Det finns alltid saker att göra för den som har hand om företagets säkerhetslösningar. Den stora frågan är vad som sätter prioriteringen. Styrs prioriteringen av de faktiska hoten och följdeffekterna de kan få? Eller styrs prioriteringen egentligen av vår inre oro? Med månadens säkerhetskrönika hoppas jag att du som läsare ska fundera över vad din inre oro beordrar dig att göra respektive förhindrar dig från att göra. Jag är säker på att ingen låter sin oro styra all prioritering, men hur stor inverkan låter vi vår oro ha? Låt mig exemplifiera.
Bilden på Facebook-grundaren Mark Zuckerbergs övertejpade webbkamera (Foto: Colourbox) fick många att fundera. Sedan den bilden började spridas har övertäckningsluckor blivit den nya flugan i säkerhetsbranschen. Jag förstår att många klistrar sådana luckor över sina webbkameror, men varför gör vi det egentligen? Webbkameran stirrar oss dagligen argt i ansiktet och väcker vår oro för spionage. Den ständiga påminnelsen, och den enkla åtgärden, gör montering av övertäckningsluckor på företagets datorer till en snabb och synlig åtgärd. Övertäckningsluckorna dämpar oron, men gör de egentligen mer än så?
Ponera att en attackerare kan spionera på mig genom min icke-övertäckta webbkamera samt att han eller hon kan göra det utan att tända inspelningslysdioden (alternativt att min dator saknar en inspelningsindikerande lysdiod). Hur mycket annat skulle den attackeraren då ha tillgång till? För den typen av spionage måste min dator vara djupt infekterad. Att en attackerare ser mig dricka kaffe känns harmlöst i förhållande till allt annat som attackeraren kan få tag i. Attackeraren kan troligtvis komma åt mina filer, spela in min skärm, avlyssna min mikrofon och logga mina tangentbordstryckningar.
För en attackerare är filer, skärmdumpar och tangentbordsloggar betydligt mer användbara än kaffedrickarbilder. De är dessutom sökbara. Den som vill utföra riktade spionageattacker har troligtvis större nytta av en ljudupptagning från styrelserummet än bilder på styrelseledamöterna. Om vi bortser från kändis- och försvarssammanhang ser jag därför dessa övertäckningsluckor som plåster för blödande sår. Ifall vi oroar oss för spioner i webbkameran har vi accepterat långt värre risker. Dessa risker syns bara inte lika tydligt som våra tomt stirrande webbkameror.
Oron kan som sagt också få oss att låta bli åtgärder. Ett exempel på det är när företag inte utrustar sina anställda med lösenordshanterare. Den senaste motiveringen jag hörde handlade inte om den underliggande kostnaden. Företaget i fråga valde bort lösenordshanterare för att det hade hittats säkerhetsbrister i sådana.
Likt alla andra mjukvaror finns det säkerhetsbuggar i lösenordshanterare. När det skrivs om dessa säkerhetsbrister blir det reella händelser som vår oro kan hänga upp sig på. Den oron kan bli så stor att vi accepterar större risker.
Jag förstår att företag inte skaffar lösenordshanterare till sina anställda om de i stället erbjuder single sign-on-lösningar till samtliga system. Tyvärr låter det mer som ett drömscenario än något som inträffar på den moderna arbetsplatsen. Utan vare sig single sign-on-lösningar eller lösenordshanterare kommer de anställda att själva hitta lösningar på lösenordsproblematiken. Några skaffar egna lösenordshanterare. Andra lagrar lösenorden i mobilens anteckningsbok, i gamla mejl eller i delade dokument. Resultatet är oavsett vad detsamma: företaget förlorar kontrollen över användarnas autentiseringsuppgifter och låter lösenorden florera i klartext för obehöriga ögon.
Att införskaffa en säkerhetslösning i en eller annan form innebär ett aktivt ställningstagande. Det spelar ingen roll om det handlar om företagsanpassade lösenordshanterare, brandväggar eller klientskyddsmjukvaror. Riskanalysen vi gör inför införskaffandet fyller oss med oro för ställningstagandet vi gör. Vi får dock aldrig glömma att det måste ställas mot oron som aldrig känns lika påtaglig: oron från ett passivt ställningstagande. Oron för förändring kommer alltid att vara större än oron av att låta saker fortsätta som vanligt.
Att göra strikt logiska prioriteringar, helt utan inrådan av magkänsla, är omänskligt. Vi får i stället sträva efter att göra rationella prioriteringar och försöka medvetandegöra oss om rollen som oron fyller i våra beslut. Det viktiga är att vi håller oron i schack och inte låter den ta överhanden i våra ack så viktiga prioriteringsbeslut.
Karl Emil Nikka
Författare/föreläsare vid Nikka Systems
Den tryckta upplagan av Datormagazin rymmer mycket, till exempel säkerhetskrönikor. Den du kan läsa här publicerades i nummer 5-2018 (nummer 6-2018 finns i butik men kan även köpas på https://shop.datormagazin.se).