brev kommer företagets situation se ut på ett sätt. I detta scenario finns det inget antivirussystem i världen som kommer skydda organisationen från ett slutligt utbrott av fientlig kod.

Om däremot företaget har arbetat fram rutiner (i skriftlig form) som har implementerats, godkänts och signerats av medarbetarna där det beskrivs hur exempelvis bifogade länkar i e-post skall hanteras kommer vi att ha en annan situation. Bengt kommer nu att ta bort länken eller rådfråga den IT-ansvarige innan han hej vilt klickar på dessa.

Naturligtvis måste parametrar som exempelvis ”känd avsändare ” och andra faktorer bakas in och för att en policy eller rutin skall ha ett värde måste det finnas en konsekvensbild beskriven, presenterad och accepterad av den anställde för att denna ”lösning” skall ha en fullgod effekt.

För att summera denna första bloggskrivelse av mig på ett någorlunda nyanserat sätt anser jag alltså att policys, rutiner, intern utbildning och andra ”mjuka” delar har ett större värde än de tekniska lösningar vi i regel omger oss av. Skalskydd är nödvändigt men det går inte att enbart luta sig mot dessa eftersom risken blir att vi snart hamnar i falsk säkerhet.

Vad händer då när vargen verkligen står där?