Stäng fönstret för objudna gäster

Transkript

1 Stäng fönstret för objudna gäster IT-säkerhet för småföretag

2 Stäng fönstret för objudna gäster

3 Stäng fönstret för objudna gäster IT-säkerhet för småföretag

4 Boken Stäng fönstret för objudna gäster. IT-säkerhet för småföretag har producerats av marknadsavdelningen på Symantec Nordic AB i samarbete med Kundskaparna AB. Projektledare på Symantec Nordic: Helene Ruda Projektansvarig på Symantec Nordic: Michael Skärbo Projektledare på Kundskaparna: Niclas Norling Layout & design: Kundskaparna Texter: Bertil Myhr, Hedberg & Co. Helene Ruda och Joakim von Braun, Symantec Nordic Textbearbetning: Lars Strömqvist, Kundskaparna Foto: Mats Åsman, noart.nu Grafik: Tomas Öhrling/Info AB och Tove Hennix Marknadsundersökning av små företag: GM Marknadskommunikation Typografi: SymantecSans, SymantecSerif, Webdings Papper, pärmöverdrag: Geltex 130 g Papper, försättsblad: Kaskad solgul 120 g Papper, inlaga: Lessebo Linné vitt 120 g Papper, omslag: Lessebo Linné vitt 150 g Tryck och repro: Kristianstads Boktryckeri AB Upplaga första utgåvan: ex på svenska, norska, danska, finska och engelska. ISBN Symantec och Symantec-logotypen är registrerade varumärken i USA och tillhör Symantec Corporation. Andra varumärken och produktnamn tillhör respektive innehavare. Copyright 2004 Symantec Corporation. Med ensamrätt. 9/04

5 Innehåll Förord 7 Företagets IT-miljö 9 Trådbundna nätverk 9 Trådlösa nätverk (WLAN) 10 Serverrummet 12 Förbindelsen till Internet 13 Distansarbete 15 Distansarbete på hemdator 17 Distansarbete på bärbar dator 18 Hoten mot informationssäkerheten 21 Vem hotar? 21 Virus 22 Maskar 23 Trojanska hästar 24 Blandade hot 25 E-posthot och skräppost 26 Phishing 28 Interna hot 28 Missbruk av företagets IT-resurser 29 Skydd mot förlust av data 39 UPS och reservkraft 39 Rutiner för backup 39 Säkerhetskopiering 40 Skydd mot intrång och fientlig programvara 43 Brandvägg 43 Hård- och mjukvarubaserade brandväggar 44 Principer för brandväggar 45 Antivirus 46 Intrångsdetektering 47 Användar-ID och accesskontroll 48 Kryptering 49 Digitala signaturer 50 Lösenord 51 Virtuella privata nät (VPN) 54 Sårbarhetsanalys 57 Säkerhetsprodukter för små och medelstora företag 59 Säkerhetsregler 31 Skapa säkerhetsregler 31 Sju steg mot ett effektivt säkerhetsarbete 32 Katastrofplanen 34 Utbilda medarbetarna 37

6

7 Det ska inte krävas att man är data- eller säkerhetsexpert för att kunna driva företag. Men lite kunnande om de IT-faror som lurar kan utgöra en väsentlig försäkring mot de vanligast förekommande hoten. Många onödiga incidenter kan helt förhindras eller skadeverkningarna åtminstone mildras med litet kunskap och rätt verktyg. Att driva företag är sällan någon dans på rosor. Omvärlden förändras snabbt. Konkurrensen är hård och priserna pressade. Står datorerna still står hela företaget ofta still, särskilt om IT-driftstoppet blir långvarigt. Skulle all information som lagrats i datorerna försvinna är det inte säkert att företaget överlever. Tyvärr finns det många klåfingrade personer som intresserar sig för ditt företags datorer. Det skrivs och sprids mängder av virus, maskar och trojanska hästar. Hackare tar sig in i företags IT-system, förstör information och ändrar deras hemsidor. Överbelastningsattacker slår i värsta fall ut hela system eller stänger webbtjänster. Identitetsstölder och kreditkortsbedrägerier är exempel på hur traditionell brottslighet nu också härbärgerar på Internet. Vi på Symantec har stor erfarenhet av företagens informationssäkerhetsproblem och har mångårig praktisk erfarenhet av skyddsåtgärder för företag i alla storlekar. Det är vår förhoppning att denna lilla handbok ska vara dig till hjälp i försvarsarbetet. Med vänliga hälsningar Leif Gyllenberg, VD 7

8 8

9 Företagets IT-miljö Trådbundna nätverk Ett lokalt nätverk finns idag på nästan alla kontor med fler än ett par medarbetare, och används för att knyta samman persondatorer, servrar, skrivare och kommunikationsutrustning. Det byggs traditionellt upp med partvinnad kabel i ett stjärnformat nät: En kabel dras ut från en central kopplingspunkt, oftast i eller i närheten av serverrummet, ut till varje arbetsplats och dit skrivare och annan kringutrustning ska placeras. Tidigare fanns flera tekniska lösningar för lokala nätverk, men idag används så gott som uteslutande Ethernet. Det är visserligen den äldsta principen för lokala nätverk, men Ethernet har ändå visat sig bättre på att anpassa sig till den tekniska utvecklingen än alla sina tidigare konkurrenter samma princip används alltjämt i de senaste trådlösa nätverken. Hastigheten (bandbredden) inom ett kabelbaserat lokalt nätverk är oftast 100 Mbit/s, men en tio gånger snabbare variant, Gigabit Ethernet, vinner idag mark, framför allt vid anslutning av servrar och nätverksutrustning där den höga kapaciteten direkt kommer till användning. Fjärranslutning Internet Gateway Filserver E-postserver Stationär dator 9

10 Trådlösa nätverk (WLAN) WLAN (Wireless Local Area Network) är en teknik som utvecklas mycket snabbt, parallellt med att utrustningen sjunker i pris. Här ersätts merparten av kablaget av trådlösa förbindelser som har ungefär samma räckvidd som ett vanligt lokalt nätverk normalt upp till 100 meter. Kommunikationen går mellan basstationer, ofta kallade accesspunkter, och användarnas nätverksadaptrar. En WLAN-ansluten dator känns ofta igen på adaptern, som har en liten antenn som sticker ut på sidan, men allt fler bärbara datorer och skrivare är numera standardutrustade med inbyggda adaptrar och antenner för trådlös kommunikation. Även om WLAN på papperet är långsammare än ett kabelbaserat lokalt nätverk så är det få användare som i praktiken märker skillnaden. Ett generationsskifte pågår nu där den nya WLAN-utrustningen höjer topphastigheten i nätet från 11 Mbit/s till 22 eller 54 Mbit/s. Ur säkerhetssynpunkt är WLAN en sämre, eller åtminstone besvärligare lösning, än ett kabelbaserat nätverk. Eftersom trafiken sker över radiofrekvenser går det lätt att avlyssna den. De radiofrekvenser som de trådlösa lokala nätverken utnyttjar får i princip användas fritt, vilket ger både fördelar och nackdelar. Fördelen är att man kan installera sitt nät utan att tillstånd eller avgifter krävs. Det kan dock bli ett problem att alla andra företag i din närhet har samma rättigheter, eftersom prestanda och funktion kan drabbas om flera trådlösa nätverk installeras för tätt inpå varandra utan samordning. Mikrovågsugnar och annan trådlös överföring kan också störa WLAN-trafiken. Det är viktigt att se till att de säkerhetsfunktioner som WLAN-systemen innehåller verkligen används. Även om den inbyggda säkerheten inte är helt perfekt är den ju bättre än ingen säkerhet alls. Den inbyggda krypteringen WEP (Wired 10

11 Equivalent Privacy, ett säkerhetsprotokoll för trådlösa lokala nätverk) är enkel att knäcka och det finns många enkla program att ladda ner från Internet som gör det automatiskt. Ett minimikrav på säkerheten i ett WLAN är att information som rör användaridentifiering (autentisering) överförs i krypterad form. Företag som funderat på att skaffa en VPN-lösning (virtuellt privat nätverk, se sidan 54) gör klokt i att genomföra dessa planer i samband med att ett trådlöst nätverk tas i drift. Med hjälp av VPN kan avlyssningsriskerna bortses ifrån. 11

12 Serverrummet Visste du att Av de 50 värsta fallen av fientlig kod under första hälften av 2003, använde sig 19 av fildelningstjänster och applikationer för snabbmeddelanden för att sprida sig. Detta motsvarade en ökning med nästan 400 procent på bara ett år. En typisk IT-miljö på ett mindre kontor kan se ut som på bilden. Ett litet datorrum med några serverdatorer: en server för att lagra filer och gemensamma applikationer, en för e-post och en för webbplatsen. Till filservern finns ett UPSaggregat kopplat för reservkraft. På samma plats finns oftast också den viktigaste utrustningen för datakommunikation, exempelvis en router för anslutning till Internet och annan extern kommunikation, en switch för det lokala nätverket, en brandvägg och ibland ytterligare system som ska hålla nätverket säkert. Dator- eller serverrummet rymmer med andra ord kontorets viktigaste IT-system och här passerar och lagras stora mängder viktig information. Därför måste man tänka på den 12

13 fysiska säkerheten. Dörren till dator- eller serverrummet ska vara låst, rummet ska inte användas för andra ändamål, och bara de ansvariga med uppgifter som kräver tillträde dit ska få komma in där på egen hand. Ett annat klokt led i säkerhetstänkandet är att städningen av datorrummet ska ske övervakat och inte på kvällar samtidigt med resten av lokalerna. Förbindelsen till Internet Externa hot mot informationssäkerheten blir på allvar att räkna med först när den interna IT-miljön öppnas för kommunikation med omvärlden. Eftersom det idag nästan alltid handlar om att ansluta sig till Internet koncentrerar vi oss på det när vi beskriver de tekniska lösningarna. Det är dock värt att lägga på minnet att samma teknik som används på Internet är lika användbar i helt slutna, företagsinterna sammanhang. Brandvägg och antivirus är de viktigaste delarna i skyddet mot externa hot. Att ansluta sig till Internet utan dessa bägge skydd är att utsätta sig för helt onödiga risker och kan sätta ett företags hela existens på spel. Ett företag som ska ansluta sitt lokala nätverk till Internet kan välja mellan en rad olika tjänster och tekniska lösningar. Fast digital linje En så kallad fast lina är det dyraste men snabbaste sättet att kommunicera externt. Tjänsten ger ständig uppkoppling med en fast bandbredd. Kapaciteten på den fasta linjen kan man oftast bestämma själv ju snabbare, desto dyrare. Under de senaste åren har priset på fasta linjer sjunkit snabbt. TRÅDLÖSA NÄTVERK Använd aldrig standardinställningarna. Aktivera kryptering, som WEP (Wired Equivalent Protocol: Kryptering för trådlöst) eller den nya standarden WPA (Wi-Fi Protected Access). Placera accesspunkterna i centrum av byggnaden. Begränsa kopplingen mellan det trådlösa nätverket och det vanliga nätverket, och installera en extra brandvägg. Se upp med besökare en handdator med WLAN är lätt att gömma. Utbilda användarna. Begränsa den fysiska tillgången till accesspunkterna. Förbjud otillåtna accesspunkter. 13

14 ADSL ADSL (Asynchronous Digital Subscriber Line) är samlingsnamn för uppringda dataförbindelser som utnyttjar vanliga telefonledningar för digital överföring, men som erbjuder högre hastigheter. ADSL ger inte samma kapacitet i båda riktningarna. Hastigheten för data som tas emot är flera gånger större än för data som skickas ut från användaren. Detta svarar väl mot behoven hos enskilda användare, exempelvis vid webbsurfning då betydligt mer data hämtas än skickas. Det är däremot inte säkert att ett företag har samma förutsättningar, bland annat om verksamheten kräver stora filöverföringar. ISDN ISDN (Integrated Services Digital Network) är en äldre uppringd tjänst som utnyttjar vanliga telefonledningar för digital överföring. Ett vanligt ISDN-abonnemang ger tillgång till två kanaler om vardera 64 kbit/s. Två eller flera ISDNabonnemang kan kopplas parallellt, så att de uppträder som en förbindelse med högre kapacitet. ISDN tappar idag i popularitet i takt med att ADSL-tjänster byggs ut. Modem Ett vanligt telefonmodem kan räcka för att förse en enskild användare med Internet-uppkoppling eller fjärranslutning till kontorets lokala nätverk, men hastigheten är låg. Ett annat skäl till att välja bort den gamla typen av modemkommunikation är att det blir dyrare än moderna digitala nättjänster, åtminstone om modem utnyttjas av många medarbetare som har långa uppkopplingstider. 14

15 Distansarbete Distansarbete med datorstöd blir allt mer utbrett, en utveckling som påskyndas av allt bättre kommunikationsmöjligheter. Eftersom distansarbete ofta förutsätter att de interna systemen öppnas för kommunikation med omvärlden så uppstår flera viktiga säkerhetsfrågor som måste ses över grundligt. Generellt är det svårt att hålla samma höga säkerhetsnivå på distansarbetsplatsen som på kontoret. Därför gäller det att minska sin exponering för säkerhetshot och de möjliga konsekvenserna vid distansarbete, snarare än att försöka efterlikna det skydd som finns på kontoret. Först och främst gäller det att, i en bärbar dator eller en hemdator, spara och lagra en så liten mängd viktiga data som möjligt. Det mest grundläggande är att den dator man arbetar ifrån följer företagets säkerhetspolicy i form av installerad säkerhetsteknik. Vilken säkerhet man ska ha beror på vilken typ av distansarbete som utförs behöver man tillgång till hela kontorets IT-resurser, eller e-postar man bara? Använder man en bärbar dator, eller arbetar man från hemdatorn? Kommunikationen är en svag länk vid allt distansarbete. Visste du att 994 nya virus och maskar dokumenterades under första hälften av 2003, vilket var mer än dubbelt så många som de som dokumenterades under första hälften av

16 SÄKERT DISTANSARBETE Tänk på att informera de anställda om att företagets säkerhetspolicy gäller även vid distansarbete. Se till att alla som arbetar på distans har rätt skydd installerat på datorn. För att arbeta på distans är det viktigt att ha ett antivirus, en personlig (distribuerad) brandvägg, samt VPNfunktioner så man säkert kan logga in på företagets nätverk. Det finns idag paketlösningar som innehåller alla dessa funktioner (exempelvis Symantec Client Security). Sätt upp regler för hur de anställda får hantera distansarbetet. Man får inte arbeta med företagets information på någon annan dator än jobbdatorn. All uppkoppling till företagets nätverk måste ske via VPN. Datorn måste vara skyddad med både antivirus och personlig brandvägg. Allmän försiktighet. Var försiktig med konfidentiellt material. Låt inte andra familjemedlemmar använda din jobbdator. Lämna aldrig din dator utan tillsyn eller olåst! Se alltid till att ha en lösenordsskyddad skärmsläckare på när du inte använder datorn. Var speciellt uppmärksam när du är på flygplatser eller hotell. Se till att din dator är utom synhåll och inlåst. Om någon stjäl din dator, meddela genast den IT-ansvarige och din chef. Om du laddar ner program eller filer från Internet, gör en virussökning innan du installerar dem. Installera inte mjukvara som du inte har licens för. Kontrollera att företaget godkänt de program du vill installera innan du gör det. 16

17 Uppringda modemförbindelser är fortfarande ett vanligt sätt att koppla upp sig från distans. På kontoret finns då oftast flera modem anslutna i grupp till det lokala nätverket. En enkel och effektiv åtgärd för att höja säkerhetsnivån är motringning användaren kopplar först upp sig och identifierar sig, sedan bryts uppkopplingen. Modemet på kontoret ringer sedan automatiskt tillbaka till det (godkända) nummer där distansarbetaren befinner sig och arbetet kan börja. Modemtrafiken kan också relativt enkelt krypteras. Idag ersätts modemtrafiken allt oftare av andra nättjänster med större kapacitet. Den naturliga lösningen i de flesta fall är att utnyttja VPN-teknik (Virtuella Privata Nät) för att skapa säkra anslutningar som utnyttjar Internet. Det kräver att särskild programvara installeras på varje ansluten dator. Distansarbete på hemdator Hemdatorer är ofta gemensamma för hela familjen. De skilda användningsområdena kan bli ett problem, bland annat genom att hoten från virus och intrång förstärks. Att helt skilja mellan hemdator och jobbdator även i hemmet är därför en god idé, och den principen blir allt lättare att genomdriva idag när utrustningen blir billigare. De ansvariga för informationssäkerheten kan dock inte helt förlita sig på en sådan princip, eftersom det är omöjligt att kontrollera att den efterföljs. Det är ofta svårt att dra gränser för vad som är privat bruk exempelvis är det få arbetsgivare som skulle kunna tänka sig att förbjuda korta e-postmeddelanden inom familjen till och från jobbadressen. Men slutsatsen är ändå att företaget behöver något slags riktlinjer för hur datorer får användas för privat bruk. Visste du att I maj 2000 dök LoveLettermasken upp. Masken skickade sig själv till adresserna i MS Outlooks adressbok. Den skrev över filer på lokala enheter och nätverksenheter, bifogde och gömde filer, och försökte ladda ner en trojan som stal lösenord. Att LoveLetter spreds så framgångsrikt berodde på att användarna trodde att de tog emot ett kärleksbrev via e-post. 17

18 Visste du att Under den värsta spridningen infekterade masken Blaster så många som 2500 datorer i timmen. Maskar spred sig allt snabbare, vilket resulterade i överbelastade nätverk, nedsaktad nätverkstrafik och hinder i Internetanvändandet. Distansarbete på bärbar dator Distansarbete och bärbara datorer går hand i hand. En allt vanligare variant är att bärbara datorer helt ersätter de stationära datorerna på kontoret och att de bärbara maskinerna ansluts till kontorets lokala nätverk genom dockningsenheter vid varje skrivbord. Dockningen kan också ge en bättre arbetsmiljö, med ett separat tangentbord och större bildskärm. En praktisk lösning, men också den besvärligaste ur säkerhetssynpunkt. Bärbara datorer är lättare att stjäla, de kan tappas bort och utsätter företaget för långt större risk att förlora viktig information än system som hela tiden finns inom kontorets väggar. Kravet på att säkerhetskopiera blir 18

19 därför extra viktigt, liksom att arbeta på ett sätt som minskar riskerna. Exempelvis kan medarbetare koppla upp sig via en fjärranslutning och hela tiden arbeta mot servern på kontoret. Då ser man till att lagra sina filer där och inte bara lokalt. Om kommunikationsmöjligheterna inte är så goda finns istället möjligheten att i efterhand synkronisera innehållet på den lokala hårddisken med servern eller med den stationära datorn på kontoret. Ett alternativ som ger en högre säkerhetsnivå än bärbara datorer är att använda löstagbara hårddiskar, så att enbart hårddisken behöver tas med från kontoret. Den lösa hårddisken är mindre stöldbegärlig och lättare att förvara säkert. En annan typ av flyttbart dataminne som snabbt vinner mark är små minnespinnar som ansluts till datorns USB-port. Tack vare den snabba utvecklingen av minneschips med allt större kapacitet kan dessa i dag rymma över en gigabyte i ett format som enkelt ryms i fickan. En minnespinne saknar rörliga delar och är därför oömmare än en löstagbar hårddisk. 19

20 20

21 Hoten mot informationssäkerheten Vem hotar? Hackare och cracker är de två begrepp som brukar användas som etikett på dem som ägnar sig åt datorintrång. Men det är enklare att nyttja det neutrala begreppet inkräktare, oavsett vem som försöker ta sig in i era system. De flesta inkräktare söker av stora delar av Internet för att leta efter system som är sårbara. När man hittar dem tar man sig helt enkelt in, oavsett om det rör sig om ett stort multinationellt företag eller en liten mekanisk verkstad. Man får alltså inte tro att man kan undgå angrepp bara för att man är ett litet och okänt företag. Här drabbas alla lika mycket. Det är svårt att dra alla inkräktare över en kam, eftersom de har så skilda syften. Många intrång görs mer eller mindre för skojs skull eller åtminstone inte för att skada själva systemet. Det finns till exempel åtskilliga fall när inkräktare tagit sig in på webbplatser hos kända företag eller myndigheter och ersatt hemsidan med en falsk webbsida där företaget hånas, för sin dåliga säkerhet eller andra påstådda brister. Intrång där pengar är det direkta motivet är ovanliga, men å andra sidan är det denna typ av inkräktare som har förmågan att orsaka den största skadan för ett företag. Informationssäkerhet handlar inte bara om att skydda sig mot externa hot, utan lika mycket mot interna hot. Det kan handla om användare som är behöriga men överskrider befogenheter och på så sätt kommer över känslig eller värdefull information. 21

22 Virus Visste du att Av svenskar med Internetabonnemang för hemmet har 24 procent drabbats av virus som förstört information. Andelen företag med mer än tio anställda som drabbats av virus som resulterat i förlorad information eller arbetstid är 29 procent. När informationssäkerhet förs på tal idag är virus alltid med i diskussionen. Men så har det inte alltid varit. Från början var virus mest ett teoretiskt hot, och ett tag tvistade faktiskt experterna om de alls kunde bli en verklig fara som påverkar system och nätverk. Den debatten tog dock slut 1984 när forskaren Fred Cohen myntade själva begreppet datorvirus och presenterade experiment som bevisade att skadliga datorvirus var en realistisk möjlighet. Ett datorvirus är enligt Cohen ett program som infekterar andra program genom att modifiera dem så att de inrymmer en kopia av virusprogrammet. Med andra ord ett program som har förmågan att reproducera sig självt. Redan i slutet av 1980-talet var virus ett plågsamt faktum för den tidens datoranvändare. Till att börja med spreds de via filer på infekterade disketter kom det första makroviruset som utnyttjade makrofunktioner i vanliga program, främst ordbehandlaren Word, och som spreds genom infekterade Word-filer och som kunde smitta användare på både PC och Macintosh. När virusen började bekämpas systematiskt med antivirushjälpmedel blev ett av virusmakarnas motdrag att utveckla polymorfa virus, som ändrar utseende när de kopieras. Det var emellertid ett problem som löstes ganska snabbt. Trots att det skapats över virus är det förhållandevis få som faktiskt har fått spridning och smittat användarna. De var oftast rätt enkla att ta bort och i och med att de spreds ganska långsamt behövde man inte uppdatera sitt antivirusprogram oftare än en gång i veckan. 22

23 Maskar Idag sprids nästan inga traditionella virus alls. De som tidigare sysslade med virus har istället börjat skriva maskar. En mask är ett virusliknande program som sprids genom nätverk, antingen lokalt eller över Internet. Maskar kan sprida sig helt utan mänsklig inblandning mellan servrar på Internet och de fortplantar sig genom att exakta kopior av den fientliga koden förs över till andra datorer och startas automatiskt. Maskar kan uppträda i form av blandade hot (se sid 25) men är i sin enklaste form inte destruktiva, utan skadar genom att de överbelastar de system som drabbas. De flesta maskarna har hittills spridits med hjälp av e-post och krävt att användaren varit aktiv genom att dubbelklicka på bifogade filer. Nu sprids dock många maskar med automatik genom att de utnyttjar kända säkerhetshål. Allt oftare utnyttjas snabbmeddelandetjänster som MSN Messenger, Yahoo Messenger, ICQ, Internet Relay Chat (IRC) och fildelningsprogram som Kazaa. Maskspridningen drabbar inte bara de företag eller privatpersoner som smittas. Ibland blir flödet av maskar så stort att förbindelsen till Internet som helhet blir väldigt trög. 23

24 Trojanska hästar De största hoten mot IT-säkerheten enligt mindre företag Haverier, driftstörningar, säkerhetsluckor: 31% Vet ej: 5% Interna rutiner, egna medarbetare: 9% Virus och elak kod: 41% Intrång via nätet, avlyssning: 14% Källa: Undersökning genomförd 2003 av GM Marknadskommunikation bland drygt 800 företag i Norden med upp till 100 anställda. Trojanska hästar, eller trojaner, är egentligen ett slags hackarverktyg. Till skillnad ifrån maskar och virus kan trojaner inte sprida sig själva. Precis som den trojanska hästen i mytologin är trojaner något annat än vad de utger sig för att vara. De kan uppträda som vanliga datorprogram som framstår som användbara eller intressanta, men döljer fientlig kod. Ofta är denna förklädnad så lockande, att en person som får programmet skickat till sig eller själv laddar ner det, luras att använda det. Väl på plats kan trojanen bjuda in inkräktare och till exempel öppna upp en bakdörr mot Internet. Därefter kan inkräktaren ta kontroll över systemet. Många trojaner stjäl lösenord eller installerar kod som kopierar allt som skrivs på tangentbordet till en osynlig fil. Denna information kan sedan skickas till en hackare. Andra trojaner är skapade för att attackera andras datorer genom så kallade DoS-attacker (Denial of Service). Är attacken framgångsrik överbelastas de attackerade datorerna, och kan inte kommunicera med andra datorer. Allt fler trojaner sprids nu så att de automatiskt laddas ner till en användare som besöker en webbsida. På sidan döljer sig dolda instruktioner som laddar ner trojanen och startar den på användarens dator utan att det märks. Användaren uppfattar det endast som att hon eller han läser på webbsidan. Det är därför det är så viktigt att alla användare har både uppdaterade antivirusprogram och personliga brandväggar. 24

25 Blandade hot Var och en för sig kan maskar, virus och trojanska hästar orsaka stor skada, men tillsammans kan de orsaka än värre skador i servrar, användardatorer och webbplatser. Dessa så kallade blandade hot utnyttjar en kombination av flera mekanismer för att uppnå större, snabbare spridning och allvarligare skador. Vanligen är det en mask eller en trojansk häst som också använder sig av säkerhetshål i operativsystem eller andra program för att spridas. Ett av de mest kända blandade hoten var Nimda, som spreds till över två miljoner servrar och persondatorer på en enda dag. Blandade hot sprids mycket lättare och snabbare än vanliga maskar. De kräver nämligen ingen aktiv medverkan från användaren. Det kan räcka med att besöka en infekterad webbplats eller att den egna datorn är inställd för att förhandsvisa e-postmeddelanden. Ett annat exempel på ett blandat hot är Blaster, som dök upp under augusti Blaster använde sig inte av e-post, utan letade över Internet upp datorer som inte patchats mot ett känt säkerhetshål i Windows operativsystem, och spred sig vidare via det. För att möta de blandade hoten gäller det att införa ett skydd i flera nivåer. Ett hot som riktar sig mot flera svaga punkter samtidigt kan inte ensamt hanteras av ett säkerhetsverktyg. Det räcker alltså inte längre bara med ett antivirusprogram, utan helst ska man kombinera tekniker för antivirus, brandväggar och intrångsdetektering för att få stopp på spridningen. 25

26 E-posthot och skräppost Visste du att Antalet attacker steg i genomsnitt med 19 procent, 38 attacker per företag och vecka under första hälften av 2003 jämfört med 32 attacker per företag under samma tid Många säkerhetshot på Internet sprids främst via e-post. Om dessa smittade meddelanden slinker igenom säkerhetsspärrar och hamnar i din inkorg kan du ändå klara dig utan problem. Det gäller att upptäcka det smittade meddelandet och radera det fullständigt utan att ha öppnat det, och i synnerhet inte öppna filer som bifogats till meddelandet. Antivirusprogram tar effektivt hand om e-posthot, både hos användarna och i e-postservern, om de är rätt inställda och uppdaterade. Om ditt företag saknar egen e-postserver och istället anlitar en operatör eller tjänsteföretag för e-posthanteringen är det klokt att välja en tjänst där all trafik granskas så att virus och skräppost kan filtreras bort. Även om man har antivirus via sin Internet-leverantör bör man också ha antivirus på användarnas datorer, eftersom smittan sprids inte bara direkt över Internet utan också via snabbmeddelanden, nedladdade filer och program från Internet. Ett växande problem idag är spam, eller skräppost. Undersökningar visar att över 60 procent av all e-postkommunikation idag utgörs av skräppost. Idag finns särskilda program och tjänster för att bekämpa skräppost, exempelvis Norton AntiSpam. Programmen använder sig till exempel av listor över godkända avsändare (vita listor), listor över kända skräppostspridare (svarta listor), och kunskap om hur typisk skräppost ser ut i form av ordval och rubriker. 26

27 E-POSTANVÄNDNING Öppna inte bifogade filer i meddelanden från okända avsändare. Om du inte känner igen namnet i Från -fältet, så öppna inte bilagan. Kontrollera med avsändaren. Om du får ett oväntat meddelande, eller en oväntad bilaga från en bekant avsändare kan det innehålla virus eller fientlig kod. Många maskar sprids via e-postprogrammets adressbok. Sådana meddelanden kan ofta avslöjas genom en avvikande ämnesrad (ofta på engelska) eller bilagans namn. Ofta är det ett humoristiskt budskap som uppmanar mottagaren att titta på en bild eller läsa en bifogad textfil. Ställ alltid en kontrollfråga till avsändaren innan du öppnar sådana meddelanden eller bilagor. Kontrollera hela filnamnet på bilagor. Dolda filnamnsändelser kan lura mottagarna att öppna smittade e-postbilagor. Se alltid till att e-postprogrammet visar alla filändelser på bifogade filer! Virus och maskar kan finnas i filer som på skärmen ser ut som bilder, typiskt med filändelsen.jpg. Dessa har en dold filändelse tillagd,.exe eller.vbs, vilket betyder att den bifogade filen inte alls är en bild utan ett program som körs när bilagan öppnas. Se upp med falska virusvarningar. Falska virusvarningar kallas också hoax. Det är en typ av kedjebrev, där användarna luras att tro att de fått ett virus och uppmanas att skicka varningen vidare till alla bekanta. Ibland innehåller meddelandet ett bifogat hjälpprogram som ska användas för att ta bort det påstådda viruset, men som tvärtom infekterar mottagarens dator. På Symantec Security Response (securityresponse.symantec.com) finns alltid aktuell information om både verkliga säkerhetshot och falska virusvarningar. Öppna inte skräppost. Skräppost (spam) stör arbetet och fyller inkorgen, men kan även vara ett hot på annat sätt. E-post med skräpreklam kan också användas som bärare av virus och maskar. Släng därför för säkerhets skull alla reklammeddelanden med okända avsändare direkt, utan att öppna dem. Stäng av förhandsgranskningen. Många e-postprogram kan visa innehållet i meddelanden i ett separat fönster direkt när det tagits emot, utan att du klickat i inkorgens lista över meddelanden. Även om de flesta säkerhetshot som sprids via e-post utnyttjar bifogade filer så finns exempel på meddelanden som smittar direkt när det öppnas, även när det sker automatiskt. Det är klokt att stänga av förhandsgranskningen i inkorgen i e-postprogrammet. 27

28 MISSBRUK AV INTERNET OCH IT-RESURSER Begränsa tillgången till nätverkstjänster som inte behöver utnyttjas av alla. Koppla bort tjänster och funktioner som sällan eller aldrig behövs. Sätt upp tydliga regler för hur anställda får använda Internet för privata syften, och se till att informera samtliga anställda om vilka regler som gäller. Utnyttja innehållsfiltrering för att spärra tillgången till oönskat material på Internet. Följ Datainspektionens riktlinjer för hur anställdas bruk av Internet får övervakas. Phishing Phishing är en ganska ny företeelse där man med hjälp av e-post försöker stjäla bland annat bank- och kreditkortsuppgifter. I Sverige har exempelvis kunder till Visa, PayPal och ebay drabbats under det senaste året. De har fått e-post i sina inkorgar som varit skickligt förfalskade och kunnat tas för kommunikation från dessa företag. Bedragarna utnyttjar olika tekniker som gör det omöjligt för många kunder att se att de webblänkar de trycker på, lurar iväg dem till hemsidor som kontrolleras av hackare. Väl inne på dessa sidor luras man att besvara frågor som sägs vara från företaget, men som i själva verket gör att kunderna lämnar ut hemligheter om sina konton till bedragare. Interna hot De anställda utgör också en risk, liksom andra personer som har tillgång till företagets lokaler eller datanätverk. Någon kan vara ute efter att skada företaget eller stjäla information, men oftast beror problem på ren okunskap eller att en person som inte ska ha tillgång till information ändå kommer åt den. Det är alltså viktigt att lägga en bra grund i säkerhetsarbetet genom att utbilda de anställda. En rak och tydlig säkerhetspolicy, väl utbildade medarbetare i kombination med goda rutiner betyder att alla kan följa riktlinjerna. Då minskar risken både för skador som tillkommer avsiktligt och sådana som beror på slarv och okunskap. För den interna informationssäkerheten gäller ungefär samma förutsättningar som för det allmänna säkerhetsarbetet. Känslig information ska inte finnas tillgänglig för alla medarbetare, utan enbart för dem som behöver ha tillgång till den. 28

29 Missbruk av företagets IT-resurser Datorer och Internet är arbetsredskap, och bör hanteras därefter. Hur kan missbruk stävjas, och hur får sådana åtgärder se ut? Innan ett sådant arbete sätts igång är det viktigt att först ställa sig den omvända frågan: om och hur en arbetsgivare har rätt att kontrollera anställda för att upptäcka missbruk? Det är den känsligaste av alla policyfrågor. Datainspektionen har angett riktlinjer som gäller både företag och myndigheter. De vilar till stor del på Personuppgiftslagen (PuL). En grundprincip i PuL är att anställda som kan bli föremål för kontroll från arbetsgivarens sida måste informeras om att så kan ske. I många fall måste de även ge sitt samtycke, och anställda ska då även ha rätt att ta tillbaka sitt samtycke till kontrollen, utan risk för sin egen position på arbetsplatsen slog Datainspektionen fast att en arbetsgivare visserligen har rätt att logga aktiviteter i e-post och andra datorsystem och att granska anställdas e-post, med den viktiga begränsningen att privat information inte får granskas. Men skyddet för det privata är begränsat. Arbetsgivaren kan ha rätt att ta del av innehållet om det rör sig om mycket stora datamängder. Det finns också tekniska lösningar för att stävja Internetmissbruk, som om de används rätt gör det mindre angeläget att kontrollera anställdas utnyttjande av nätet. Missbruk av nätet kan förebyggas genom innehållsfiltrering, vilket spärrar tillgången till oönskat eller otillåtet innehåll och webbplatser. Funktioner för innehållsfiltrering finns tillgängliga i många brandväggar, men de är som regel inte aktiverade i standardinställningarna. Nackdelen med innehållsfiltrering är att även legitimt innehåll och webbplatser riskerar att spärras ut, och det är orealistiskt att den kan tillämpas helt utan biverkningar och irritation bland användarna. 29

30 30

31 Säkerhetsregler Skapa säkerhetsregler Så många användare har själva drabbats, direkt eller indirekt, att det blivit vardagsmat att hantera dessa problem på många arbetsplatser. Hos många användare finns det därför idag ett utbrett säkerhetsmedvetande som knappast hade funnits om hoten var mindre påtagliga än vad som nu är fallet. För IT-ansvariga och chefer betyder det att de möter förståelse för säkerhetsarbetet, och att medarbetarna aktivt vill delta. För säkerheten kan aldrig bli tillfredsställande om alla insatser görs på att bygga upp tekniska lösningar och rutiner som bara berör chefer och IT-personal. Det blir allt viktigare att ha en bra policy, en strategi och en plan för informationssäkerhetsfrågor. Grunden till ett framgångsrikt säkerhetsarbete är att ledningen inser att en fungerande IT-infrastruktur är affärskritisk. Det är ledningens ansvar att besluta om en säkerhetspolicy som är: möjlig att implementera och för de anställda att följa, koncis och lättförståelig, rätt balanserad mellan tillräckligt skydd och bibehållen produktivitet. Eftersom varje företag är unikt finns det inte två regelverk som är exakt lika, men själva arbetet med att ta fram en framgångsrik säkerhetspolicy kan man oftast strukturera på samma sätt. Visste du att I ett genomsnittligt företag genereras 9,5 miljoner loggfiler och varningar varje månad från brandväggar och intrångsdetekteringssystem. I genomsnitt är det dock bara två hot som är så allvarliga att de kräver direktåtgärd. 31

32 Sju steg mot ett effektivt säkerhetsarbete Andel mindre företag med intern policy för IT-säkerhet Saknar policy: 50% Har policy: 50% 1. Identifiera och värdera informationstillgångar Vilken information finns i företaget? Var finns den? Vilket värde har den? Vad skulle hända om den gick förlorad? Det är först när du vet vilket värde informationen har som du kan besluta om hur stora resurser du bör lägga på att skydda den. Källa: Undersökning genomförd 2003 av GM Marknadskommunikation bland drygt 800 företag i Norden med upp till 100 anställda. Visste du att 50 procent av företagen mellan 10 och 19 anställda har köpt varor eller tjänster via Internet medan 79 procent av företagen mellan 200 till 499 anställda och 85 procent av företagen med 500 anställda eller fler gjort det. 2. Identifiera hotbilder Var finns det potentiella säkerhetsproblem? Utvärdera sannolikheten för att en incident inträffar, och vilka följder den då får. Hoten kan vara både externa och interna: Externa hot exempelvis virus, maskar, trojanska hästar, hackarattacker, missnöjda före detta anställda och industrispionage. Interna hot exempelvis missnöjda anställda med kunskap om eller tillgång till viktiga data. Interna hot kan också vara medarbetare som använder e-post och Internet på ett felaktigt sätt. Man ska dock inte glömma att de flesta incidenter är olyckor på grund av okunskap. 3. Uppskatta riskerna Beräkna sannolikheten för att en incident inträffar och storleken på den potentiella skadan. Dataförlust, integritetsproblem, ansvarsskyldighet, oönskad uppmärksamhet, förlorat förtroende bland kunder, ägare och partners, liksom kostnaden för att reparera säkerhetshål måste också värderas. 4. Tilldela ansvarsområden I mindre företag är det naturligt att ledningen inte bara har det yttersta ansvaret, utan också tar hand om praktiska säkerhetsfrågor. Om man vänder på steken är det dock inte självklart att den IT-ansvarige också är rätt person att driva det övergripande 32

33 säkerhetsarbetet. Istället är det en god regel att skilja mellan det tekniska och det administrativa ansvaret. I lite större företag kan det bli aktuellt att utse en krisberedskapsgrupp med huvudansvar för att identifiera potentiella hot mot företaget. Nyckelmedlemmar inkluderar nätverksadministratören, ekonomichefen, en juridisk representant, en styrelsemedlem, en personalansvarig och en informations- och PR-ansvarig. 5. Etablera säkerhetspolicyn Formulera en policy som koordineras med företagets övriga riktlinjer och regelverk, samt anställningskontrakt. Dessa dokument bör därför innehålla specifik information om nätverk, IT-plattformar, användaransvar, och organisationsstruktur. Därigenom slipper man ändra hela policyn vid förändringar i organisationen. Ändringarna kan i stället göras i de relaterade dokumenten. 6. Genomför policyn Policyn måste tydligt definiera säkerhetsansvariga och vem som äger de specifika systemen och informationen. Tre viktiga delar i genomförandet är: Efterlevnad skapa en process för att säkerställa att policyn följs och var tydlig med vilka åtgärder som kan bli aktuella om någon bryter mot, eller struntar i policyn. Ansvar utse en IT-säkerhetsansvarig. Finansiering se till att budgeten medger att säkerhetspolicyn följs. 7. Följ upp och övervaka Alla medarbetare har ett ansvar för att policyn efterlevs och följaktligen ska den läsas av samtliga. Policyn bör också uppdateras regelbundet för att reflektera förändringar i organisation eller kultur. SÄKERHETSPOLICY Avgränsning. Vad ska säkerhetspolicyn täcka? Vad täcks inte? Ansvar. Vem bär huvudansvaret internt? Mål. Vad är syftet med policyn? Inriktning på säkerhetsarbetet. Vilken säkerhetsnivå vill och bör företaget upprätthålla? Stöd, samordning och kontroll. Vem utför detta? Hur ska det utföras? Säkerhetsnivåer och skyddsåtgärder. Regler och riktlinjer. Vilka regler gäller för de anställda/ansvariga, och hur ska detta kommuniceras? Information och utbildning. Användare rättigheter och skyldigheter. Systemadministratörer rättigheter och skyldigheter. Katastrofplanering. Vad händer när larmet går och katastrofen är ett faktum, vem ansvarar för vad? Och vilka rutiner finns på plats för att minimera skada? Årlig granskning. Behöver policyn uppdateras? Vilka förutsättningar har ändrats? Hur efterlevs policyn? 33

34 Katastrofplanen Andel mindre företag med förberedd krisplan för störningar i IT-miljön Saknar krisplan: 64% Vet ej: 1% Har krisplan: 35% Källa: Undersökning genomförd 2003 av GM Marknadskommunikation bland drygt 800 företag i Norden med upp till 100 anställda. Visste du att Antalet fall av fientlig kod som öppnar bakdörrar till IT-system har ökat med nära 50 procent under första hälften av Det mest uppmärksammade fallet av försök till stöld av konfidentiell data var Bugbear.B, som riktade in sig specifikt på banker och finansinstitut. Det kan vara svårt att föreställa sig den värsta tänkbara händelsen, just eftersom man förmodar att riskerna för en verklig katastrof är väldigt små. En sådan slutsats vilar dock oftast på önsketänkande. Antag till exempel att företaget råkar ut för inbrott och alla datorer blir stulna en händelse som inte alls är osannolik. Då krävs det att den som ansvarar för företagets informationssäkerhet vet vad han eller hon ska göra. Målet måste vara att återställa normal verksamhet så snabbt som möjligt, och för att lyckas med detta är goda förberedelser helt avgörande. En katastrofplan går därför hand i hand med företagets policy för informationssäkerhet. Fel och datorhaverier i datorer, system och nätverk drabbar förr eller senare alla företag. De flesta sådana störningar är lyckligtvis lindriga och kortvariga, och brukar lösas genom vanliga service- och supportåtgärder. Men när viktiga data förloras eller viktiga system faller ifrån under längre tid, då påverkas affärsverksamheten mer direkt. Exemplet med inbrott visar att även ett litet företag behöver förbereda sig på ett akut krisläge. Större företag förbereder sig för katastrofer genom att skaffa reservalternativ för IT-driften, där en komplett anläggning står klar och förberedd att ta över på kort varsel om katastrofen är ett faktum. Denna lösning står dock sällan till buds för ett litet kontor, eller medför kostnader som inte kan motiveras. Ett fungerande katastrofskydd kräver först och främst goda backup-rutiner. I planeringen ska därför ingå att man inte bara regelbundet tar backup, utan även testar att återställa data från säkerhetskopior. Processen med att återställa systemens innehåll kan också förenklas genom så kallad imagehantering. Det innebär bland annat att man sparar kopior på hårddiskarnas hela innehåll. I ett krisläge kan man då spara mycket tid genom 34

35 att återskapa systemet från denna kopia, istället för att behöva installera om all programvara från början. Företag kan också välja att lägga ut så mycket som möjligt av driften av viktiga system, så att så lite som möjligt av känsliga datorer och data finns i de egna lokalerna. Ett litet företag gör exempelvis klokt i att avstå att ha egna webb- och e-postservrar, utan istället köpa dessa i form av tjänster från operatörer, webbhotell eller andra konsultföretag. KATASTROFPLAN KATASTROFPLAN Sätt samman en krisgrupp som består av representanter från företagets olika avdelningar, ekonomi, personal, ledning, IT, information/pr (samma arbetsgrupp som för säkerhetspolicyn, se sid 33). Upprätta ett mål med planen. Är målet att skydda viss information eller andra tillgångar? Är det att upprätthålla vissa affärsprocesser? Målet hjälper IT-avdelningen att skapa en strategisk plan för vilka resurser som först ska skyddas. Gör en fullständig inventering av de IT-verktyg, resurser och arbetsuppgifter som behövs för att upprätthålla affärsverksamheten och upprätthålla de kritiska funktionerna som står i den strategiska planen. Gör en riskanalys. Utvärdera vilken finansiell, teknisk, juridisk och operationell skada som en säkerhetsincident skulle kunna innebära. Riskanalysen bör innehålla potentiell skada för kunder och företaget. Analysera också specifika säkerhetshot och vilken skada de kan åsamka olika avdelningar. Ta fram en handlingsplan. Gå igenom scenarier med olika säkerhetshot och vilken effekt de skulle ha. För varje scenario, gå igenom vem som skulle vara inblandad, ansvar, eventuella kostnader etc. Plan B. Även den bästa katastrofplan har sina brister. Försök att hitta bristerna och ta fram alternativa lösningar. Kommunicera planen. Planen är bara effektiv om de anställda känner till och förstår, både planen och sin roll i den. 35

36 HANDLINGSPLANEN Katastrofplanen kommer att variera beroende på vilken typ av säkerhetsincident det gäller. En virusattack kan exempelvis påverka företagets verksamhet annorlunda än en DoS-attack. Eftersom det finns många olika säkerhetshot bör planen vara flexibel. Alla planer bör dock ta med följande: Förlust av data/information. Kan exempelvis orsakas av strömavbrott, virus, hackare. Förbered genom att säkerhetskopiera informationen på system och nätverk. Se till att det finns en policy för vem som ansvarar för säkerhetskopieringen, vilken typ av media som används, hur ofta den ska göras. Hårdvarubackup. Företag som har egna servrar kan behöva backup-servrar om något skulle hända med den primära servern. Ett reservkraftsaggregat, en UPS, är en viktig komponent av en katastrofplan. Tjänsteleverantörer och partners. Säkerhet bör vara en viktig komponent i varje kontrakt med leverantörer och partners, speciellt om man delar information genom ett extranät eller har en VPN-koppling mellan företagen. IT bör utvärdera hur en säkerhetsbrist i en partners/ leverantörs nätverk påverkar företaget. IT-resurser. Om en säkerhetsincident inträffar, kan IT behöva ta in extrapersonal. Se till att identifiera konsulter som kan kallas in i förväg. Press. Hur bemöter man frågor från journalister? Vem ska uttala sig? Ta fram en strategi. Budget. En incident kan kräva utgifter utöver den vanliga budgeten. Klargör vem som avgör om en situation är en katastrof, och därmed kan ge tillstånd för att utnyttja den avsatta fonden. 36

37 Allt fler av de vanliga IT-systemen kan hyras. Leverantörerna på denna nya tjänstemarknad brukar kallas ASP (Application Service Providers). De erbjuder ett brett spektrum av tjänster för bland annat ekonomistyrning, kundvård, löner, med mera. Utbilda medarbetarna Många säkerhetsproblem bottnar i slarv, okunskap eller andra varianter på den mänskliga faktorn. Och säkerhetspolicyn, oavsett hur välformulerad och heltäckande den är, fungerar i praktiken bara om den också är känd av och kan efterlevas av dem som den angår. Det är klokt att dela upp utbildningen i en generell del, som tar upp frågor som angår alla, samt en del som mer specifikt lär ut hur medarbetarna utnyttjar de hjälpmedel för säkerhet som finns på plats. Här krävs speciella insatser för dem som ska kunna ta ett administrativt ansvar, för exempelvis användarrättigheter, drift av brandväggar och backup-hantering, med mera. Att genomföra utbildningen helt internt i form av ett seminarium eller en klassrumskurs understryker vikten av säkerhetsfrågorna. Då bygger man upp ett säkerhetsmedvetande som utgår från, och även förstärker medarbetarnas lojalitet. Sprid gärna utbildningsinsatserna över tiden. Det markerar att företaget bedriver ett kontinuerligt säkerhetsarbete och att medvetandet bland de anställda är lika viktigt om ett år som nästa vecka. Förändringar i system och er verksamhet kan också ge skäl till nya utbildningsinsatser, samt givetvis om ny personal kommer in. UTBILDNING AV MEDARBETARNA Kom ihåg att berätta varför, inte bara hur. Genom att förklara ett problem och ge en lösning blir det lättare för användarna att ta till sig informationen. Upprepa utbildningen vid flera tillfällen. Förklara viktiga punkter och varför just de är viktiga. Gör en checklista över de viktigaste punkterna i säkerhetspolicyn och sätt upp på strategiska ställen (kaffeautomaten, hissen etc.). Gör ett referenskort till alla anställda som de kan ha tillgängligt på skrivbordet. Se till att ha IT-säkerhetspolicyn tillgänglig för alla. 37

38 38

39 Skydd mot förlust av data UPS och reservkraft UPS (Uninterrupted Power Supply) brukar översättas med avbrottsfri kraft. Åtminstone alla system med server bör ha UPS. Det skyddar system och data från att skadas i händelse av ett strömavbrott. I aggregatet finns batterier som tar över och förser servern med ström. Ett enkelt UPS-aggregat dimensioneras för att klara högst 30 minuter, tillräckligt lång tid för att systemet ska kunna stängas av under kontrollerade former. Vill man klara längre strömavbrott krävs ett större aggregat. En UPS-enhet ska inte förväxlas med ett reservkraftaggregat som kan driva datorerna kontinuerligt vid ett strömavbrott. För det krävs ett minikraftverk som brukar drivas med dieselgeneratorer, en mycket mer kostsam lösning som endast stora datacentraler brukar ha tillgång till. Ett UPSaggregat är överkomligt för de flesta, med priser från ett par tusen kronor. Rutiner för backup Tekniken är sällan särskilt viktig för en bra backuplösning. Prestanda blir en faktor att räkna med bara om man har extremt höga krav på tillgänglighet eller ovanligt stora datavolymer i förhållande till företagets storlek. Det väsentliga är att skaffa sig bra rutiner för backup. Man kan välja mellan att göra en fullständig säkerhetskopia (med både program och data) eller bara kopiera datafiler. Fördelen med att göra en fullständig säkerhetskopia är att man snabbt kommer på fötter efter en incident, och att man behåller de inställningar man gjort i programmen sedan de installerades. 39

40 Andel av mindre företag som har olika säkerhetslösningar Virusskydd: 97% Brandvägg: 68% Accesskontroll: 36% Intrångsdetektering: 30% Kryptering: 29% Källa: Undersökning genomförd 2003 av GM Marknadskommunikation bland drygt 800 företag i Norden med upp till 100 anställda. Det är en enkel uppgift att sköta det dagliga bytet av band och att kontrollera loggen för kopieringen, för att se att processen fungerar normalt. Ansvaret för backup-rutinerna behöver därför inte ligga på den övergripande IT-ansvarige eller en specialist. Kom dock ihåg att regelbundet testa att det går att återskapa innehållet från säkerhetskopian. Säkerhetskopiering Backup, eller säkerhetskopiering, är den grundläggande åtgärden för informationssäkerhet. Backup är ganska enkelt att ordna och medför inga avskräckande kostnader. En nätverksserver har alltid plats för en backupenhet dit data kan kopieras, dels från serverns hårddisk, dels från användarnas SÄKERHETSKOPIERING Utse en ansvarig för säkerhetskopieringen. Alla viktiga data som förändras ska säkerhetskopieras dagligen. Gör backup både på servrar och användarnas hårddiskar. Testa regelbundet att det går att återskapa informationen från säkerhetskopian. Se till att ha en image -kopia (en fullständig kopia av innehållet) av alla hårddiskar tillgängliga. Det gör det mycket enklare att återskapa innehållet och komma igång efter ett datorhaveri eller stöld. En image -kopia spar dessutom alla inställningar som du gjort i operativsystemet efter installation. 40

41 datorer via det lokala nätverket. Som backupenhet är det vanligast att använda en bandstation med kassetter. Idag är band av typ DLT (Digital Linear Tape) och DAT (Digital Audio Tape) vanligast. DLT är den bästa tekniken. För större behov finns bandrobotar med plats för flera kassetter som växlas automatiskt. I den nedre änden av backupskalan finns vanliga CD-ROMskivor. Även ganska enkla persondatorer utrustas numera med inbyggd brännare för CD-ROM- eller DVD-skivor, och de fungerar utmärkt för att säkerhetskopiera personliga data och ibland också för det mindre företaget. Man ska dock komma ihåg att hembrända CD-skivor är ganska känsliga. Till skillnad från inspelade skivor man köper har de inget skyddande lack på inspelningsytan. Det kan räcka med vanligt kranvatten för att ytan ska förstöras. 41

42 42

43 Skydd mot intrång och fientlig programvara Brandvägg En god regel är att alla anslutningar mot Internet behöver skyddas av en brandvägg. En brandvägg krävs till exempel om man har ett företagsinternt nätverk som ansluts mot Internet, eller mot ett annat externt nätverk som du inte kontrollerar. Däremot krävs vanligtvis ingen brandvägg inom ett företagsnät som enbart är uppbyggt av fasta förbindelser mellan olika enheter, även om ett sådant nät utnyttjar samma kommunikationsteknik som Internet. Det är alltid viktigt att brandväggen sätts upp på rätt sätt. En brandvägg gör det möjligt att kontrollera och reglera vilken datatrafik som får lov att utväxlas mellan två nätverk, eller mellan en enskild användare och ett externt nätverk. Det normala i ett företag är att brandväggen placeras mellan kontorets lokala nätverk och anslutningen mot Internet. Brandväggens viktigaste uppgift är att skydda företaget mot externa hot som intrång från hackare, men den kan också utnyttjas för att begränsa hur medarbetarna och deras datorer kan kommunicera utåt. Kom dessutom ihåg att mobila användare, personer som jobbar hemifrån eller kanske kopplar upp sig mot Internet från ett hotell behöver en mjukvarubrandvägg på sin dator, eftersom företagets nätverks brandvägg inte skyddar utanför nätverket. Begreppet port är nära förknippat med brandväggar. Här är det viktigt att skilja mellan de fysiska portarna till exempel anslutningarna för en nätverkskabel eller en skrivarkabel och de virtuella portarna. En virtuell port kan liknas Visste du att 27 procent av de små och medelstora företagen i Sverige uppgav 2003 att de någon gång förlorat information eller haft driftsstopp på grund av intrång eller virusangrepp. I 78 procent av dessa fall blev följden att systemen låg nere, de flesta i mer än 4 timmar. 43

44 Visste du att Masken W32.Blaster infekterar endast datorer med Windows 2000 och XP. Masken Welchia försöker skydda system mot Blaster genom att ladda ner en patch från Microsoft. Men den öppnar också en bakdörr på den infekterade datorn. Welchia orsakar överbelastningsattacker hos många företag. vid en kanal i nätverket som reserveras för en viss typ av trafik. Varje dator har virtuella portar. Man skulle kunna likna datorn med en telefonväxel där varje slags trafik har sin anknytning. Som exempel används port 80 webbtrafik, portarna 25 och 110 används till e-post, på port 21 startar filöverföring och så vidare. Det är brandväggens roll att stänga alla portar som inte behövs. Den håller reda på portarna och bestämmer vilka som ska vara öppna. Med hjälp av olika regler kan trafiken filtreras och förhindra att otillåten trafik kommer in. Brandväggen märker om någon utomstående försöker ansluta sig till en öppen port eller försöker öppna en redan stängd port och varnar den säkerhetsansvarige om det är något som verkar onormalt. Hård- och mjukvarubaserade brandväggar Brandväggen kan vara antingen hårdvarubaserad eller mjukvarubaserad. Det vanligaste är en mjukvarubaserad brandvägg som installeras och körs på en vanlig dator som avsatts för detta ändamål. Inga andra program ska köras på denna dator. Då ökar riskerna för intrång dramatiskt. En hårdvarubaserad brandvägg är en fristående enhet som levereras mer eller mindre körklar. För hemanvändare med bredbandsanslutning finns exempelvis kombinerade brandväggar och kabelmodem. Det finns idag också brandväggar med en rad ytterligare funktioner integrerade i en enda enhet, som intrångsdetektering, innehållsfiltrering, virtuella privata nät och virusskydd. Exempel på en denna typ av integrerad brandvägg är Symantec Gateway Security. På enskilda datorer bör personliga brandväggar (i företagsmiljö även kallat distribuerade brandväggar) användas. Personliga brandväggar körs på en vanlig användardator som 44

45 också kan köra andra program parallellt. Den arbetar på ett annorlunda sätt och ska inte förväxlas med den gemensamma brandvägg som skyddar hela det lokala nätverket. Ett exempel är Norton Personal Firewall, som dessutom ingår i Symantecs Internet-säkerhetsprogramvara Norton Internet Security. En personlig brandvägg behövs då man ansluter datorn mot Internet utanför kontorets nätverk, eftersom man då inte längre skyddas av företagets nätverksbrandvägg. Principer för brandväggar Den enklaste formen av brandvägg arbetar med paketfiltrering. Data som skickas över ett nät delas upp i många små delar som kallas paket. Varje paket inleds med information, ett så kallat pakethuvud, som nätverket behöver för att transportera det. En brandvägg som arbetar med filtrering på paketnivå granskar endast informationen i datapaketets huvud för att reglera tillgången till nätet. Detta är tyvärr inte en så säker metod, men har nyttjats under många år då den har medgett höga överföringshastigheter. En annan viktig brandväggsfunktion är översättning av nätverksadresser, NAT (Network Address Translation). För att ge användarna som sitter bakom brandväggen i kontorets lokala nätverk möjlighet att kommunicera med Internet, tilldelas de en extern (publik) Internet-adress. De använder annars helt andra nätadresser sinsemellan innanför brandväggen. Översättningen medför att hela det lokala nätverket gömmer sig bakom en enda adress, den som tilldelas av brandväggen. Alla användarna i det lokala nätverket uppträder då för andra system på Internet som om de kör på samma dator. NAT är dock bara en del av en komplett brandvägg och ger inte på egen hand någon tillfredsställande säkerhet. Visste du att 33 procent av företagen med anställda använder ett intranät, medan hela 95 procent av företagen med 500 eller fler anställda gör det. 45

46 Utvecklingen går mot mer avancerade brandväggar som granskar applikationer, så kallade proxybrandväggar. Begreppet proxy kan i det här sammanhanget översättas med ersättare. En proxy är en dator eller ett program som tar över uppgifterna från en annan maskin. En proxybrandvägg tar över kommunikationen med Internet åt alla datorer som är anslutna dit, så att användarna inte kan kommunicera direkt med nätet, utan enbart via en proxy. Vilken brandvägg man än använder sig av är det viktigt att man kollar de loggar som den genererar. Eftersom detta kräver en hel del kunskap är det vanligt att detta läggs ut på specialister. Det bästa är att låta övervaka brandväggen kontinuerligt, precis som när ett larmföretag övervakar inbrottslarmet. Antivirus Att skaffa ett antivirusprogram är ofta den allra första säkerhetsåtgärden både för hemanvändare och företag. Virusskydd ska finnas vid Internet-anslutningen, på alla servrar och alla enskilda datorer. En viktig egenskap hos antivirusprogrammet är att det måste kunna anpassa sig till en hotbild som ständigt förändras. Varje dag uppträder nya hot som maskar, trojanska hästar och virus på Internet. Även om ett modernt antivirusskydd ofta kan avslöja nya hot direkt, så minskar risken för smitta om antivirusprogrammet kan jämföra ett misstänkt hot med en så kallad definition, ett slags digitalt fingeravtryck som tas fram av leverantörerna för varje nytt hot som upptäcks. Nya signaturer och annan information som hjälper till att stoppa nya hot kan automatiskt hämtas till antivirusprogrammet via Internet så att användarens skydd uppdateras. Det upptäcks mer än 100 nya hot varje vecka. För ett fullgott skydd måste därför virusdefinitionerna uppdateras med 46

47 täta mellanrum, helst en gång per dag. Dessutom är det lämpligt att schemalägga fullständiga genomsökningar av systemet, helst en gång i veckan. Intrångsdetektering Ett intrångsdetekteringssystem (IDS) övervakar och analyserar nätverkstrafiken för att upptäcka om en inkräktare har brutit sig in i systemet eller om det missbrukas av användare inom den egna organisationen. Intrångsdetekteringssystemet tar vid där brandväggen slutar och granskar trafiken i ett större sammanhang. Ett exempel är om ett stort antal anslutningsförsök görs mot olika virtuella portar på en maskin. Detta är tecken på att en portscanning pågår, ett klassiskt sätt att kartlägga ett okänt system. Här upptäcker intrångsdetekteringssystemet tidigt vad som pågår och kan varna de ansvariga. Ett intrångsdetekteringssystem kan antingen köras som ett program på den maskin som ska skyddas (värdbaserat IDS) eller på en fristående enhet som övervakar all nätverkstrafik (nätverksbaserat IDS). Inget hindrar att man utnyttjar båda varianterna parallellt, men vanligast är att man använder ett nätverksbaserat IDS. Den vanligaste typen av intrångsdetektering bygger på att systemet kan känna igen och förutse angrepp. Den andra vanliga grundprincipen är statistisk intrångsdetektering som skiljer mellan normal och onormal trafik och larmar när trafiken avviker från ett visst mönster. Precis som för brandväggar måste system för intrångsdetektering övervakas och deras loggar analyseras, annars gör systemen ingen nytta. För att kunna upptäcka verkliga och farliga intrång måste man också analysera mängder av falska tillbud. På samma sätt som med brandväggar kan det därför vara klokt att lämna denna uppgift till en specialist Visste du att Sobig är en masspostande nätverksmask som skickar sig själv till alla e-postadresser den hittar i vissa filer. Sobig släpper också ut konfidentiell information, och stjäl i vissa fall systeminformation som exempelvis lösenord. Sobig stänger av sig själv efter en viss tid. 47

48 som också sköter intrångsdetekteringssystem dygnet runt. Den allra bästa säkerheten får man om man både bevakar brandväggar och IDS:er, och jämför informationen från de bägge säkerhetssystemen. Ett problem med intrångsdetekteringssystem är att de larmar om allt som händer i nätverket om de inte konfigureras ordentligt. Det är därför väl använd tid att noggrant konfigurera intrångsdetekteringen för att undvika falsklarm! Användar-ID och accesskontroll Precis på samma sätt som man behöver hålla koll på vem som får lov att komma in i företagets lokaler, vill man naturligtvis ha kontroll över vem som är inne i datasystemen och att obehöriga inte kommer in. Alla datorsystem på vanliga kontor har inbyggda funktioner för att kontrollera tillgången till program och data. Användarna tilldelas identiteter och lösenord som måste anges för att komma åt innehållet på servrar, nättjänster eller för att kunna köra ett visst program. Vanliga operativsystem som Windows och Unix ger stora möjligheter att styra vem som ska ha tillgång till vad. Och det ingår i IT-administratörens jobb att tilldela dessa rättigheter. Redan i detta arbete finns mycket man kan göra för att höja säkerhetsnivån inledningsvis bör man inte utgå från att alla användare ska ha samma rättigheter, utan dessa tilldelas efter de behov deras arbetsuppgifter kräver. Man måste vara medveten både om att sådana möjligheter finns och att det också kräver en del arbete att utnyttja dem. De flesta företag och myndigheter nöjer sig med de möjligheter till accesskontroll som erbjuds som standard av den IT-plattform man valt. Men framför allt i större företag och på kontor där datorerna står i offentliga miljöer förstärks de 48

49 med ett fristående system för användaridentifiering. Sådana lösningar utnyttjar ofta smarta kort som många gånger också kan fungera som personliga ID- och passerkort för medarbetarna. Varje datorarbetsplats utrustas då med en kortläsare och datorn kan bara användas om ett ID-kort finns i läsaren och användaren angivit den kod som finns knuten till kortet. I systemet ingår även ett centralt program där varje användares identiteter, lösenord och rättigheter till olika system finns upplagda. För användarna är ett separat system för accesskontroll en praktisk lösning eftersom de slipper hålla reda på många olika användaridentiteter och lösenord anslutningen kan göras automatiskt till alla de tjänster som användaren har rättigheter till. Kryptering Det kanske viktigaste skälet att utnyttja kryptering är att det ger stöldskydd för information. Borttappade och stulna datorer kommer sällan tillbaka, men värdefull information går inte förlorad när tjuven inte kan komma åt den. Kryptering är ett klassiskt sätt att skydda känsliga uppgifter så att bara den som är behörig kan få tillgång till dem i klartext. Genom datorernas intåg har det blivit enklare att kryptera, men de har samtidigt gjort det oerhört mycket lättare att också knäcka krypton. I de flesta datorsystem och nätverk används därför kryptering sparsamt. Som standard brukar lösenord lagras i krypterad form, men just inte mer. Skälen är främst ekonomiska. Dels kostar själva tekniken för kryptering, dels kräver det mycket administration. Uppstår problem med krypteringsprogrammet kan det betyda att data och arbetstid går förlorat. Att utnyttja kryptering mer genomgående var länge i praktiken ogenomförbart för de allra flesta företag, utan förekom 49

50 bara i militära sammanhang, på banker och finansinstitut och inom andra organisationer med motsvarande krav på sekretess. Men kryptering är en fullt realistisk möjlighet. Det finns exempelvis program som kontinuerligt kan kryptera hela hårddiskens innehåll på en persondator till förhållandevis låg kostnad. Kryptering av e-post är också en vanlig åtgärd som kan genomföras med lätt tillgängliga och relativt lättanvända verktyg. Antivirusprogram och krypteringsprogram kan ha svårt att arbeta tillsammans eftersom de ofta måste komma åt samma datorresurser. Blir krypteringsprogrammet virussmittat kan det i princip vara omöjligt att rensa programmet. Digitala signaturer Visste du att Varje vecka upptäcks över 100 nya virus och ett sjuttiotal nya säkerhetsluckor i mjukvaror. En speciell form av kryptering är digitala signaturer som används vid e-handel och affärstransaktioner på Internet. En digital signatur fyller samma funktion som en vanlig namnunderskrift. En digital signatur i ett e-postmeddelande ger garanti för att det är skrivet och skickat av den person som står som avsändare, och att meddelandet inte har utsatts för påverkan eller skadats under överföringen. Genom att använda Public Key Infrastructure (PKI) med en privat krypteringsnyckel och en offentlig, kan digitala signaturer användas även för att kryptera och signera exempelvis e-post som sänds mellan användare som aldrig tidigare haft kontakt med varandra. Digitala signaturer har kommit till bred användning i Sverige genom bankernas Internet-tjänster. Från början har varje bank använt sin egen lösning, men nu pågår en övergång till BankID-standarden, som alla landets stora banker står bakom. Även de nya möjligheterna att deklarera via nätet som erbjuds av Riksskatteverket utnyttjar digitala signaturer. 50

51 Lösenord De flesta datoranvändare behöver flera lösenord ett för e-post, ett för ekonomisystemet, ett för att logga in på datorn, och så vidare. Många människor har ett dussintal lösenord, och att hålla reda på alla användarnamn och lösenord kan bli ett problem. Utmaningen i att skapa ett starkt, hackar-säkert lösenord är att göra lösenordet så svårt som möjligt att gissa, utan att det blir omöjligt att komma ihåg. Undvik sårbara lösenord När du har skapat ett starkt lösenord, se till att hålla det så säkert som möjligt. E-posta aldrig ett lösenord till någon och uppge det aldrig till någon som frågar, även om personen arbetar på företaget. Den som är IT-ansvarig bör redan ha tillgång till dina system. Använd aldrig ett lösenord som du använder inne på företagets system när du ska skriva in lösenord på Internet. Att byta tillbaka till ett gammalt lösenord ökar bara risken för att du själv råkar illa ut. Använd inte namn eller nummer som kan sammankopplas med dig, som födelsedatum, smeknamn, telefonnummer eller adresser. LÖSENORD Ett starkt lösenord... består av en kombination av små och stora bokstäver, siffror och symboler (ett S kan bytas mot tecknet $, ett O mot en nolla etc.). är minst åtta tecken långt. Ju fler tecken ett lösenord innehåller, desto svårare är det att lista ut eller knäcka med hjälp av hackarprogram. är lätt att komma ihåg och ska aldrig skrivas ner. ska bytas regelbundet. används bara för en tjänst eller system. Skapa olika lösenord för varje konto eller användaridentitet. Använd inte ditt användarnamn som lösenord, i någon form. Använd inte ditt eget namn, en familjemedlems eller husdjurs namn. Använd inte ordet lösenord (eller för den delen password...). 51

52 Tips för att komma ihåg lösenord Lösenord bör alltid memoreras, aldrig skrivas ned. Bilda en förkortning genom att välja en refräng från en sång, och använd den första bokstaven i varje ord. Välj två korta ord som inte har något med varandra att göra, och kombinera dem med symboler eller siffror, till exempel mossa9bord eller snabb!matta. Använd en vanlig fras, men byt ut nollor mot o, ettor mot i etc. Använd stora och små bokstäver i kombination med siffror och symboler. Hjälpmedel för lösenordslagring Om det blir för svårt att hålla alla lösenord i huvudet finns det hjälpmedel för att hantera dem på ett säkert sätt: Programvara. Med ett hjälpprogram kan du lagra alla dina användaridentiteter och lösenord och sedan få tillgång till dem alla genom endast ett lösenord som du behöver memorera. Ett sådant verktyg är Norton Password Manager från Symantec. Hårdvarubaserade system för accesskontroll. I större företag och myndigheter är det vanligt med system för accesskontroll som utnyttjar smarta kort för att identifiera användarna. Webbtjänster för lösenordslagring. Det finns rikligt med tjänster tillgängliga på Internet som ger dig tillgång till dina sparade användarnamn och lösenord. Många erbjuder också 128-bitars kryptering. Begränsningen är att tjänsterna enbart kan användas för att logga in på webbplatser och system med webbläsargränssnitt. 52

53 SÄKERHETSRÅD TILL KONTORETS DATAANVÄNDARE Använd starka lösenord. Uppge aldrig ditt lösenord. Ett starkt lösenord består av minst åtta tecken, med bokstäver, siffror och symboler blandat. Använd inte ord som är lätta att gissa. Använd virusskydd. Koppla aldrig ur det virusskydd som finns installerat på din dator. Lämna inte din dator inloggad när den inte används. Stäng av datorn när du avslutar arbetsdagen. Öppna inte oväntad eller misstänkt e-post. I synnerhet inte bifogade filer till misstänkta meddelanden. Skicka aldrig vidare virusvarningar och kedjebrev som kommer med e-post. Virusvarningar är oftast falska och känns igen på att de uppmanar mottagaren att skicka meddelandet vidare till alla bekanta. Gör aktiva val av säkerhetsinställningar i webbläsaren. Koppla inte permanent ur säkerhetskontroller bara för att enskilda webbplatser kräver det för att fungera. Lämna inte ut personlig information på osäkra Internet-sidor. Var uppmärksam på att uppge personliga och känsliga uppgifter. Lämna endast ut känslig information på säkra webbsidor (markerat med hänglås eller nyckel i webbläsarfönstret). Kontrollera att backup tas på dina viktiga filer. Meddela systemansvariga om du märker att den automatiska processen inte fungerar normalt. Var rädd om din bärbara dator. Lämna den inte obevakad på offentlig plats, synlig i bilen, eller på andra sätt där den är lätt åtkomlig för tjuvar. Kom ihåg att uppdatera mjukvaran på din dator. Det är vikigt att komma ihåg att mjukvara är en typ av färskvara. Om leverantören upptäcker en säkerhetsbrist i programvaran tillverkas en patch, som när den installeras täpper till hålet. Idag har många programvaror automatisk sökning efter nya uppdateringar, se till att den är påkopplad. 53

54 Virtuella privata nät (VPN) Visste du att I januari 2004 beräknade Brightmail att 60 procent av all Internet-e-post var skräppost, eller spam. Mest frekvent var erbjudanden om produkter, tätt följt av finansiella erbjudanden och pornografi. Ett Virtuellt Privat Nät (VPN) innebär att ett publikt nät som Internet kan utnyttjas för att bygga ett privat nät för företaget. Tack vare att VPN-tekniken bygger på kryptering kan det ske på ett säkert sätt, så att den privata trafiken effektivt skiljs åt från andra parter som delar samma infrastruktur. VPN var från början mest en lösning för större företag, med stora trafikvolymer och egen personal för administration. Idag erbjuder dock många operatörer VPN-tjänster som även vänder sig till mindre företag. Ett företag med två kontor på skilda platser kan till exempel välja en VPN-lösning för att knyta samman de lokala nätverken på respektive kontor istället för att hyra fasta ledningar mellan kontoren. Trafiken går då över Internet i en säker tunnel. Genom att överlåta övervakningen på operatören kan det också administrativt vara en praktisk lösning. Ett virtuellt privat nät fungerar också som en säker lösning för medarbetare som behöver koppla upp sig till kontorets lokala nätverk från hemarbetsplatsen eller ute på resa. 54

55 55

56 SÅRBARHETSANALYS Det är viktigt att börja med att ta reda på hur djupt man vill gå med analysen, och vad man ska använda resultatet till. Vill man veta om det finns sårbarheter i systemen, eller om man kan ta sig in i de kritiska systemen, eller behövs en total säkerhetsrapport? Därefter är det dags att välja metod. För att kontrollera om det finns sårbara system i nätverket kan det räcka att göra en sårbarhetsanalys med hjälp av en programvara. Vill man veta om det går att ta sig in i företagets kritiska servrar kan man anlita en konsult för att göra ett penetrationstest. Vill man göra en total genomgång av säkerheten för att certifiera företaget enligt en säkerhetsstandard, exempelvis ISO , bör man ta hjälp av en konsult som hjälper till att lägga upp riktlinjer och plan för certifieringen. Ta reda på om kunskapen att genomföra analysen finns internt eller om det behövs extern hjälp. Sätt upp en plan för hur analysen ska genomföras, vem som ansvarar och vem som sköter efterarbetet. Efter att ha genomfört analysen, se till att gå igenom resultatet noggrant och förbättra de svaga områden som lokaliserats. 56

57 Sårbarhetsanalys Ett företag ska inte nöja sig med att bara installera ett antal säkerhetsprodukter, utan måste också få ett tydligt kvitto på att de har ett gott skydd. Detta gör man bäst genom en sårbarhetsanalys. Vid en komplett sårbarhetsanalys kontrolleras alla tänkbara inställningar för åtkomst till system, data och resurser, samt konfigureringar som kan leda till problem. Många företag gör sårbarhetsanalyser i form av ett sökverktyg som kan se in på djupet i ett nätverk och avslöja svaga punkter. Sökverktyget kan till exempel testa nätverkets känslighet för kända sårbarheter i operativsystem, applikationer och lösenord. Det kan också utnyttja avancerade spårningsmetoder som försöker efterlikna de steg som en inkräktare går igenom för att upptäcka och utnyttja en sårbarhet i nätverket. Man kan också välja att göra ett så kallat penetrationstest där man väljer ut delar av nätverket, simulerar ett intrångsförsök och på så sätt visar om det är möjligt att ta sig in i systemen. SÅRBARHETSTEST MED MJUKVARA Ett verktyg som används för sårbarhetsanalys ska klara av följande uppgifter: Testa hela nätverket med avseende på säkerhetshål och ge råd för hur de ska täppas till. Söka genom flera operativsystem, bl a Unix, Linux, Windows och NetWare. Hålla sig uppdaterad på de senaste säkerhetsvarningarna. Presentera sökningens resultat grafiskt och avslöja källor och orsaker till sårbarheter. Producera rapporter som kan anpassas för olika målgrupper. 57