De principper og vaner, der holder angribere ude i hverdagen
IT-sikkerhed er ikke ét produkt, man installerer, men en samling principper og vaner. Klassisk samler man målene i tre ord: fortrolighed (kun de rette må se data), integritet (data må ikke ændres uden tilladelse) og tilgængelighed (systemerne skal virke, når der er brug for dem). Næsten alt sikkerhedsarbejde kan føres tilbage til ét af de tre.
Man stoler ikke på én enkelt beskyttelse. I stedet lægger man flere lag, så et brud ét sted ikke giver fri adgang til alt. Et firewall-regelsæt, opdaterede systemer, stærk login-beskyttelse, adskilte net og sikkerhedskopier arbejder sammen. Tankegangen kaldes lagdelt forsvar: hvis ét lag svigter, står de andre stadig.
De fleste brud starter med en konto, der bliver overtaget. Derfor er stærke adgangskoder, tofaktor-login og princippet om mindste privilegium så vigtige. Mindste privilegium betyder, at hver bruger og hvert system kun har præcis de rettigheder, opgaven kræver — så et kapret login åbner mindst muligt. Gennemgå adgange jævnligt og fjern dem, der ikke længere er brug for.
To vaner gør uforholdsmæssigt stor forskel. Den første er at holde systemer og programmer opdaterede — de fleste angreb udnytter kendte huller, som længst er lukket i en opdatering. Den anden er at tage sikkerhedskopier, opbevare en kopi adskilt fra systemet og — afgørende — at afprøve, at man rent faktisk kan gendanne fra dem. En sikkerhedskopi, ingen har testet, er kun et håb.
Antag, at et brud før eller siden sker, og hav en plan. Hvem skal underrettes, hvordan begrænser man skaden, hvordan gendanner man, og hvad lærer man bagefter? At kunne handle roligt og struktureret under et angreb er en færdighed i sig selv — og den øves bedst, før man får brug for den.
“Sikkerhed er ikke en tilstand, man når, men en vane, man holder ved lige.”
— Almindelig læreregel i it-sikkerhed