Sikkerhet nr. 3 / 2016
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
nsr<br />
SKATTEPARADISET PANAMA: Advokatfirmaet i Panama hadde ikke viet IT-sikkerhet mye oppmerksomhet. Resultat: 11,5 millioner dokumenter<br />
ble lekket fra firmaet.<br />
Foto: F. Ermert/Flickr<br />
Panama Papers – en viktig påminn<br />
Programvare gjør oss<br />
sårbar.<br />
Fra et cybersikkerhetsperspektiv er<br />
det ingenting overraskende i saken<br />
om Panama Papers, men den gir oss<br />
en viktig påminnelse om grunnleggende<br />
sikkerhetsprinsipper.<br />
Neglisjerte oppdateringer<br />
Én ting er sikkert: Det vil dukke opp<br />
nye sårbarheter i programvare vi er<br />
mest avhengig av. Alle operativ system,<br />
web- og epost servere, databaser,<br />
mobil plattformer og ERP programvare<br />
som har hatt kommersiell suksess<br />
har en lang historie med sårbarheter<br />
med tilhørende oppdateringer<br />
for å avhjelpe disse.<br />
Leverandørene forsetter å publisere<br />
oppdateringer så regelmessig at<br />
man kan stille klokka etter det.<br />
Sett hen til det enorme volumet av<br />
sensitive dokumenter, samt konsekvensene<br />
lekkasjen har fått globalt,<br />
er det åpenbart at Mossack Fonesca<br />
var et selskap med et stort behov for<br />
cybersikkerhet. De neglisjerte grunnleggende<br />
tiltak som jevnlig å installere<br />
sikkerhetsoppdateringer, slik at<br />
selskapets webserver var sårbar for<br />
allerede kjente angrep.<br />
Kanskje var det dette som gjorde at<br />
hackerne fant veien inn i nett verket.<br />
Dessverre er ikke dette uvanlig.<br />
Mange selskaper setter seg selv i faresonen<br />
for å bli kompromittert gjennom<br />
å bruke utdaterte versjoner av<br />
programvare med kjente sårbarheter.<br />
Ikke et teknisk problem<br />
Installasjon av oppdateringer og implementering<br />
av grunnleggende sikkerhetstiltak<br />
er teknisk enkelt å utføre.<br />
Svakheten ligger i manglende styring.<br />
Mange virksomheter inkluderer ikke<br />
cybersikkerhet i sin risikohåndtering<br />
og -styring. Styret må vite hvem som<br />
er ansvarlig for cybersikkerhet og den<br />
ansvarlige må forstå forskjellen mellom<br />
at programvare «virker» og «informasjonen<br />
er beskyttet».<br />
Du bør handle nå<br />
Vi vil trolig aldri få vite den fulle<br />
sannhet om det som skjedde hos<br />
Mossack Fonseca. Dersom ikke tilstrekkelige<br />
mekanismer for logging<br />
og over våking var implementert før<br />
de ble angrepet, vil det være nesten<br />
umulig for selskapet å komme helt til<br />
bunns i hva som skjedde og hvordan.<br />
Det samme kan skje dersom dere ikke<br />
har etablert systematiske prosesser<br />
for å oppdage inntrengere. Da kan det<br />
52<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2016</strong>