Selv de store selskapene kan oppleve feil grunnet menneskelig svikt i rutiner.
I slutten av september kom nyheten om at hackere hadde hatt tilgang til datasystemer hos konsulentgiganten Deloitte, som følge av dårlig sikring. At sikkerhetsbrudd skjer av enkle grunner er ikke noe nytt, og det finnes flere eksempler i nyere tid. Foruten Deloitte er også det amerikanske kredittvurderingsselskapet Equifax og en ikke-navngitt australsk forsvarsleverandør rammet. Feilene det var snakk om, er bl.a. manglende tofaktorautentisering og brannmur, og andre tilfeller inkluderer bl.a. manglende patching, og standard-innlogging av typen admin:admin som ikke var endret.
Fellesnevneren i alle disse tilfellene ser ut til å være rutinesvikt. Muligheten og kunnskapen for å hindre at slike feil skjer har nok vært på plass i alle disse tilfellene, men likevel skjedde det.
For enkelhets skyld?
Så hvorfor ble feilene gjort i utgangspunktet, når alle disse aktørene sikkert vet bedre? Svaret ligger nok i at vi som mennesker er glade i å forenkle vår egen hverdag, og dermed også ikke så veldig glade i å følge rutiner og regler for sikkerhet, som kanskje kan fremstå som tunge og vanskelige.
Men reglene og rutinene er der av en god grunn, slik vi nå har fått demonstrert. Utfordringen ligger i å ikke gjøre dem vanskeligere enn nødvendig, men ikke minst også i å få gitt egne ansatte den opplæringen som er nødvendig, slik at de blir kjent med regler og rutiner, forstår hvorfor de er nødvendige, og får trent på å opprettholde dem.
Og ikke minst må det være tydelighet rundt roller og ansvar. Med bedre klarhet i ansvarsområder blir enklere å ta tak i om noe ikke er tilstrekkelig sikret.
Vi liker enkelhet, men vi er også vanedyr. Med tilstrekkelig trening og erfaring i å følge sikkerhetsrutiner blir det automatikk, og ulempene vi ofte opplever forsvinner.
Alle kan gjøre feil
Noe annet vi lærer av dette, er at man ikke er trygg for å begå enkle feil fordi man er en stor, renommert aktør. Feil kan gjøres av alle, enten det er snakk om enkeltmennesker eller virksomheter. Derfor må også alle virksomheter sørge for at ansatte får den opplæringen de trenger, det er noe som er viktig uansett hvor man befinner seg i markedets næringskjede.
NorSIS anbefaler
Sørg for at de ansatte har den nødvendige basiskunnskapen om informasjonssikkerhet. Les mer på Nettvett.no:
Kilder
Equifax – Cybersecurity Incident & Important Consumer Information
The Register – Sole Equifax security worker at fault for failed patch, says former CEO
ZDNet – Secret F-35, P-8, C-130 data stolen in Australian defence contractor hack
Digi.no – Deloitte hadde tusenvis av datamaskiner eksponert på internett