Tilläggskompendium om säkerhet

Transkript

1 Tilläggskompendium om säkerhet 1 Grunder Avgränsning och indelning Hot-brist-skada Nomenklatur 10 2 Hot mot informationssäkerheten Grundklassificering av hot Hackers Egna anställda Trojanska hästar, logiska bomber och spyware Maskar och virus Virus DoS, Denial of Service Terrorister och sabotörer Stöld av utrustning Störningar i omgivningen Industrispionage och annan informationsstöld Bedrägeri och liknande med hjälp av dator 23 3 Sårbarhets- och riskanalys Sårbarhetsanalys Riskanalys Osäkerhet i riskkostnaden Komplex analys Icke-ekonomiska faktorer och riskanalys Riskanalys via scenariometoden Checklistor och dataprogram för riskanalys 30 4 Fysiskt skydd av utrustning Skydd mot förlust eller skada för utrustning Driftmiljö Tillträdesskydd och skydd mot RÖS Säkerhetskopiering av data 36 5 Behörighetskontroll Informationsklassning Formella krav på system Behörighetsdata 39 6 Autenticering av användares identitet Metoder för identitetsverifiering Biometri Lösenord och föremål Aktiv identitetsverifiering 45 1

2 1. Grunder 1.1 Avgränsning och indelning Säkerhet i samband med databehandling har diskuterats i stort sett lika länge som det funnits datorer. Fokus har förskjutits genom åren, dels på grund av själva teknikens utveckling, dels på grund av arten av data, som ingått i behandlingen. Man har provat sig fram med termer som datasäkerhet, informationssäkerhet och IT-säkerhet. Man har lagt tyngdpunkten på tekniska lösningar, på analysmetoder och på generella planer. Man har velat inkludera många olika sorters händelser under begreppet, där de mest aktuella givetvis fått störst vikt, och där olika mål också fått olika vikt under årens gång. Kanske får vi se ytterligare förskjutningar genom åren. Detta material bygger dock på gängse definitioner och avgränsningar kring sekelskiftet -00. Vid första mötet med ämnet blir intrycket lätt att det omfattar en mängd helt orelaterade saker. Firmor som saluför tjänster och produkter inom området kan syssla med reservkopiering av viktiga data, med framställning av skydd mot virus och hackerattacker, med säkring av ekonomiska transaktioner och en mängd andra saker. Det finns dock en sammanhållande kärna för allt säkerhetsarbete med datorer. Den är inte någon teknik eller dylikt utan ett övergripande mål. Enkelt uttryckt handlar det om att försäkra sig om att datasystem levererar rätt data till rätt person i rätt tid. Det är ett enkelt och självklart mål, som vid första påseendet snarast definierar målet för allt arbete med datasystem. Skillnaden är att det mesta av datavetenskapen handlar om hur man så effektivt som möjligt ska utnyttja systemen för att få ut önskade data. Säkerhetsarbetet däremot utgår från att det finns aktiva krafter som motverkar målet, medvetet eller på grund av olyckliga omständigheter. Man utgår från vad som skulle kunna hända, fast man inte vill det, och koncentrerar sig på att förhindra det som inte får hända. Eftersom området är så omfattande, behövs någon form av grundstruktur som ger hanterliga delområden. Efter en lång tids internationell förvirring kring vad man borde räkna in och inte räkna in, lyckades man under sent 80-tal få fram en engelskspråkig struktur, som fått genomslag i hela världen. Man talar numera oftast om att IT-säkerhet handlar om CIA, d v s: Confidentiality Integrity Availability eller på svenska: Sekretess Riktighet (tillförlitlighet) Tillgänglighet hos data. 2

3 Bristande sekretess, data är åtkomliga för vem som helst Bristande riktighet, data är inte korrekta Bristande tillgänglighet, data kan inte nås när man behöver dem Begreppen utgår från slutanvändarens krav på ett system: Rätt data, d. v. s. tillförlitliga uppgifter, som kan användas som beslutsunderlag, till rätt person, d.v.s. om sekretess gäller kan endast behöriga få uppgifterna, i rätt tid, d. v. s. uppgifterna ska finns tillgängliga när man behöver dem. Tyvärr kan de vanliga översättningarna och ljudassociationerna göra att just svenskar har svårt att ta till sig CIA-terminologin. På engelska betyder ju "confidence" bl. a. "tilltro", d. v. s. just det man ska ha till riktiga data där "integrity" är korrekt engelsk term, medan "confidentiality" betyder sekretess, utan några bibetydelser åt tillförlitlighetshållet. "Integrity" kan lätt associeras med "personlig integritet" vilket i sin tur kommit att associeras med att persondata ska ha sekretess, medan uttryckets korrekta översättning (även utanför datasäkerhetssammanhang) är att något är att lita på. Och när ordet "tillgänglighet" dyker upp i säkerhetssammanhang associerar många till restriktioner i tillgängligheten, alltså till "sekretess", vilket gör att de plötsligt bara har två krav kvar av de korrekta tre. Rikitghet slutligen kan misstolkas som att datasystemet ska internt säkerställa att data stämmer med verkligheten. Men systemet kan bara ta emot inmatade uppgifter och kanske rimlighetskontrollera dem. Ett datasystem kan inte ta reda på vad ett 3

4 felaktigt inmatat värde skulle varit. Riktighet betyder bara att datavärden är just de som en behörig, förhoppningsvis tillförlitlig inmatare ursprungligen angav. Men indelningen i sig är glasklar, vare sig man använder bokstäverna CIA som en minneshjälp eller om de bara förvirrar genom otydlig engelska: Confidentiality är detsamma som bibehållen sekretess, och är ett krav som främst kom från militär och sjukvård i datorernas barndom. Sekretess Ingen nyckel, ingen tillgång till data. IT-sekretes Inget lösenord, ingen tillgång till data Integrity kommer av den latinska stam, som betyder "hel", och ska här tolkas i bibetydelsen "ej obehörigt påverkad", "att lita på", precis som det svenska uttrycket "en person med stark integritet". Kravet kom framförallt från finansiella sidan, då dataanvändningen nått sådan omfattning att stora verksamheter baserade såväl viktiga beslut som dagliga rutiner helt på de uppgifter som kom via datorer. 4

5 Tillförlitlighet Uppgifterna på papperet är pålitliga och kontrollerbara Dataintegritet Uppgifterna ur datorn är pålitliga och kontrollerbara Availability betyder ju just tillgänglighet, och brukar inte vålla några bekymmer vad gäller tolkningen. Det är ett krav som funnits ända sedan man upphörde att känna glad förundran att datorer alls kunde finnas och fungera. Tillgänglighet Uppgifterna finns där när jag behöver dem 5

6 Vad ska man då ha en sådan här indelning till? Att arbeta med IT-säkerhet innebär i stort sett ett negativt arbete: Man drar inte in intäkter utan minskar bara kostnader. Man förnyar inte arbetsprocesser, utan tar bara bort oönskade moment i processer. Man skapar inga positiva nyheter utan ser bara till att det inte uppstår negativa nyheter. Ett sådant arbete blir mycket lätt spretigt, osammanhängande och händelsestyrt i stället för målinriktat och planerat. Det är då oerhört viktigt att man aldrig missar vad som trots allt var slutmålet. CIA anger vad slutmålen kan vara. Håller man det aktuella slutmålet i sikte, är risken betydligt mindre att man fattar delbeslut, som är utan verkan eller dåligt lönsamma. Samtidigt ska man vara medveten om att dessa mål kan komma i konflikt med varandra. Ett uppenbart exempel är då man inför kryptering av sekretesskäl. Detta bör öka sekretessen, men det inför också den nya risken att någon inte har tillgång till krypteringsnyckeln, då han behöver data. Vi får alltså ett nytt hot mot tillgängligheten. 1.2 Hot-brist-skada En annan indelning, som inte gäller området i sig utan begrepp inom området, är Hot Brist Skada Varje icke önskad händelse, som man alltså ska hindra, sönderfaller i tre helt olika delar med olika möjligheter för säkerhetsansvarig att påverka. Alltför ofta hör man dessa delar sammanblandas i debatt, reklam o. s. v. För den som ska arbeta med säkerhet är det mycket viktigt att man håller reda på dessa tre steg. Skada är det inte önskvärda tillstånd som man ska undvika. Skada innebär att något av värde för datasystemens ägare och användare förlorar detta värde eller minskar i värde. Skada kan lindras utan att hot eller brist påverkats. Hot är det som kan utlösa skadan. Begreppet innefattar både en agent (människa, naturfenomen) och själva händelsen. Hot kan avskärmas från systemet och göras mindre sannolika men inte påverkas i sig. Brist är det tillstånd i datasystemet eller dess omgivning som möjliggör att skada uppstår vid ett hot. 6

7 Hot: Tjuv; Brist: Öppet fönster; Skada: Stulna smycken IT-hot: Hacker; IT-brist: Dåligt skött lösenordslista; IT-skada: Hackad hemsida Skada räknas oftast i pengar, men det omfattar egentligen mer än så. Det kan röra sig om såväl ekonomiska värden som mer abstrakta värden, t.ex. arbetstrivsel, anseende o s v. Ibland benämns skada också konsekvens. Hot är ett ord som låter dramatiskt, men inte behöver betyda något verkligt allvarligt. I viss litteratur om riskanalys talar man rätt och slätt om händelser. Ett hot är en möjlig, oönskad, yttre händelse, som kan få följder i eller genom datasystemet. Ibland benämner man också den allmänna existensen av en agent som ett hot, utan att specificera vad agenten kan tänkas göra. Särskilt när det gäller IT-system måste man vara uppmärksam på att skadedelen kan vara uppdelad i två steg, primärskada och sekundärskada, där det ofta behövs ytterligare ett hot, för att sekundärskadan ska uppstå. I ett sådant fall är det tveksamt om primärskadan är en egentlig skada eller en sekundär brist. Hot: Skada på dörr Brist: Dålig stängningskontroll Primärskada/sekundär brist: Olåst dörr 7

8 IT-hot: Falsk website IT-brist: Gammalt kontrollprogram IT-primärskada/sekundär brist: Falska rättigheter Ett typiskt fall är då en hacker tagit sig in i ett system och skrivit in sig bland behöriga användare. Varken tillgänglighet eller sekretess har skadats så långt, och integritetsskadan (oriktig tabell över användare) är liten i sig. Men tabellen över användare måste vara korrekt om vi ska kunna garantera någon säkerhet alls. Själva huvudskadan, som påverkar världen utanför systemet, inträffar dock först när hackern utnyttjar sin nya behörighet. Man kan då se detta som ett enda hot, en brist och en skada (hotet är hacker med intresse för systemet, bristen möjlighet till felaktig behörighetstabell och skadan är den ändring eller läsning man fick behörighet att göra) eller två hot med tillhörande brist och skada (hotet är hacker med intresse av att visa att han kan ändra behörighet, bristen möjligheten att ändra i behörighetstabell och skadan är felaktig behörighetstabell, respektive hotet är en godtycklig person som vill åstadkomma direkt skada, bristen är existensen av den personen i behörighetstabellen och skadan är det han då kan göra). Vilket synsätt som är bäst bestäms framför allt av hur säkert det är att sekundärskadan uppstår, om primärskadan redan finns. Om det ena alltid följer av det andra, så är det vilseledande att behandla dem separat, och bristen består av två delar, som måste uppträda i tur och ordning. Om det å andra sidan är mycket osäkert om primärskadan leder till något mer, så kan det vara vettigt att se på den för sig, och bedöma dess svårighetsgrad efter både vilka sekundärskador som då blir möjliga och hur sannolika dessa är. Hotbeskrivningen kan också behöva indelas i olika klasser. En vanlig distinktion är den mellan avsiktliga och oavsiktliga hot. En annan vanlig indelning tar fasta på om agenten är en människa eller ett naturfenomen. Naturfenomen kan uppenbart inte vara avsiktliga. Det kan dock vara mycket delade meningar om vart man ska räkna sådana hot som elstörningar. Åskväder räknas självklart som naturfenomen. Men om störningen orsakas av en komponent i elnätet, som brister, eller av en truckförare, som råkade köra rätt in i en vägg, där huvudledningen var dragen? Är det då "naturfenomen" eller en olycka orsakad av människor? Truckföraren är uppenbart en människa, som då kan räknas som hotagent, men varför brast nätkomponenten? Dålig projektering? Materialfel? Hur långt bort ska man behöva söka efter en eventuell orsakande människa? Svaret är att sådana hårklyverier inte gagnar säkerhetsarbetet. Det viktiga är att hitta var man bäst angriper ett komplext problem. Klassificering får inte bli ett självändamål! 8

9 Varför ska man då bry sig om sådana här uppdelningar? Det finns två huvudskäl till att hålla reda på vad som är hot, vad som är brist och vad som är skada: För det första är huvudangreppssätten väsentligt olika om man vill avskärma hoten, reparera brister eller mildra skadeeffekten, och för det andra kan felaktig klassificering leda till att man försöker åtgärda fel saker. Hot kan man egentligen inte göra sig av med. Man kan bara göra det mindre sannolikt att de drabbar det egna systemet. När hotagenten är en människa som måste komma åt systemet fysiskt, så är uppenbara grundmetoder låsta rum, avspärrade områden o. s. v.. Det är då också uppenbart att frånvaron av sådana skydd kan sägas vara en brist. Skador kan man inte heller göra sig av med då de redan inträffat. Däremot kan man i förväg göra det mindre allvarligt att de inträffar. Ett uppenbart exempel är att ta försäkringar mot ren ekonomisk skada. Ett annat är att se till att alltid ha säkerhetskopior på aktuella data, så att en hårddiskkrasch eller ett raderande virus inte betyder så mycket. Bristerna är det som man mer eller mindre automatiskt tycker att man bör åtgärda, men det är inte så självklart. Säkerheten måste anpassas till i vilken grad de egna systemen är hotade och till hur stor skadan kan bli. Kanske är det mest lönsamt att låta bristen vara kvar! 1.3 Nomenklatur De flesta av facktermerna inom datasäkerhet förklaras löpande i texten. Mycket som skrivs även inom denna del av datavärlden skrivs dock på engelska. Ofta används enkla vardagliga ord som är lätta att förstå och lätta att översätta om man själv ska vidarebefordra budskapet på svenska. Vissa termer är dock så pass långt ifrån svenska eller vardagsspråk att man ofta antingen ser felaktiga översättningar eller onödiga engelska ord (med åtföljande böjningsproblem) i svensk text. Här är en ordlista över några av de vanligaste bland dessa: access access control audit audit trail authenticate åtkomst, tillgång, komma åt behörighetskontroll, åtkomstkontroll, tillträdeskontroll revision, uppföljning (uppföljningsbar) logg verifiera riktigheten av en uppgift, särskilt identiteten, autentisera 9

10 authorize capability cipher cryptanalysis decryption discretionary (protection) encryption, encipherment firewall integrity mandatory (protection) password privacy ge behörighet "biljett" i speciell realisering av resursskydd i datorn chiffer, egentligen en underavdelning till kryptering, men idag kan i regel ordstammen "cipher" alltid bytas mot "crypto" kryptoknäckning, forcering av chiffer. kryptoanalys dekryptering användarstyrt (skydd) kryptering, chiffrering brandvägg, brandmur bevarad funktion och riktiga värden regelstyrt (skydd) lösenord personlig integritet 10

11 11

12 2 Hot mot informationssäkerheten 2.1 Grundklassificering av hot Säkerhetsarbete förutsätter att man kan ange vilka hot som överhuvudtaget kan finnas i ett informationssystems omgivningar. Först då man övervägt vad som kan komma ifråga helt allmänt, kan man försöka avgöra i vilken grad varje detalj är aktuell för ett givet exempel. Den som har ansvaret för ett systems säkerhet måste alltså vara bekant med alla kända generellt möjliga hot, för att sedan kunna sortera upp dem i sådana som saknar relevans i den egna situationen och sådana som måste undersökas noggrannare. En första grov klassificering ges redan av de tre sårbarhetskriterierna. Dessa anger dock ingenting direkt om händelser och orsaker, utan tar egentligen sikte på huvudtyper av skada. En annan typ av grundklassificering utgår ifrån att hot är (tänkbara) händelser och därför rimligen har något eller någon som utlöser händelsen. Man talar om hotets agent. En agent kan då vara av en av tre huvudtyper: Naturen En avsiktligt handlande människa En människa som begår ett oavsiktligt misstag. Självklart kan alla tre typerna av agent ibland samverka för att utlösa en viss skada, men när det gäller säkerhetsåtgärder är det viktigt att komma ihåg vilken av dessa tre huvudtyper man avser att skydda sig mot. Mänskliga misstag t ex tar man bäst hand om genom att skapa ett helt användarvänligt system, som dessutom är motståndskraftigt mot misstag som ändå begås. Avsiktliga angrepp kräver helt andra typer av skydd. Denna stora skillnad gör också att man ofta talar om enbart två huvudtyper av hot: Avsiktliga händelser Oavsiktliga händelser Till naturen räknas självfallet väderfenomen och liknande, t ex åska, värme m m. Hit räknas också allmänna miljöfaktorer, som visserligen beror på mänsklig aktivitet men inte utlöses av någon enskild mänsklig handling. Damm, dålig luft och dålig elmiljö kan alltså räknas hit. Gränsen mot händelser, som definieras som mänskliga misstag, är givetvis flytande. Det rör sig dock aldrig om händelser som har sin grund i systemets logiska konstruktion. Det karakteristiska för denna hotkategori är dels att det rör sig om fysiska hot mot systemets fysikaliska egenskaper, dels att man egentligen inte räknar med att kunna eliminera hotet i systemets omgivning. Skyddet söks genom att systemet skyddas mot händelsens effekter. Typiska exempel på hot från naturen är åsknedslag, översvämningar, hetta och rök. Hit hör också brister i elförsörjningen och andra elstörningar, som urladdning av statisk elektricitet, elektromagnetiskt inducerade störningar genom luften och läckströmmar p g a dålig jordning. Vidare måste man räkna utmattning och nötningsskador i materiel till denna kategori. Det rör sig alltså om allt från tak, som brister under tung blötsnö, till åldrade magnetskikt på en skiva. 12

13 Mänskliga misstag gäller oftast den logiska hanteringen av systemet. Det rör sig om felaktiga inmatningar o dyl. Men mänskliga misstag gäller även hantering av sekundärmedia och allmän fysisk hantering av systemet. Coca Cola i tangentbordet och ledningar som slitits loss vid städning är typiska exempel på mänskliga misstag. Den stora skillnaden mellan mänskliga misstag och avsiktliga hot gäller sannolikheten. Allt som en människa kan göra av misstag, det kan hon självfallet göra med avsikt. Frågan är bara om någon vill göra det, och om det är sannolikt att någon gör det ändå, d v s oavsiktligt. I alla normala miljöer är misstag oändligt mycket vanligare än avsiktligt skadliga handlingar. Enkla skydd mot misstag är därför ofta mycket lönsamma, men de är samtidigt ofta utformade så att den som vill skada inte stoppas av just detta skydd. Bra namnstruktur för dokument och ordnade bibliotek kan t ex ge utmärkt skydd mot oavsiktlig läsning, ändring och radering, men det är inte något skydd mot avsiktlig obehörig hantering av data. Avsiktlig skada, slutligen, utgör det mest svårbemästrade hotet. Skydd mot denna typ av hot måste vara förhållandevis sofistikerade jämfört med skydd mot olyckshändelser. Här är det också verkligt kritiskt vilken delkategori av agent man vill skydda sig mot, d v s vilken grad av beslutsamhet man måste räkna med och vilken relation personen ifråga har till systemet. Detta är såpass viktigt att olika kategorier av avsiktliga hotagenter behandlas mer utförligt i de följande delkapitlen. När det gäller bedömning av hot måste man slutligen värdera vilka resurser hos ett hot som krävs för att hotet ska utlösa skada och vilka resurser som sannolikt finns i systemets omgivning. Denna princip gäller alla typer av hot, och den är mycket viktig för bedömningen av vilka åtgärder som ska sättas in. Jordbävningar är t ex ett möjligt hot i hela världen, men såväl frekvens som typisk styrka skiljer sig rejält mellan Kalifornien och Sverige. I Sverige är det betydligt mer relevant att fundera över tung trafik och byggen på granntomten än att jordbävningsskydda viktiga datorhallar. Frågan om resurser blir extra viktig när det gäller människors förmåga att åstadkomma skada. Vilka kunskaper krävs t ex för en avsiktlig attack mot ett system, hur många har redan den kunskapen och hur stora är möjligheterna för någon beslutsam att skaffa sig dessa kunskaper? Vilka fysiska platser måste man ha tillträde till, och hur lätt är det att få sådant tillträde? Här krävs en noggrann och realistisk analys. Historien visar ständigt exempel på att ledningen för attackerade system litat på att inga utomstående hade kunskaper, som i själva verket är vitt spridda. Det har gällt kunskap om hur kontrollsiffror byggs upp, hur vanliga nätprotokoll fungerar och t o m så sent som vid mitten av 90-talet hur man skriver vissa UNIX-kommandon. Även när det gäller resurser kan det vara förnuftigt att dela in agenter vid avsiktliga hot i olika kategorier, som studeras för sig. Här finns dock ingen färdig indelning som är relevant för nästan alla. Ett exempel på vad som bör utvärderas är hotagenter med tillåtelse att logga in på systemet kontra rena utomstående. En annan aspekt är personer med stor kunskap om datorer och mycket fritid kontra sådana som är beroende av andras kunskaper och inte kan lägga ner mycket tid på en attack. 13

14 2.2 Hackers Termen "hacker" användes ursprungligen för den tidiga dataålderns entusiaster, där "hacker" närmast betydde en person som tillbringade extremt mycket tid vid datorn, hade extremt god detaljkunskap om just sin dators funktioner och som var kapabel att snabbt sno ihop program med enastående funktioner. Det synliga resultatet av dessa hackers verksamhet var då nyttiga och/eller roliga program, som dels gjorde saker man knappt trodde var möjligt, dels var helt odokumenterade och omöjliga att ändra, reparera m. m. Med tiden har det utvecklats en särskild klass av datorintresserade, som uteslutande ägnar sig åt att kringgå säkerhetssystem. De har sin egen underkultur, med egna kommunikationskanaler (ofta datorlagrade anslagstavlor och chat-rum där de kan utbyta erfarenheter, skryta med egna bedrifter o s v) och egen etik och moral. Inte ens denna kultur är heller helt homogen. I vissa kretsar räknas det som helt OK att lämna ut adress, användar-id och lösenord till en dator, d v s att möjliggöra obehörig användning av en dator. I samma kretsar kan en del fördöma och andra uppmuntra att man lämnar ut andras kreditkortsnummer för varubeställning, d v s att man möjliggör ren stöld från privatpersoner. "Skrytaspekten" tar sig ibland också uttryck i att man bevisar sin närvaro och makt genom att radera data, ordna så allvarliga fel att systemet stannar ("krascha systemet") eller dylikt. Detta har gjort att många hackers av gamla skolan protesterar mot att termen används för dessa destruktiva individer. Språkförskjutningar är dock svåra att rå på. Kunnigheten hos dem som idag kallas hackers i massmedia varierar oerhört. I medeltal kan man säga att den överdrivs svårt. Lyckligtvis är dessutom lusten att skada nästan alltid omvänt proportionell mot kunnigheten. Det hindrar inte att det oftast behövs generande lite kunskap för att "bryta sig in" i dagens system. Enkla tips om adresser, sannolika lösenord, hur man får tag i användar-id och kända fel i behörighetskontrollerna cirkulerar mellan hackers i sådan form att även en novis bara har att kopiera. Ofta rör det sig om färdiga program och script, där det bara är att fylla i enkla saker, som måltavlans adress. När en hacker har kommit in i ett system har han samma tilldelade resurser som en anställd, i värsta fall systemadministratören, men han har ofta betydligt större kunskaper om grundsystemet och ingen lojalitet mot systemets ägare. Det är därför viktigt att se till att obehöriga aldrig får tillträde till systemet. 2.3 Egna anställda Det är ett välkänt och sorgligt faktum att nästan alla oegentligheter som begås med hjälp av datorer härrör från de egna anställda. Den typiska databrottslingen t. ex. är en tidigare ostraffad person som arbetat en längre tid i den drabbade organisationen. Detta gäller t. o. m. dataintrång, d. v. s. personer som döms för att obehörigt ha skaffat sig tillgång till data. Visst finns det idag gott om hackers som försöker sin lycka med att komma in i nya datorer på nya nätverk. Vi har ändå kvar det gamla problemet med anställda som av nyfikenhet eller direkt skumma motiv går igenom olika datorers innehåll, liksom de som använder sin kunskap till att berika sig själva eller dölja spår av andra brott. 14

15 Egna anställda har alltid grundresurser som utomstående saknar: De har tillgång till fysiska punkter där man kan nå logisk kontakt med datorn, och de har oftast en grundbehörighet i systemet. Man kan alltså skydda sig mot utomstående genom att göra systemet helt slutet mot omvärlden, så att inget kan uppnås genom att försöka ansluta via datanät utifrån. Men inom organisationens egna lokaler måste det finnas utrustning för att få kontakt med systemet, och denna utrustning är då en tillgänglig resurs för åtminstone vissa anställda. På samma sätt innehåller alla kända system idag svagheter och säkerhetshål av olika svårighetsgrad. För att utnyttja en del av dem måste man dock först ha lyckats logga in på systemet. Detta är alltid möjligt för anställda. Det som dock gör anställda till ett särskilt allvarligt hot är, att om de väljer att vända sig mot organisationen har de en unik insikt både om systemet och om vad som kan ge allvarlig skada. De vet ofta var skydd och hinder finns, och de vet hur t ex ekonomiska värden kan föras ut ur systemet. Detta är uppenbart vid den minsta eftertanke. Det har lett vissa till slutsatsen att ett bra skydd är att hålla de anställda i så stor okunnighet som möjligt. Visserligen minskar detta riskerna, om man verkligen lyckas, men som skydd är det helt otillräckligt. Någon har alltid kunskapen, och få saker är så svåra att kontrollera som kunskapsspridning. Vidare behöver ändå rätt många rätt goda kunskaper för att kunna utföra sitt arbete. Slutligen kan nyfikna anställda oftast ta reda på allt de vill veta genom en mängd olika källor, där ingen ser att någon skaffat sig kunskap om helheten. Det finns alltså ingen anledning att av princip annonsera skydd och funktioner, som en anställd inte behöver hantera, men i hotanalysen måste man betrakta sådan information som känd av de anställda. 2.4 Trojanska hästar, logiska bomber och spyware Trojansk häst har kommit att bli beteckningen för datorprogram med någon av användaren okänd och oönskad effekt. Termen används inte för felaktiga program. Den används då det uppenbart är programskrivarens avsikt att dölja vissa saker som utförs av programmet i syfte att lura användaren. Förutsättningen för en trojansk häst är alltså att användaren inte skulle ha kört programmet om han känt till alla dess effekter. Om du inte känner till historien om den ursprungliga trähästen i Troja, så läs den! Sedan missar du inte vad begreppet står för i datorsammanhang. En del blandar dock ihop hästen med vad som gömde sig i den och vad de sedan gjorde, så att de begår misstaget att tro att trojanska hästar definieras som något som öppnar bakdörrar. En trähäst kan inte öppna bakdörrar. Den kan däremot bära agenter som gör vad som helst, inklusive öppnar bakdörrar. En logisk bomb är en skadlig del i ett program. Normalt handlar det om radering av data. Den logiska bomben behöver inte utlösas varje gång programmet körs. Det kan finnas ett villkor, t ex att skadan ska utlösas endast efter ett visst datum. Eftersom man knappast medvetet kör en logisk bomb riktad mot egna data, så förutsätts den logiska bomben vara dold i en trojansk häst, om den inte kommit in genom något säkerhetshål. Varje användare av en dator har alltid en viss makt att förstöra, störa och allmänt ställa till trassel. Men denna makt omfattar normalt bara egna data, program och datorkörningar. För en 15

16 persondator med endast en användare och utan nätkontakt gäller det t. ex. allt som finns lagrat i den egna maskinen men ingenting som finns i andra persondatorer. I en delad dator och i nätbaserade system har varje användare makt över endast sin del av data och program, och där kan vissa användare helt sakna rätt att ändra något överhuvudtaget. De har endast läsrättigheter. En trojansk häst är till för att kringgå dessa begränsningar. När någon kör ett program gäller de rättigheter som innehas av den som kör, inte den som skrev programmet. En användare kan på så sätt luras att t. ex. radera data som programförfattaren inte själv kommer åt. Alla som kan skriva program kan också skriva en trojansk häst. I en utvecklingsmiljö har man alltför sällan tid att lusläsa programkod innan den betraktas som godkänd. Även i miljöer med noggrann granskning har man sällan formellt stöd för att säkerställa att den granskade koden verkligen är den som levereras. Man räknar med misstag, men inte med medveten förfalskning. I mer informella miljöer finns inte ens något officiellt godkännande av program. Användaren är alltså utlämnad åt förhoppningen att programmet gör vad det ska och inget annat. Risken är uppenbar. Risken att drabbas av en trojansk häst är helt klart kopplad till varifrån man hämtar sina program. Väletablerade firmor och andra källor med t. ex. klart ekonomiskt intresse av att bevara kundernas förtroende är självklart mindre hot i detta avseende än okontrollerade databaser med gratisprogram. En ful variant, som dock blivit vanlig under senare år, är firmor som spionerar på användare med s. k. Spyware. Det är en speciell variant av trojanska hästar, som laddas ned vid kontakt med någon nätserver, t. ex. ett system för chatt, för beställning av vissa varor, nedladdning av något o. s. v. Då användaren fått det nödvändiga hjälpprogrammet installerat, ibland helt dolt i bakgrunden vid maskiner som tillåter sådant, börjar den lilla spy-wareprocessen i det sända data om användarens dator, vanor m. m. 2.5 Maskar och virus En mask är ett program som normalt är helt oönskat av ansvariga för en drabbad maskin. Kännetecknet för en mask är att den skapar och startar kopior av sig själv. Om den låg still skulle ansvarig lätt kunna ta bort ("döda") den, och andra skulle bara drabbas om de aktivt hämtade masken (jämför med trojansk häst). Förflyttningen var alltså för de ursprungliga maskarna ett självförsvar. Vid förflyttningen kan den skapa många kopior av sig själv och därmed föröka sig. Den senaste tidens maskar har genomgående varit av det starkt reproducerande slaget, med liten eller ingen tendens att ta bort sig själv efter fullbordat värv. Namnet mask uppkom på 70-talet, när ett maskprogram annonserade sin närvaro som just en maskliknande figur på bildskärmen. Figurens placering berodde på var programmet fanns för ögonblicket. Nuförtiden borde denna typ av program kallas bakterier på grund av sin allmänna likhet med virus och den särskiljande egenskapen att de är självständiga och inte utnyttjar existerande legitima "celler" (=program, dokument o. s. v.) för sin fortlevnad. Detta ger datorns "immunförsvar" möjlighet att lokalisera och avlägsna alla icke legitima program, d. v. s. maskar bl. a. 16

17 Maskar är i sig inget allvarligt hot inom en dator utöver att de stjäl resurser i form av datortid. De kan dessutom ha hyss för sig, som irriterar användare, t ex oväntade meddelanden på skärmen. I princip är maskar bara en automatiserad version av vad deras skapare skulle ha kunnat göra direkt interaktivt. Problemet är att de kan vara en automatiserad version av försök till dataintrång, och dessutom ett skickligt sådant. Maskar som sprider sig mellan datorer via privilegierade användarkonton kan också ställa till stor skada. I en del fall har de också utnyttjats för att bereda maskens konstruktör möjlighet att i fortsättningen arbeta interaktivt mot den drabbade datorn. Masken kan alltså dels stjäla alldeles för mycket resurser, dels bära på logiska bomber och andra skadedelar. Dagens tätt knutna datornät är en utmärkt spridningsmiljö för maskar. Olika program för datorpost har varit populära som spridningsmekanism, men även andra program med kontakt utåt har utnyttjats, liksom rena hackermetoder. Man bör i detta sammanhang särskilt se upp med alla program som tillåter andra nätanvändare att kontakta den egna datorn för att överföra något program och sedan köra det. I dag finns t ex serviceprogram mot Internet och WWW, som kan erbjuda stora risker i detta avseende om de inte kopplas upp rätt. Namnet "datavirus" är skapat för att poängtera de stora likheterna mellan datavirus och biologiska virus. Dessa likheter är främst: - Virus "sprider sig", "smittar", d v s de skapar kopior av sig själva. - Virus är inte självständiga. De gömmer sig i något som bör finnas där och blir därigenom svåra att upptäcka och att avlägsna. - Virus är specifika för sin värdorganisms typ. De kan bara sprida sig inom denna typ. - Virus är inte farliga i sig själva, men utöver själva spridningsmekanismen kan de ha andra, farliga delar. Själva spridningen kan också ske så att den stör värdens funktioner. I datortermer är virus en del av ett program eller av en kommandosekvens. Denna del har förmågan att kopiera in sig själv i andra program eller kommandosekvenser. Utöver de instruktioner som utför själva kopieringen, "smittmekanismen", kan datorvirus innehålla ytterligare instruktioner av helt godtyckligt slag. Dessa kan skriva ut skämtsamma meddelanden, radera data och överhuvudtaget göra allt som går att göra i den drabbade datorn. Det rör sig ofta om rena logiska bomber. Som framgår av definitionen ovan av trojansk häst, så måste virus betraktas som en speciell sorts trojansk häst. De liknar också maskar, men är alltså inte självständiga program. I dagens datormiljö, med t. ex. möjlighet att via e-post starta diverse aktivitet hos mottagaren, blir gränsen mellan mask och virus allt mer diffus Det farliga med virus är att man kan smittas av program, e-post o. s. v. från pålitliga och ärliga personer. Dessa kan ju i sin tur ha varit oförsiktiga, eller ha tagit emot något från någon oförsiktig. Det räcker inte heller att undvika ett fåtal program eller undvika skumma nätadresser. Ingen vet vad som är osmittat till slut. Vidare kan smittan ha pågått länge innan den upptäcks, varför säkerhetskopiorna också kan vara helt smittade. Och virus kan alltså göra allt som den illasinnade författaren vill och den ovetande smittade har rättighet och fysisk möjlighet att utföra. Krångel på grund av virus och maskar orsakas dessutom inte bara av avsiktligt inprogrammerade 17

18 skadedelar. Det är minst lika vanligt att smittade system inte följer virusförfattarens förutfattade meningar om hur det ska se ut, vilket leder till de mest mystiska fel och ibland total systemkrasch. Virus och maskar är idag vanliga enbart på persondatorer, och då framför allt på de datorer som använder de mycket vanliga och helt oskyddade äldre varianterna av operativsystemet Windows och kompatibla system. Som tydligt framgår av definitionen ovan kan dock virus finnas i alla datormiljöer. I miljöer där man skyddat sig genom att upprätta användardomäner, smittar virus ändå så snart någon kör ett smittat program. Man smittar dock bara sin egen domän, och grundläggande delar i maskinens system kan bara smittas om systemadministratören kör ett smittat program. Maskar som utnyttjar säkerhetshål stoppas dock inte av dessa åtgärder. Definitionen av säkerhetshål är ju just att det finns ett domänskydd, men ett hål igenom det. En ytterligare komplikation är att många användare inte vet var kommandosekvenser finns i datorn, samtidigt som sådana sprids till allt fler olika punkter i program. Man inser då inte när och hur man kan bli smittad. En gammal sanning är t. ex. att virus inte kan sprida sig genom att man bara tar emot text. Problemet är att dokument idag ofta inte innehåller enbart text. Mer sofistikerade funktioner för dokumentutformningen sköts med hjälp av programkod som kopplats direkt till dokumentet, så kallade makron. Ett makro kan utmärkt innehålla virus och i sin tur smitta andra dokument skrivna för samma program, något som på sistone drabbat många. Även program för postbefordran och för att visa information via nätet kan innehålla funktioner för att ta emot kommandon från sändaren, och dessa kommandosekvenser, t. ex. applets i oskyddade scriptspråk, blir då utmärkta spridningsverktyg för specialskrivna virus och maskar. Hotet finns alltså i alla miljöer. Dess relativa vikt beror på dels hur många som för ögonblicket är roade av att skriva virus för miljön, dels på vilka vanor som gäller för hur man tillåter kontakter med andra i miljön. 2.7 DoS, Denial of Service Datakommunikation innebär per definition att en dator måste vara beredd på att ta emot meddelanden, precis som det måste vara möjligt att stoppa brev i en brevlåda, om brevlådan ska ha något berättigande. Men protokollen för att ta emot meddelanden ger i vissa fall strålande möjligheter för illasinnade personer att helt blockera ett offers dator med anrop. Detta kan ske genom att offrets dator fås att bryta samman, eller genom att man översvämmar den med så många nonsensanrop, att inget nyttigt blir utfört Ett fall är då mottagande dator svarar att den förstått att den är kontaktad, och sedan reserverar tid och/eller en inkanal för väntat fortsatt informationsutbyte. En angripare kan då lätt skicka en skur av initialmeddelanden, och därmed låsa offrets kommunikation under tiden man väntar på fortsättningen, som aldrig kommer. Om angriparen förfalskar avsändaradressen, blir angriparen dels inte själv översvämmad av svaren, dels blir angriparen nästan omöjlig att spåra. Normala nätsäkerhetsmetoder hjälper inte mot sådana här attacker, eftersom attackerna bara överutnyttjar funktioner som datorerna måste ha för att göra sitt jobb. Brandväggar isolerar dock skadan vid angrepp utifrån till att inte drabba internnätet. I övrigt måste man ha vettiga protokoll, som inte lätt hänger sig vid felaktiga anrop, och allmänt försöka se till att protokollen är sådana att 18

19 angriparen tvingas använda resurser i samma storleksordning som offret behöver för att ta hand om attackens meddelanden. Alltför avancerad analys för att upptäcka attacker, kan alltså absurt nog göra det lättare att attackera, eftersom offret använder så mycket resurser på analys av varje anrop. En enkel brandväggsliknande spärr för upprepade, likadana anrop i orimliga mängder kan dock vara effektiv. Ett annat fall är då man använder trojanska hästar, virus eller vanlig hackning för att installera angreppsprogram på tredje parts datorer. Dessa angreppsprogram går sedan igång vid t. ex. en viss tidpunkt, och spårning av den egentlige angriparen blir återigen mycket svårt, samtidigt som angriparen skaffat sig resurser att attackera även offer med mycket stora resurser för att ta emot datorkommunikation. Sådan DDoS (Distributed Denial of Service) är mycket svår att försvara sig emot. Dock ger filtrering av repeterade likadana meddelanden även här en möjlighet att begränsa effekten, även då avsändarna klart är olika. 2.8 Terrorister och sabotörer Terrorism är något som Sverige varit nästan helt förskonat från. Fenomenet är betydligt äldre än datorer. Det formulerades som politisk doktrin under 1800-talet och har sedan dess använts som kampmedel i olika länder och med olika intensitet. Normalt används det om attacker riktade mot personer, men i dagens samhälle kan attacker mot infrastruktur vara ytterst effektiva för terroristernas mål. Datornät hör definitivt till viktig infrastruktur idag, och övriga exempel, som kraftnät, livsmedelsdistribution o. s. v. är helt beroende av datorer. Terrorism har inte varit ett problem i Sverige. Det betyder inte att det alltid kommer att förbli så, men än viktigare är att majoriteten av sabotage ändå inte utförs av terrorister. Samma typ av hot kommer även från andra personer, men då normalt med mindre beslutsamhet hos förövaren och även mindre resurser. Sabotage förekommer som ren vandalism, som hämnd från besvikna anställda, som mer eller mindre ofrivillig följd av inbrottsförsök o s v. När det gäller terrorism och hämnd kan man räkna med att förövare söker sig till den värdefullaste tillgängliga delen av systemet. När det gäller övrigt sabotage drabbar det sannolikt systemdelar i direkt proportion till deras fysiska tillgänglighet. Allt som befinner sig i gatumiljö i stadscentrum eller utefter gångstråk från centrum till förorter är alltså extra utsatt, speciellt helgnätter. Man måste då också räkna med att gäng på väg hem från en fest kan uppvisa alla beteenden från våldsam aggressivitet till strålande uppfinningsrikedom. En uttagsautomat måste t ex klara att bli påkörd, lika väl som kortläsaren måste överleva inmatning av en bit kartong med mos, senap och ketchup. Automatens funktion lär knappast överleva någondera attacken utan reparation, men den får inte bli skadad på ett sådant sätt att den t ex lämnar ifrån sig pengar. Godtycklig vandalism i samband med inbrott är också vanligt. 2.9 Stöld av utrustning Stöld av datorer och datormedia var inte något problem på den tiden då stordatorer dominerade. Antalet datorer var få, de var fysiskt stora och de hade ett värde endast för stora organisationer. Samma sak gällde för kringutrustningen. Dessutom var utrustningen koncentrerad till en datorhall, där det var lätt att bygga in rimligt stöldskydd bland alla andra specialåtgärder. Denna situation har allt snabbare förändrats utan att ansvariga alltid fått upp ögonen för förändringen. 19

20 Stora datacentraler finns förvisso kvar. Den stora skillnaden är att vi idag dessutom har datorer i stort sett överallt i organisationernas lokaler, och det är generell utrustning med ett högt marknadsvärde. Utrustning för fem- till sjusiffriga belopp står i utrymmen som aldrig varit avsedda att hysa dyrbar, stöldbegärlig egendom. Det är t ex normalt att persondatorer och arbetsstationer för till kronors värde står i lokaler som avpassats för att skydda pärmar och möjligen ett häfte lunchkuponger i översta skrivbordslådan. Antalet stölder i denna miljö har också ökat markant. Populariteten hos bärbara datorer har ytterligare förvärrat problemet. Det allvarligaste är dock inte att bli av med datorn, även om det kan vara nog så kännbart. En ny dator kan i regel köpas inom viss tid. Det värsta hotet är att tjuven troligen tar med sig media med program och data, ofta i enda exemplaret i form av en hårddisk som inte säkerhetskopierats. En mängd sådana förluster har rapporterats, och troligen finns det betydligt fler fall som aldrig kommer till kännedom i större kretsar. Tjuven kan ha varit ute efter medias innehåll, t ex produktinformation eller ett program. I majoriteten av fallen är det emellertid helt klart att dataförlusten bara blev en följd av att tjuven ville ha datorn. Ägarna till data har tyvärr inte insett deras värde (och stöldrisken) förrän skadan är ett faktum. Då först finner man att det kanske kostar några manveckor bara att rekonstruera innehållet på en enda hårddisk från den senaste pappersutskriften eller den alltför gamla säkerhetskopian (om det finns en sådan ens) Störningar i omgivningen Störningar i klimat och elförsörjning är ett annat allvarligt hot för datorer. Datorer är ju elektronisk apparatur och därför arbetar de bara som avsett inom givna gränser för temperatur, spänning o. s. v. Hetta genereras av datorns egna kretsar. En dator måste alltså alltid ha viss grad av kylning. För enkla kretsar monterade över stor yta räcker det med den kylning som omgivande luft ger. För större koncentrationsgrad krävs fläktar och så småningom direkta kylanläggningar. Ett hot är alltid att omgivande luft blir så varm att självkylningen inte fungerar eller att kylanläggningen inte orkar med. Hotagenten här är naturligtvis framför allt vädret. En kylanläggning innebär också i sig hotet att den havererar och därmed låter datorn bli för varm. En alltför varm dator fungerar inte längre tillförlitligt rent elektroniskt. Brand innebär normalt så hög värme att bl. a. datorer förstörs rent fysiskt. Brand ger också upphov till rök, med åtföljande frätskador, beläggningar och annat på utrustning som inte utsatts för direkta lågor. Beläggningar, som t. ex. ger upphov till kortslutning och tillfälliga elöverslag, kan uppstå även i allmänt dammiga och rökiga miljöer eller vid tillfälliga olyckor, som att någon dräller smulor eller kladdiga drycker i en dator eller dess kringutrustning. Även utan beläggningsrisker måste man se upp med datorer och vätskor. Vatten, t. ex. från läckande tak, från översvämningar och från sprinkleranläggningar resulterar i kortslutningar, som kan ge permanent skada på drabbade datordelar. Hotet här kommer alltså från såväl vädret som från byggnadsförhållanden och mänskligt slarv. 20

21 Elförsörjningen till datorsystem måste skyddas från strömpulser, kortare eller längre avbrott i strömtillförseln, otillförlitlig spänningsnivå m m. De bakomliggande hoten kan vara störningar från annan verksamhet (t. ex. stora maskiner på samma elstam), åskeffekter, avgrävda elkablar, underdimensionerat elnät och dylikt. Elektriska störningar kan också uppträda direkt inne i utrustningen. Det kan röra sig om läckströmmar, då utrustningar med olika jord är förbundna genom signalledningar eller annat. Det kan röra sig om direkta urladdningar av statisk elektricitet. Det kan också röra sig om mer eller mindre starka elektromagnetiska störningar direkt via atmosfären, där datorns delar fungerar som antenn. De sistnämnda i sin tur kan åstadkommas via mer stabila källor, som en radar, en radiodel i en mobiltelefon och annat av den typen, eller via enstaka pulser, så kallad EMP (elektromagnetisk puls). EMP uppmärksammades först som en effekt av kärnvapensprängningar i atmosfären. I en sådan situation uppstår mycket kraftig EMP långt utanför områden som märker av andra effekter. Men samma fenomen, dock svagare, uppstår vid åskurladdningar, och det kan också lätt åstadkommas med förhållandevis enkel utrustning i sabotagesyfte Industrispionage och annan informationsstöld I definitionen av en hacker förutsätter man att det rör sig om en person med intresse för datorer, kanske för inbrott i främmande datorer som sådana, men inte egentligen för informationen i ett drabbat system. Detta gäller i regel, men det finns självfallet undantag. I Tyskland t. ex. avslöjades under 80-talet en hacker, som låtit övertala sig att gå rena spionintressen tillhanda. Detta är exempel på en annan sorts yttre hot: Hot från intressen som vill åt viss information, inte bara den information som råkar vara lättillgänglig. Det enklaste sättet att nå en organisations information är i regel att liera sig med någon anställd. Men det finns också andra metoder. Allt som en hacker kan göra av ren nyfikenhet kan självfallet också en konkurrent eller liknande göra av ren egennytta. Skillnaden i hotbilden är att medan en hacker kan förväntas "strosa runt" i systemet och möjligen systematiskt leta efter information som lösenord eller annat som ger ytterligare privilegier, så vet den medvetna informationstjuven exakt vad som är av värde och söker aktivt efter det. Ytterligare ett sätt att obehörigt nå information är intressant endast för direkta informationstjuvar. Det bygger på omvändningen av de elektromagnetiska fenomen som skildrades ovan. Datorer är inte bara känsliga för elektromagnetisk strålning. De genererar också sådan strålning och andra röjande signaler, så kallad RÖS. Den viktigaste RÖS-källan i ett modernt datorsystem är bildskärmen. Signalen från en katodstråleskärm kan ofta uppfångas på flera hundra meters håll med en enkel antenn och förstärkare, och den kräver ingen mer omfattande efterbehandling än att man matar in den direkt på en monitor. På så sätt kan man råka sprida allt som visas på bildskärmen, men givetvis bara den information som användaren valt att se. För att nå t ex lösenord måste man fånga annan strålning, som signalerna från tangentbordet, vilket inte är fullt så enkelt, eller signalerna på en kommunikationsledning, vilket ofta är mycket enkelt. 21

22 För att avlyssna en ledning behöver man fysisk tillgång till ledningen och någon utrustning som översätter de elektromagnetiska variationerna till digitala signaler och helst vidare till läsbara tecken. Sådan utrustning finns färdig som linjeanalysatorer, ett hjälpmedel för kommunikationstekniker. De kan i vissa modeller kopplas in utan direkt kontaktanslutning. Man ansluter bara en avkänning runt ledningen. De innehåller många nyttiga funktioner för en avlyssnare, t ex möjligheten att spela in ett visst antal tecken efter ett givet teckenmönster. På så sätt slipper avlyssnaren själv söka igenom all irrelevant information för att hitta de tre sekunder på ett dygn då intressant information passerade. Ibland behöver man inte fysisk kontakt med en kommunikationsledning för att kunna avlyssna information. En modemledning kan t ex stråla så starkt att signalen kan spelas in med en vanlig radio i grannhuset eller ute på gatan. Det har t o m funnits utrustning som modulerar strömförsörjningsledningen, så att behandlad information kan läsas ur en väggkontakt på samma ledning. Vissa ledningar kräver självklart mer resurser av avlyssnaren än andra. En radiolänk t. ex. är mycket lätt att få fysisk kontakt med. Detta är uppenbart för radionät som automatiskt kommunicerar med inbyggd utrustning i alla datorer inom räckhåll (vilket kan vara flera hundra meter). Man måste dock veta att all elektromagnetisk aktivitet ger upphov till strålning i omgivningen. Hotets storlek beror alltså på strålningens styrka i punkter där den är tillgänglig och komplexiteten i den avkodning som krävs för att få ut information ur signalen Bedrägeri och liknande med hjälp av dator Avslöjande av information är självklart en tänkbar skada, om obehöriga når kontakt med ett system, men hotet kan också bestå i att någon önskar ändra data till oriktiga värden. Införandet av virus, skapandet och ivägsändandet av maskar o. s. v. kan rent teoretiskt mycket väl sorteras in under den här rubriken. Lagrade program är ju en specialvariant av data i dagens datorer, och virus ändrar obehörigen i denna datamängd, och maskar lägger in sig bland aktiva program. Det som behandlas här är dock hotet att någon obehörigen ändrar vanliga data för egen vinnings skull. Till att börja med kräver alltså detta hot att någon vinner något genom ändringen. Det innebär att vi koncentrerar oss på data som antingen representerar ekonomiska värden eller styr viktiga beslut. Detta innebär dock ingen väsentlig begränsning av berörda data. Ett klassiskt databrott består i att man ändrar adress för ett offer under en kort tid, så att en större utbetalning via blankett styrs till förövarens brevlåda. Det besvärliga är alltså att förutse vilka data som är tänkbara mål för ett hot av denna typ. Helt klart är att system i största allmänhet är mer sannolika måltavlor om de styr utbetalningar jämfört med om de t.ex. endast styr informationsflöden. Data som representerar penningsummor och ägare av värden är klart mer känsliga än data som representerar statistik och administrativa stöddata. Men som framgår av adressändringsexemplet ovan finns inga absoluta gränser. Lagerdata t. ex. är mycket känsliga, om man kan undgå upptäckt av stöld av enheter ur lagret genom att ändra lagerregistreringar. 22