Utdaterte sikkerhetssystemer og infrastruktur fører til både frustrasjon for de ansatte og risiko for arbeidsgiverne.
«Herregud, ikke igjen», kommer det fra «Gunn» (54) på økonomi. For tredje gang i år kommer beskjed om passordbytte. Først som en forsiktig oppfordring i form av en beskjed om at passordet utløper om syv dager, men «Gunn» vet av dyrekjøpt erfaring at dette snart blir alvor og at oppfordringen snart blir en ordre.
Neste gang «Gunn» banner, er det ikke fordi hun har glemt passordet sitt. Da er det fordi noen har flyttet personallisten. Denne listen over alle ansatte, som ligger bekvemmelig på en filserver – en Windows Server 2008R2 som ble satt opp av Infosys i 2010, og som ble patchet sist gang i 2016. Sikkerheten er jo ivaretatt i brannmuren, så alt som er på innsiden er jo trygt… ikke sant? Det er selvsagt bare «Per» som var litt kjapp med å flytte musepekeren og i vanvare dro personallisten ned et steg i mappe-hierarkiet.
Fjernarbeid
Nå er «Gunn» på konferanse. Bedriften har endelig skjønt at det er verdi i nettverksbygging og kompetanseheving i eksotiske København. Eneste aberet er at konferansen sammenfaller med lønnskjøring. Jaja, tenker «Gunn», jeg bare logger inn på VPN og henter ut lønningslisten fra filserveren og kjører lønn i Visma. Heldigvis har bedriften investert i et skybasert lønnssystem, så Gunn ikke trenger å være på kontoret for å kjøre lønn. Når «Gunn» logger på VPN, merker hun at Visma går gruelig treigt …
VPN-løsningen til bedriften skiller nemlig ikke mellom trafikk til filserveren og til internett. Derfor går nettverkstrafikken til Visma via bedriftens hovedkontor. Siden det tilfeldigvis er ski-VM denne uken, har halve kontoret NRK kjørende på skjerm nummer 2, og DSL-linjen som burde vært oppgradert, er nær kapasitet. Krise!
«Gunn» er redd. I morges fikk hun en e-post tilsynelatende sendt av en kollega. Den inneholdt en lenke til et dokument. Da hun trykket på lenken, ble hun bedt om å laste ned og installere en programvare. E-posten virket viktig, og den sa det hastet, så hun gjorde selvsagt det, og nå funker ingenting! Verre enn det, en melding kom opp på skjermen hennes, og denne sier noe om at filer er kryptert? «Gunns» kolleger begynner også å melde om at ting begynner å skje hos dem. Dokumenter vil ikke la seg åpne. Alt som ligger på filserveren er bare grøt, og alt er kaos. Fra morgen til lunsj har IT-ansvarlig vekslet mellom å sitte i telefonen og gå frem og tilbake fra datarommet. Nå dukket det opp noen konsulenter … «Gunn» er veldig redd!
Fiktiv, men representativ
«Gunn» er selvsagt en fiktiv person, men det er hundretusener som henne over det ganske land. De fleste «Gunn» bruker det samme passordet over alt, og de bytter bare ett tegn når det er «den tiden i måneden» (eller kvartalet, alt etter policy). «E» blir til «3», «i» blir til «!», og de neste par dagene kommer det et par saftige fraser fra «Gunn» hver gang hun glemmer hvilken «E» som ble «3» denne gangen.
Hva om «Gunn» jobbet i en bedrift som investerte i moderne IT-sikkerhet? Med moderne muligheter er det mulig gjøre passord evigvarende på en trygg måte, eller enda bedre, å fjerne passord fullstendig. I tillegg innfører man multifaktorautentisering (MFA) for å sørge for at passord på avveie, ikke er ensbetydende med informasjon på avveie og kompromitterte systemer. Man kan også sørge for at alle systemer krever pålogging, men at pålogging til alle systemer skjer som følge av at «Gunn» logger på sin PC om morgenen. Dette heter altså Single SignOn eller SSO.