Av advokat Arve Føyen, FØYEN Advokatfirma DA
Virusangrep fører til betydelige kostnader og økonomisk tap. Kostnadene knytter seg dels til arbeidet med å beskytte seg mot virus og rense opp etter virusangrep, og dels til det tap som pådras ved de forstyrrelser og ødeleggelser virusangrep medfører. Datasikkerhet og beskyttelse mot virusangrep er et ledelsesansvar, som må følges opp på en rekke nivåer ved interne instrukser, rutiner og systematisk oppfølging og bevisstgjøring, og gjennom avtaler med leverandører og samarbeidsparter slik at disse ansvarliggjøres i større grad enn i dag.
Bakgrunn
De fleste av oss merket konsekvensene av Sobig-F-viruset.
De heldigste (eller de som var best forberedt?) har først og fremst merket det ved at mailboksen i perioder ble fylt opp av et antall mail fra tilsynelatende venner og bekjente – med budskap og slettede vedlegg som de samme bekjente åpenbart ikke hadde avsendt. Selv denne relativt uskyldige pepringen med mail medfører betydelige forstyrrelser og merarbeid for dem som får mail-boksen sin fylt.
I tillegg førte den trafikken som viruset genererte, til at flere bedrifter ble satt helt ut i flere dager og hadde betydelige kostnader med opprensing i etterhånd. Kostnadene er knyttet til selve skaden som er skjedd, til arbeidet med å rense klienter og tjenere for virus og reinstallere infisert programvare mv. Videre synker produktiviteten drastisk på grunn av at arbeidsverktøy i form av pc-er og kritiske systemer er ute av drift i kortere eller lengre perioder. I tillegg oppstår tap fordi data ødelegges og korrumperes, og det må rekonstrueres fra back-up eller på annen måte.
Denne formen for angrep påfører samfunnet, bedriftene og enkeltpersoner enorme kostnader.
Datasikkerhet er et ledelsesansvar
De fleste er i sitt arbeid kontinuerlig oppe på Internett og mottar og besvarer fortløpende e-mail. Dette er en arbeidsform som kommer til å vare i noen år. Vi må derfor lære å leve med dette og beskytte oss mot de truslene som virusangrep medfører.
Datasikkerhetsarbeidet må drives systematisk og rutinemessig. Utgangspunkt i klare spilleregler for plassering av risiko og ansvar, slik at ansvar ikke pulveriseres.
Sikkerhetsarbeidet er et ledelsesansvar. Således må ledelsen i bedrifter og i offentlig forvaltning sørge for å ta nødvendige foranstaltninger for å beskytte mot virusangrep, og for å begrense skader og konsekvenser når angrep er et faktum.
Hva er nødvendige foranstaltninger?
Tiltak for å beskytte mot virusangrep er svært sammensatt, og de må iverksettes på mange nivåer. Tiltakene må balanseres slik at de settes inn på et tilstrekkelig bredt felt. Det er ikke tilstrekkelig å bolte frontdøren med sikkerhetslås og alarmer, dersom bakdøren står på vid vegg. Det er mange kategorier tiltak som må treffes. Plassen her tillater ikke at jeg går i dybden om dette. Jeg vil imidlertid nevne noen problemstillinger som det legges for lite vekt på, og som er mer av juridisk og organisatorisk karakter enn av rent IT-teknisk karakter.
Still krav i avtaler
Anskaffelse av IT-verktøy og elektroniske kommunikasjonstjenester foretas ved hjelp av avtaler. Avtalene adresserer sjelden sikkerhetsproblematikk. Disse avtalene bør benyttes til å ansvarliggjøre leverandørene i forhold til virusangrep og sikkerhetssvikt i leveransene.
Ved kjøp av internett-tilgang kan man kreve dokumentasjon og evt avtalefestede garantier fra tilgangsleverandøren for tilgjengelighet. Ved anskaffelse av utstyr og programvare kan man stille krav til leverandøren mht. sikkerhetsnivåer som oppnås.
Sikkerhetsrutiner er sentralt
Interne rutiner og løpende opplæring er helt nødvendig for å beskytte bedriftene mot virusangrep.
Rutiner må utarbeides og må kontinuerlig innprentes. Er rutinene ikke gode nok, vil de bli omgått. Ansvaret for at rutiner lages og følges, ligger hos øverste leder. Det må skapes en kultur for endringer av rutiner, heller enn sabotasje mot rutiner. Det er viktig å ha en god rutine for ajourføring og endring av rutiner. En helt sentral lærdom om sikkerhet er at ingen kjede er sterkere enn det svakeste ledd.
Oppdatering av virusbeskyttelse skjer som oftest automatisk ved pålogging av klient mot server. For hjemme-PC og/eller bærbare maskiner som brukes utenfor kontorarbeidsplassen, kan det imidlertid gå for lang tid før virusbeskyttelsen oppdateres. Dette kan forebygges med klare instrukser og rutiner for «tanking» av riktig og ajourført virusprogram også på disse maskinene.
Mange unnlater å logge seg ut av sin maskin og de systemer som er brukt i løpet av dagen før de forlater arbeidsplassen. Det tar noen sekunder å gjøre dette, og det tar tilsvarende noen sekunder å logge seg på igjen dagen etter.
Av- og pålogging og bruk av av-knappen på klientene har en rekke viktige funksjoner som er alt for lite påaktet.
For det første er mange virusprogram slik laget og satt opp, at oppdatering av virusdetekteringsfiler foretas automatisk i oppstartprosedyren.
For det andre vil man gjennom avlogging og avskruing av klienten få ryddet opp i maskinens hurtig-buffere og interne registre på en slik måte at man kan unngå driftsproblemer som ellers lett oppstår over tid.
For det tredje er det alt for sjelden gode nok rutiner med å sikre at maskiner som står rundt omkring er beskyttet mot at tilfeldig forbipasserende kan sette seg ned og bruke dem ved hjelp av en pålogging (og autorisasjon) foretatt av maskinens eier. Tilfeldig forbipasserende kan da dumpe virus eller trojanske hester inn i systemene ved å benytte et lagringsmedium de har med seg.
Bare klare og utvetydige instrukser, kontinuerlig oppfølging og opplæring i betydningen av disse instruksene vil heve sikkerhetsnivået. Det er et klart ledelsesansvar å gjennomføre dette.
Del på facebook
Del på twitter
