Återkoppling Ingen är rädd för vargen

Jag skrev i mitt blogginlägg Ingen är rädd för vargen följande stycke:

”När det gäller elak kod förekommer det naturligtvis att organisationer råkar ut för t.ex. virusangrepp och det kostar pengar att sanera och ställa saker och ting tillrätta. Men efter 10 år i den här branschen är min uppfattning den att virus (och annan fientlig kod) är (eller borde vara) ett ganska litet problem när vi pratar IT och informationssäkerhet i sin helhet, i alla fall på företagsnivå”.

”Visst har jag varit med om några riktiga skräckexempel och de kommer jag att beskriva vid senare tillfälle i denna blogg. Det som jag dock oftare upplever som ett problem i min yrkesroll är avsaknaden av styrande dokument, så som policys, rutiner, intern utbildning, incidentrapportering, upplysningsplan mm”.

Jag läste under dagen en artikel i ComputerSweden att USB-minnen bakom virusangrepp i Skåne. Detta angrepp av masken Conficker är naturligtvis ett bevis på att fientlig kod kan skapa otroligt stor skada vad gäller skadat renommé samt direkta kostnader. Masken infekterade ca: 10 000 datorer inom region Skåne (landstinget) och de orsakerna är bland annat dåligt uppdaterade system och eventuellt felaktigt användande av en USB sticka från en extern konsult. Dock är detta ännu ej bevisat.

Bortsett från att utbrott av fientlig kod faktiskt inträffar och kan åsamka mycket stor skada pekar jag ännu en gång på vikten av att införliva rutiner och styrande dokument i verksamheten.

1. Ca: 1 000 datorer inom region Skåne har saknat nödvändiga uppdateringar.

Detta är en brist som troligtvis kan kopplas till bristande rutiner/strategier gälland just hantering av uppdateringar/patchar. Kanske var exempelvis inventering och dokumentation av det aktuella landstingets datorer undermålig eftersom 1 000 datorer helt plötsligt står utan den nödvändiga uppdateringen?

Att dokumentera IT-miljön ger fördelar vid arbetet med uppdateringar men det ger även andra fördelar: 

1. Snabbare uppstart
Vid exempelvis ett allvarligt virusangrepp är det av stor vikt att ha en bra dokumentation för att snabbt kunna starta upp systemen igen.

2. Snabbare felsökning
Det blir enklare att finna felen snabbt om du har ett väl dokumenterat nätverk. Bra dokumentation reducerar behovet av efterforskning av samma problem varje gång det uppstår. Ett nätverksschema kan hjälpa dig att identifiera blivande problemområden i ett tidigare skede.

3. Mindre risk för informationsförlust
Det finns alltid en risk att den nätverksansvarige har allt i sitt huvud. När han eller hon slutar blir det ett stort problem för företaget. Om det finns bra dokumentation av nätverket så blir övergången från det att en person slutar till det att en ny är insatt i verksamheten mindre kännbar.

4. Ansvarsfördelning
Om det är ett lite större företag med flera anställda inom IT-avdelningen blir ansvarsfördelningen kring nätverket lättare om viktig information finns dokumenterad.

5. Förbättrad nätverksdesign
Finns det bra dokumentation kring nätverket är det lätt att förbättra designen och bygga ut nätverket med fortsatt god design.

6. Tidsaspekt
Ett uppdaterat nätverksschema kommer att spara tid åt dig som administratör under alla förhållanden.

2. Användande av externa enheter (i det här fallet USB-sticka)

Enligt den rapport som ComputerSweden har tagit del av har man kunnat spåra minst ett fall där en extern tekniker har använt sitt USB-minne mellan sin privata dator och landstingets datorer. Detta torde också vara en del av bristande rutiner. I en gällande IT policy borde användande av exempelvis USB minnen vara beskrivet. I policyn skulle man kunna tänka sig följande:

1. Totalt förbud att använda USB minnen överhuvudtaget,
2. USB minnen skall alltid skannas med ett uppdaterat antivirussystem innan de används.

Problemet vad gäller punkt 2 är att det aktuella landstingets antivirussystem (F-secure) inte fann den aktuella masken i första läget eftersom Conficker då var ett nytt hot.

Men…

Det är lätt att sitta här och vara efterklok och bror duktig på en blogg…

Det skall också tilläggas att ingen patient kom till skada under det inträffade angreppet och systemen uppges nu vara befriade från Conficker masken.

/Tomas

Policyomfattning