Myndigheder kan ikke undgå it-sabotage

En konflikt mellem en svensk it-tekniker og hans chef fra det svenske skattevæsen resulterede i, at teknikeren ændrede på filer i serveren. Regningen for reparationen løb ifølge Skatteverket i Stockholm op i 1,6 millioner danske kroner, mens 10 års arbejde gik tabt.

Skaderne kan begrænses, mener en sikkerhedsekspert. Ifølge IT- og Telestyrelsen kan man dog aldrig fuldt ud gardere sig mod sabotage fra de ansatte i myndighedernes mange it-systemer.

»It-medarbejdere har jo i realiteten et meget stort ansvar og meget store muligheder for at gribe ind i systemet. Derfor er det meget tit en tillidssag,« fortæller Kontorchef i IT- og Telestyrelsen Flemming Faber. Han understreger, at offentlige myndigheder skal være meget opmærksomme på, hvem de ansætter i vigtige stillinger.

Flemming Faber fortæller endvidere, at den statslige sektor er underlagt DS484, der er en standard for sikkerhedsarbejdet i forhold til it.

»Jeg kan næsten ikke forestille mig, at ti års programmeringsarbejde kan gå tabt i Danmark,« siger Flemming Faber.

Der er dog stor forskel på, hvor vigtige de forskellige it-systemer i Danmark er. Derfor vil sikkerhedsniveauet være forskelligt, lige fra selvejende gymnasier til Skattevæsenets it-systemer.

Sikkerhedsekspert Ole Schmitto fra it-firmaet ESEC medgiver, at man altid er afhængig af tillid til nøglemedarbejdere i en it-afdeling, men fortæller at it-afdelinger kan mindske skader fra sabotage ved at have en ordentlig kontrol. Det gælder specielt, når medarbejdere har store rettigheder på at ændre i systemet.

I Sverige blev 500 advarsler på det interne advarselssystem på grund af sabotagen ikke opfanget i løbet af en uge. Lignende fejl ville it-afdelingen hurtigere kunne opfange ved at registrere datamængden, den såkaldte baseline.

»Hvis baseline forandrer sig, så vil man have fået en alarm på det med en kontrol,« fortæller Ole Schmitto.

Dernæst bør firmaer og offentlige myndigheder altid have en intern kvalitets- og sikkerhedskontrol. En mulighed er at have en automatisk sikkerheds og kvalitetskontrol på alt programmeringsarbejde.

Derudover er det også en mulighed at have et internt system, hvor man skal have en eller to underskrifter fra ledende ansatte, når programmørere skal ændre i vitale systemer.

»Man bør have et regelsæt for, hvornår og hvem der retter systemerne.«

Det skal forhindre misbrug, fortæller Ole Schmitto.

»Hvis det er rigtigt, at man har tabt 1,6 millioner kroner og ti års arbejde, så er der et rimeligt godt incitament til at indføre kontrol,« afslutter Ole Schmitto.

Link: http://warehouse.ncom.dk/lbb.php/1001/2319531724/MjAwNy0wOC0wOCxod3Rkaw==/aHR0cDovL3d3dy5jb21vbi5kay9pbmRleC5waHAvbmV3cy9zaG93L2lkPTMyMTMy

Nyhed leveret af http://Comon.dk